Архив рубрики: Проекты

Прошла третья среда месяца, а значит пора смотреть февральский Linux Patch Wednesday

Прошла третья среда месяца, а значит пора смотреть февральский Linux Patch WednesdayПрошла третья среда месяца, а значит пора смотреть февральский Linux Patch WednesdayПрошла третья среда месяца, а значит пора смотреть февральский Linux Patch WednesdayПрошла третья среда месяца, а значит пора смотреть февральский Linux Patch WednesdayПрошла третья среда месяца, а значит пора смотреть февральский Linux Patch Wednesday

Прошла третья среда месяца, а значит пора смотреть февральский Linux Patch Wednesday. 149 уязвимостей. Среди них нет уязвимостей с признаком активной эксплуатации. 20 уязвимостей с PoC-ами/эксплоитами. На первый взгляд все громкие уязвимости прошедшего месяца на месте:

🔻 Elevation of Privilege - GNU C Library (CVE-2023-6246). Это очередная уязвимость glibc, которую нашли Qualys.
🔻 Information Disclosure - runc (CVE-2024-21626). Побег из контейнера.
🔻 Denial of Service - dnsmasq (CVE-2023-50387). Это про атаку 'KeyTrap' на DNSSEC.
🔻 Authentication Bypass - Sudo (CVE-2023-42465). Про эту новостей не видел, её запатчили в RPM-based дистрибах на прошлой неделе.

🗒 Февральский Linux Patch Wednesday

В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824)

В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824)В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824)

В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824). Для уязвимости есть PoC buffer overflow на GitHub, но признаков эксплуатации вживую с докруткой до RCE до сегодняшнего дня не было.

Если выяснится, что действительно эта уязвимость эксплуатировалась, то это будет очередным подтверждением старой истины: не ждите пока PoC доведут до боевого эксплоита и появятся железобетонные доказательства эксплуатации уязвимости вживую, обновляйтесь загодя!

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа.

🔸 Об этом 29 января сообщила команда форенсики шведской компании Truesec. Они обнаружили, что как минимум в 6 инцидентах связанных с шифровальщиком Akira точкой входа была Cisco Anyconnect с уязвимостью CVE-2020-3259. 15 февраля уязвимость добавили в CISA KEV.

🔸 Уязвимость была обнаружена исследователями PT SWARM компании Positive Technologies, Михаилом Ключниковым и Никитой Абрамовым, 6 мая 2020 года:

"Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации".

🔸 До этого информации об общедоступных эксплоитах для этой уязвимости не было. Но, как видим, использованию в атаках это не мешало. Причём непонятно когда именно началась эксплуатация. Truesec считают логины/пароли пользователей Cisco Anyconnect, которые существовали в системе до фикса CVE-2020-3259, скомпромитированными. Как и другие данные, которые могли засветиться на Anyconnect-е. Также рекомендуют подключить двухфакторку и журналирование. И если вы вдруг не патчили эту уязвимость, то патчите конечно. А лучше импортозамещайтесь поскорее. 😉

Хочется немного поиграться с непосредственным детектом уязвимостей - проект Vuldetta

Хочется немного поиграться с непосредственным детектом уязвимостей - проект Vuldetta

Хочется немного поиграться с непосредственным детектом уязвимостей - проект Vuldetta. С 2021 года я работаю над открытым проектом сканера уязвимостей Scanvus для Linux хостов и docker-образов. И с ним всё отлично, кроме того, что он сам уязвимости не детектирует. 😅 Он собирает пакеты и версию дистриба, но для детектирования использует внешние коммерческие API-шки: Vulners Linux API или VulnsIO API. А оно стоит денег и это, естественно, снижает привлекательность утилиты. 🤷‍♂️

Можно ли сделать так, чтобы Scanvus работал без использования коммерческих API? Можно. И тут видятся 2 пути:

🔹 Первый путь - это добавить детектирование уязвимостей непосредственно в Scanvus. Мне это не очень нравится. Мне нравится концепция такого "безмозглого" нейтрального сканера, который может использовать различную внешнюю экспертизу в зависимости от потребностей.

🔹 Второй путь - это сделать некоторый аналог Vulners Linux API или VulnsIO API, который можно было бы развернуть локально в организации и использовать для детекта уязвимостей хотя бы для некоторых Linux дистрибутивов. Понимая, безусловно, что коммерческий сервис будет, скорее всего, поддерживать большее количество дистрибутивов и, возможно, будет даже лучше детектировать. Но от бесплатной свободной альтернативы хуже не будет.

Собственно второй путь и есть Vuldetta. Взять готовые формализованные правила детекта (после возни с OVAL-контентом для Debian я смотрю теперь в сторону OVAL-контента для Ubuntu), разобрать их во что-нибудь простое и удобное для работы (Bulletin|CVE_Number|Distribution_Version|Package_Name|Package_Version), сделать API-шку-сравнивалку версии на хосте с безопасными версиями из OVAL-контента.

Вроде выглядит как изян. А на выходе может получиться штука, которую как минимум можно будет использовать для валидации качества детектирования коммерческих сканеров уязвимостей, а как максимум возможно даже в проде где-то использовать. А так как лицензия будет MIT, то это даже можно будет встроить куда-нибудь как альтернативу жуткому фолсящему Trivy. 😅 И будет на чём тестовый контент для Vulremi генерить опять же. 🙂

Галя, у нас отмена: Microsoft убрали галку "эксплуатируются вживую" для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Галя, у нас отмена: Microsoft убрали галку эксплуатируются вживую для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)Галя, у нас отмена: Microsoft убрали галку эксплуатируются вживую для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Галя, у нас отмена: Microsoft убрали галку "эксплуатируются вживую" для Remote Code Execution - Microsoft Outlook (CVE-2024-21413). 🤡😅 Видимо всё-таки эта галка за ночь переехала к уязвимости Exchange.

Но и у уязвимости Outlook, судя по простоте POC-а, который был описан в статье CheckPoint-а, признак эксплуатации вживую вполне возможно скоро опять появится.

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410)

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410)

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). 🚀 Как и в случае с RCE в Outlook, Microsoft изменили описание уязвимости, обозначив эксплуатацию вживую и наличие функционального эксплоита (пока непубличного). Microsoft пишут про использование уязвимости в NTLM relay атаках. Какого-то более подробного исследования этой уязвимости в паблике пока не наблюдается.

Не удивлюсь, если окажется, что эта уязвимость использовалась в атаках совместно с Remote Code Execution - Microsoft Outlook (CVE-2024-21413) #MonikerLink. Уж больно синхронно у них статус поменялся и исследователи Check Point в своей статье тоже про NTLM relay атаки писали.

В общем, пока подробностей немного, но понятно, что Exchange нужно оперативно обновлять.

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413). 🚀 Microsoft признали, что эта уязвимость оказывается эксплуатировалась вживую (упс), а исследователи из Check Point выпустили подробный write-up с PoC-ом. Исследователи Check Point называют уязвимость #MonikerLink и рекомендуют обновить Outlook ASAP.

Я эту уязвимость в своём обзоре подсветил, но буквально последней в списке. Вот так предполагаем по описанию, что одни уязвимости будут эксплуатироваться в атаках. А потом может оказаться, что реально эксплуатироваться будут совсем другие уязвимости. 🤷‍♂️ Очень сложно предугадать, что за какой-то CVE оказывается ресерчер, который завтра выложит write-up с PoC-ом, а послезавтра начнутся массовые атаки. Поэтому про уязвимости, конечно, читаем, гадаем что выстрелит, но обновления устанавливаем для всего!

upd. Отменили