Архив рубрики: Vulristics

Прожектор по ИБ, выпуск №16 (16.12.2023): Кружочки чёрного Несквика

Добавить комментарий

Прожектор по ИБ, выпуск №16 (16.12.2023): Кружочки чёрного Несквика

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

К сожалению, Telegram снова скинул запоротую запись конференции. 😔 Видео запись с шипением и выпадением аудио. Аудио запись убыстренная и с какими-то рассинхронами, так что в диалогах все звучат одновременно, как будто перебивают друг друга. В итоге начало эпизода кое-как нарезал. 🤷‍♂️ С 04:16 качество аудио становится нормальным, с 08:46 появляется видео. Приношу извинения от нашей дружной команды. Очень жаль, что начало получилось таким смазанным, там было весело. В следующий раз постараемся дублировать запись на нашей стороне, хотя бы в аудио. 🎙Имейте в виду, что Telegram может так косячить.

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск всего 52 просмотра набрал. Очередной анти-рекорд, но мы не сдаёмся.
00:13 RCE уязвимость в Apache Struts2 (CVE-2023-50164).
00:49 Декабрьский Microsoft Patch Tuesday
02:18 Анализ восприятия инцидентов ИБ от Hive Systems
04:21 Чат с Copilot на базе GitHub
08:46 MITRE и модель угроз EMB3D
12:05 Угораем со статистики по инцидентам
18:13 В Москве запретили использование QR-кодов на билбордах
20:19 Мем про корпоративные новогодние подарки, обсуждаем какие нам нравятся
26:44 Мем про то, что Касперский спалил сам себя в рамках своей борьбы со сбором данных
28:19 ГРЧЦ закручивает гайки: ботам OpenAI могут закрыть доступ к Рунету
31:04 Прощание от Mr.X

Декабрьский Microsoft Patch Tuesday

3 комментария

Декабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch TuesdayДекабрьский Microsoft Patch Tuesday

Декабрьский Microsoft Patch Tuesday. Всего 34 уязвимости. С набежавшими с ноября - 53.

🔻 Наиболее критичная это Memory Corruption - Chromium (CVE-2023-6345). Это уязвимость в Skia, о которой я уже писал. Есть признаки эксплуатации вживую.

Для других уязвимостей нет эксплоитов и признаков эксплуатации вживую.

🔸 RCE - Windows MSHTML Platform (CVE-2023-35628). По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥
🔸 RCE - Internet Connection Sharing (ICS) (CVE-2023-35630, CVE-2023-35641). Эксплуатация через отправку вредоносного DHCP-запроса на сервер ICS. Можно получить SYSTEM. 🔥
🔸 EoP - Windows Kernel (CVE-2023-35633 и штук 5 других). Подъём до SYSTEM.

Остальное какое-то неинтересное. 🤷‍♂️

🗒 Vulristics report

NVD и ошибка 503

Добавить комментарий

NVD и ошибка 503

NVD и ошибка 503. Последние пару дней наблюдаю ошибки при работе API NVD (services.nvd.nist.gov). На этот раз они связаны не с аутентификацией и rate limit, а с недоступностью сервиса.

В Vulristics пришлось добавить обработку 503 ошибки. В этом случае делается sleep на 5 секунд и повтор выполнения запроса. Иногда требуется сделать до 5 попыток 🙈, но в итоге отрабатывает. 🙂

Vulristics и BDU уязвимости без идентификаторов CVE

Добавить комментарий

Vulristics и BDU уязвимости без идентификаторов CVE

Vulristics и BDU уязвимости без идентификаторов CVE. Что делать, если уязвимость содержится в базе уязвимостей БДУ ФСТЭК, но CVE-идентификатора у неё нет? Можно ли обрабатывать такие уязвимости в Vulristics?

Например, в случае с
🔻RCE в 1С-Битрикс: Управление сайтом (BDU:2023-05857)
🔻Уязвимость механизма обновления Dr.Web Enterprise Security Suite (BDU:2014-00226)

Сейчас BDU-идентификаторы можно подавать на вход Vulristics также как и CVE-идентификаторы. Обрабатываться они будут одинаково. Но так как коннектор для BDU пока не реализован, а в других источниках данных BDU-идентификаторы не упоминаются, готовые данные придётся подавать самостоятельно через Custom Data Source.

Таким образом, требуется некоторая ручная работа, но обрабатывать такие уязвимости в рамках единого workflow с CVE-шками вполне реально.

Размышляю о детектировании имени уязвимого продукта в Vulristics

2 комментария

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vulristics. Коллеги из PT ESC выложили крутую статью про атаки группировки (Ex)Cobalt на российские компании. Там, среди прочего, упоминается, что злоумышленники эксплуатируют уязвимости CVE-2023-38831 и CVE-2023-3519. Забил их в Vulristics.

🔻 WinRAR-ную уязвимость CVE-2023-38831 я уже тут подсвечивал и по ней всё более-менее неплохо продетектилось.
🔻А для уязвимости Citrix CVE-2023-3519 Vulristics не смог продетектировать уязвимый продукт по описанию уязвимости. Потому что всё описание в NVD это: "Unauthenticated remote code execution". И всё. 😄 NVD не перестаёт удивлять.

Чем такое скомпенсировать?

🔹 Брать название продукта и тип уязвимости из CISA KEV. Решение только для ~1000 уязвимостей и +1 коннектор. Такое себе.
🔹 Детектить уязвимый продукт на основе cpe. ⬅️ склоняюсь к этому, т.к. можно разом получить черновые детекты для множества продуктов из cpe dictionary.

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Добавить комментарий

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

Ноябрьский Linux Patch Wednesday

3 комментария

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday. Посмотрим какие уязвимости Linux начали исправляться вендорами Linux дистрибутивов с октябрьского LPW. На самом деле отчёт требует допиливания в части детектов продуктов и типов уязвимостей, но выкладываю как есть. 🙂

🔹 Есть одна уязвимость с признаком эксплуатации вживую (CISA KEV). Это Cross Site Scripting - Roundcube (CVE-2023-5631). Это клиент для работы с электронной почтой с веб-интерфейсом, часто используется как компонент веб-почты в почтовых пакетах и платформах групповой работы. Злоумышленник шлёт зловредное письмо, у пользователя выполняется произвольный JavaScript код. 💥
🔹 Есть ~50 уязвимостей, для которых вроде как есть эксплоиты и PoCи (в основном ссылки с тэгом "exploit" на NVD).
🔹 Больше чем для половины уязвимостей не детектируются продукты и не детектируются типы уязвимостей. 🤷‍♂️ Буду добавлять детекты.

🗒 Vulristics report