Архив рубрики: Vulristics

Июльский Linux Patch Wednesday

Добавить комментарий

Июльский Linux Patch Wednesday

Июльский Lin­ux Patch Wednes­day. Всего 705 уязвимостей, из них 498 в Lin­ux Ker­nel. С признаком эксплуатации вживую уязвимостей пока нет, у 11 есть признак наличия публичного эксплоита:

🔻 В абсолютном топе RCE — OpenSSH "regreSSH­ion" (CVE-2024–6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE — OpenSSH (CVE-2024–6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC‑и для DoS уязвимостей Suri­ca­ta (CVE-2024–38536) и QEMU (CVE-2024–3567).

Согласно БДУ, существуют публичные эксплоиты для:

🔸 Auth­By­pass — RADIUS Pro­to­col (CVE-2024–3596), её фиксили и в июльском MSPT
🔸 Secu­ri­ty Fea­ture Bypass — Exim (CVE-2024–39929) — обход блокировок по mime_filename, а также в Nextcloud (CVE-2024–22403) — вечные OAuth коды
🔸 DoS — Open­Teleme­try (CVE-2023–45142)
🔸 Mem­o­ry Cor­rup­tion — 7‑Zip (CVE-2023–52168)

🗒 Отчёт Vul­ris­tics по июльскому Lin­ux Patch Wednes­day

Выпустил новую версию Vulristics 1.0.6

Добавить комментарий

Выпустил новую версию Vulristics 1.0.6

Выпустил новую версию Vul­ris­tics 1.0.6.

🔹 Упростил работу с данными об эксплоитах. Теперь все Data Sources приносят эти данные в едином формате и они обрабатываются единообразно. В том числе признаки наличия эксплоита в Microsoft CVSS Tem­po­ral Vec­tor (отношу их к приватным эксплоитам). Сначала смотрю наличие публичных эксплоитов, если их нет, то приватных эксплоитов.

🔹 Поправил багу из-за которой не получалось принудительно выставлять тип уязвимости из Cus­tom Data Source.

🔹 При упрощённом детектировании наименования продуктов для генерённых описаний уязвимостей Microsoft описание продуктов теперь подтягивается и по alternative_names.

🔹 Исправил багу с падением Vul­ris­tics при генерации отчёта Microsoft Patch Tues­day во время поиска обзора MSPT от Qualys. Теперь падать не будет, просто отчёт Qualys не будет учитываться. Чтобы учитывался, нужно прописать ссылку в файле comments_links. Пример описания добавил в help и README.

Changel­og
Непожатая картинка

Июльский Microsoft Patch Tuesday

Добавить комментарий

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tues­day. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tues­day.

Есть 2 уязвимости с признаком эксплуатации вживую:

🔻 Spoof­ing — Win­dows MSHTML Plat­form (CVE-2024–38112). Spoof­ing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Ele­va­tion of Priv­i­lege — Win­dows Hyper‑V (CVE-2024–38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).

Из остального можно выделить:

🔸 Ele­va­tion of Priv­i­lege — различные компоненты Win­dows (CVE-2024–38059, CVE-2024–38066, CVE-2024–38100, CVE-2024–38034, CVE-2024–38079, CVE-2024–38085, CVE-2024–38062, CVE-2024–30079, CVE-2024–38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Exe­cu­tion — Win­dows Remote Desk­top Licens­ing Ser­vice (CVE-2024–38074, CVE-2024–38076, CVE-2024–38077)
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–38021)
🔸 Remote Code Exe­cu­tion — Win­dows Imag­ing Com­po­nent (CVE-2024–38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Exe­cu­tion — Microsoft Share­Point Serv­er (CVE-2024–38023, CVE-2024–38024). Требуется аутентификация, но прав "Site Own­er" хватит.

🗒 Отчёт Vul­ris­tics по июльскому Microsoft Patch Tues­day

Vul­ris­tics показывает эксплоит для Spoof­ing — RADIUS Pro­to­col (CVE-2024–3596) на GitHub, но на самом деле это просто утилита для детектирования.

Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics

Добавить комментарий

Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics

Обновил июньский Lin­ux Patch Wednes­day и перевыпустил отчёт Vul­ris­tics. Общее количество уязвимостей снизилось с 1053 до 1040. Видимо для них стали доступны более ранние таймстемпы фиксов. Но уязвимости с признаком эксплуатации вживую и с публичным эксплоитом это не зацепило, они остались теми же.

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day

Linux Patch Wednesday: вот где этот майский пик!

Добавить комментарий

Linux Patch Wednesday: вот где этот майский пик!

Lin­ux Patch Wednes­day: вот где этот майский пик! 🤦‍♂️ Также об июньском Lin­ux Patch Wednes­day. Помните, я в посте про майский Lin­ux Patch Wednes­day радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Lin­ux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024–1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json:        "CVE-2024-1086": [
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vul­ris­tics отчёт для него только с использованием 2 источников: Vul­ners и БДУ. И даже из Vul­ners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–42013), я не буду подробно их разбирать — кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day (31.3 мб.)

Что касается июньского Lin­ux Patch Wedne­day, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Lin­ux Ker­nel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021–47489 с NVD Pub­lished Date 05/22/2024. 🤔 Что-то странное творит CNA Lin­ux Ker­nel.

🔻 С признаками эксплуатации вживую опять Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947), как и Microsoft Patch Tues­day. Судя по данным БДУ, Remote Code Exe­cu­tion — Libarchive (CVE-2024–26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Exe­cu­tion — Cac­ti (CVE-2024–25641) и Remote Code Exe­cu­tion — onnx/onnx frame­work (CVE-2024–5187).

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day (4.4 мб.)

upd. 30.06 Обновил отчёт.

Июньский Microsoft Patch Tuesday

Добавить комментарий

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tues­day. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tues­day. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (MSMQ) (CVE-2024–30080). У этой уязвимости большой CVSS Score — 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Win­dows серверов с включенным MSMQ. Очень похоже на прошлогоднюю Queue­Jumper (CVE-2023–21554).
🔸 Denial of Ser­vice — DNSSEC (CVE-2023–50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tues­day такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2024–30091), Win­dows Ker­nel (CVE-2024–30088, CVE-2024–30099) и Win­dows Cloud Files Mini Fil­ter Dri­ver (CVE-2024–30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Con­cept эксплоиты.
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30101). Это уязвимость Microsoft Out­look. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Out­look, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Pre­view Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race con­di­tion.
🔸 Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–30103). Панель предварительного просмотра (Pre­view Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Wi-Fi Dri­ver (CVE-2024–30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Pre­view Pane) НЕ является вектором атаки.

🗒 Отчёт Vul­ris­tics по июньскому Microsoft Patch Tues­day

Майский Linux Patch Wednesday

Добавить комментарий

Майский Linux Patch Wednesday
Майский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch Wednesday

Майский Lin­ux Patch Wednes­day. В прошлом месяце мы совместно решили, что стоит ввести правило по Unknown датам с мая 2024. Что я, собственно, и реализовал. Теперь, если я вижу oval def­i­n­i­tion, для которого нет даты публикации (даты появления исправлений для соответствующих уязвимостей), то я номинально присваиваю сегодняшнюю дату. Таким образом 32406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15. Можно было бы предположить, что мы получим огромный пик для уязвимостей, которые "начали исправляться в мае" исходя из номинальной даты. А как вышло на самом деле?

На самом деле пик получился не очень большой. В майском Lin­ux Patch Wednes­day 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024–05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.

Как обычно, я сгенерировал отчёт Vul­ris­tics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Lin­ux Ker­nel. Это следствие того, что Lin­uх Ker­nel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.

На первом месте уязвимость из CISA KEV.

🔻Path Tra­ver­sal — Open­fire (CVE-2023–32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Lin­ux дистрибутивах её не фиксили? Похоже, что нет. В Vul­ners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Open­fire отсутствуют.

На втором месте уязвимость с признаком активной эксплуатации по Attack­erKB.

🔻 Path Tra­ver­sal — aio­http (CVE-2024–23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.

По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.

🔻 Mem­o­ry Cor­rup­tion — nghttp2 (CVE-2024–27983)
🔻 Mem­o­ry Cor­rup­tion — Chromi­um (CVE-2024–3832, CVE-2024–3833, CVE-2024–3834, CVE-2024–4671)
🔻 Mem­o­ry Cor­rup­tion — FreeRDP (CVE-2024–32041, CVE-2024–32458, CVE-2024–32459, CVE-2024–32460)
🔻 Mem­o­ry Cor­rup­tion — Mozil­la Fire­fox (CVE-2024–3855, CVE-2024–3856)
🔻 Secu­ri­ty Fea­ture Bypass — bluetooth_core_specification (CVE-2023–24023)
🔻 Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–3838)
🔻 Denial of Ser­vice — HTTP/2 (CVE-2023–45288)
🔻 Denial of Ser­vice — nghttp2 (CVE-2024–28182)
🔻 Incor­rect Cal­cu­la­tion — FreeRDP (CVE-2024–32040)

Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:

🔸 Secu­ri­ty Fea­ture Bypass — put­ty (CVE-2024–31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Exe­cu­tion — GNU C Library (CVE-2014–9984)
🔸 Remote Code Exe­cu­tion — Flat­pak (CVE-2024–32462)
🔸 Com­mand Injec­tion — aio­http (CVE-2024–23829)
🔸 Secu­ri­ty Fea­ture Bypass — FreeIPA (CVE-2024–1481)

Думаю, что в качестве улучшения в отчёте Vul­ris­tics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day