HTML код в NVD CVE description. Работаю сейчас над оптимизациями для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в Vulristics. В процессе обнаружил вот такое. Спасибо, конечно, что не
Первоначальные намётки по открытому фиду с уязвимостями - проект Vulrectory (пока пустой). По этому проекту хотелось бы в идеале получить обновляемый фид со всеми уязвимостями из NVD и БДУ, содержащий некоторые дополнительные поля, чтобы его можно было использовать как единственный источник данных в Vulristics. Сейчас если с помощью Vulristics приоритизировать, допустим, 100 CVE, то утилита будет делать запросы по каждой из этих CVE к различным источникам (как к бесплатным, так и к платному - Vulners), а затем комбинировать и анализировать данные. Таким образом, будут использоваться наиболее свежие данные, но генерация полного отчета займет довольно много времени. А за большое количество запросов бесплатные источники могут и побанить. Если же будет свой источник с уже подготовленными данными, который можно будет локально выкачать к себе, то можно будет запросто строить отчеты по десяткам тысяч уязвимостей без каких-либо внешних запросов. Сразу появится множество применений:
1. Оценка и приоритизация продетектированных уязвимостей (как для отдельных хостов, так и для инфраструктуры в целом!).
2. Оценка расхождений в результатах детектирования уязвимостей VM-продуктами и слепых пятен в базах знаний (детектов) VM-продуктов.
3. Vulnerability Intelligence - анализ всего входящего потока уязвимостей. Возможно с фокусом только на тех продуктах, которые используются в организации и без привязки к детектам в VM-решении.
В общем, как только можно будет работать с готовыми данными в оффлайне, всё сразу становится гораздо интереснее и удобнее. 😉
Какие дополнительные поля нужны Vulristics:
• Название уязвимого софта. Планирую переиспользовать детект продуктов по ключевым словам на основе описания CVE, который сейчас используется в Vulristics. Но лучше добавить ещё детект на основе CPE и парсинг генеренных описаний уязвимостей "имя софта> тип уязвимости>" (как у Microsoft). Также имя софта можно напрямую забирать из БДУ.
• Тип уязвимости. Планирую переиспользовать детект типа уязвимости по ключевым словам на основе описания CVE, который сейчас используется в Vulristics. Но лучше добавить ещё детектирование на основе CWE. Но это на крайний случай, т.к. к простановке CWE идентификаторов в NVD были вопросы.
• Наличие эксплоита. Если мы хотим, чтобы Vulrectory был бесплатным, то придется видимо ограничиться ссылками на эксплоиты из NVD и флажком "Наличие эксплойта" из БДУ. 🤷♂️ В Vulners их будет, конечно, гораздо больше (как вариант делать платную PRO версию?). Возможно есть какие-то открытые базы с признаками наличия эксплоитов на том же GitHub-е - нужно ресерчить.
• Признак эксплуатации вживую. Тут также видимо придется ограничиться бесплатным источником - CISA KEV и ресерчить наличие открытых источников по фактам эксплуатации.
В рамках этого же проекта можно для уязвимостей отображать не только CVSS, но и вектор/скор OSOKA (только Базовые и Эксплуатационные метрики, конечно). 🙂
В общем, пока какие-то такие мысли. Как вам?
Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.
———
Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.
TOP of the Vulristics report
00:38 Memory Corruption – Microsoft Edge (CVE-2023-3079)
01:12 Remote Code Execution – GitHub (CVE-2023-29007)
01:40 Spoofing – Microsoft OneNote (CVE-2023-33140)
02:01 10 vulnerabilities CVSS Temporal Metrics "Proof-of-Concept Exploit"
No exploits or signs of exploitation in the wild
03:10 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
04:02 Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310)
05:27 Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)
Первые впечатления от июньского Microsoft Patch Tuesday. Вроде ничего интересного. 100 CVE с учетом набежавших за месяц. При этом практически нет уязвимостей в активной эксплуатации или с публичным эксплоитом. Поэтому в ТОП отчета Vulristics вылез всякий трэш.
1. Memory Corruption - Microsoft Edge (CVE-2023-3079). Потому что есть активная эксплуатация, содержится в CISA KEV.
2. Remote Code Execution - GitHub (CVE-2023-29007). GitHub, конечно, запатчили разово и всё, критична уязвимость самого git-а, т.к. эксплоит в паблике.
3. Remote Code Execution - .NET (CVE-2023-33128, CVE-2023-29331). Только потому что в CVSS Temporal есть Proof-of-Concept Exploit.
Просто нечего подсвечивать. 🤷♂️ Среди остального есть более интересные уязвимости, но пока это всё очень потенциальное:
1. Remote Code Execution - Microsoft Exchange (CVE-2023-32031, CVE-2023-28310). Требуется аутентификация!
2. Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
3. Elevation of Privilege - Microsoft SharePoint (CVE-2023-29357)
Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит. На картинках изменение критичности в отчёте Vulristics от High к Critical. EPSS продолжает показывать для этой уязвимости что-то абсолютно неадекватное, ну да и ладно. 🫠
FYI, пример как выпустить отчет для одной уязвимости в Vulristics
$ echo "CVE-2023-29336" > analyze_cve_list.txt
$ echo "" > analyze_cve_comments.txt
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "CVE-2023-29336" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
/$$ /$$ /$$ /$$
| $$ |__/ | $$ |__/
/$$ /$$ /$$ /$$| $$ /$$$$$$ /$$ /$$$$$$$ /$$$$$$ /$$ /$$$$$$$ /$$$$$$$
| $$ /$$/| $$ | $$| $$ /$$__ $$| $$ /$$_____/|_ $$_/ | $$ /$$_____/ /$$_____/
\ $$/$$/ | $$ | $$| $$| $$ \__/| $$| $$$$$$ | $$ | $$| $$ | $$$$$$
\ $$$/ | $$ | $$| $$| $$ | $$ \____ $$ | $$ /$$| $$| $$ \____ $$
\ $/ | $$$$$$/| $$| $$ | $$ /$$$$$$$/ | $$$$/| $$| $$$$$$$ /$$$$$$$/
\_/ \______/ |__/|__/ |__/|_______/ \___/ |__/ \_______/|_______/
Reading existing Patch Tuesday profile...
Exclude CVEs: 0
No specified products to analyze set in profile, reporting everything
All CVEs: 1
Counting CVE scores...
Collecting MS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Microsoft website
Collecting NVD CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from NVD website
Collecting EPSS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from epss website
Collecting AttackerKB CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from AttackerKB website WITHOUT authorization key
Collecting Vulners CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Vulners website WITH authorization key
Combining CVE data...
1/1 CVE-2023-29336
Counting CVE scores...
Making vulnerability reports for each reports config...
Report config: with_comments_ext_img
Report generated: reports/cve-2023-29336_report_with_comments_ext_img.html
Про CVE_Prioritizer и Vulristics. Несколько раз за последние месяцы натыкался на посты про CVE_Prioritizer. Но сегодня появился повод прокомментировать.
"CVE_Prioritizer is a powerful tool that helps you prioritize vulnerability patching by combining CVSS, EPSS, and CISA's Known Exploited Vulnerabilities. It provides valuable insights into the likelihood of exploitation and the potential impact of vulnerabilities on your information system."
Прикольная утилита, но, имхо, мой Vulristics приоритизирует покруче. 🙂 Он учитывает не только CVSS, EPSS и CISA KEV, но и тип уязвимости, распространенность софта, информацию об эксплоитах (из многих паков на Vulners) и атаках из AttackersKB.
И CVE_Prioritizer, и Vulristics для каждой уязвимости в динамике выполняют запросы к внешним источникам. Только у CVE_Prioritizer таких источников только 2 и поэтому он отрабатывает быстрее. Кроме того, Vulristics каждый раз в динамике определяет наименование софта и тип уязвимости по описанию. Это медленная операция. А в случае использования Vulners в качестве источника, всё это ещё и стоит денег 💸 (хотя лично мне не стоит, т.к. у меня ресерчерская лицензия - спасибо ребятам из Vulners!❤️). Так что с помощью Vulristics достаточно удобно оценивать 100-200 уязвимостей за раз (как в MS Patch Tuesday), а оценивать больше не особо рационально. 🙁
Что с этим можно сделать? Если заранее формировать полный (и желательно бесплатный/общедоступный 😉) фид по всем уязвимостям, чтобы Vulristics строил отчёт по готовым данным, это было бы гораздо быстрее и эффективнее. В этом случае можно было бы приоритизировать уязвимости хоть для всей инфраструктуры разом. У меня есть в некоторых долгосрочных планах этим заняться. Кто хочет поучаствовать - всегда welcome! 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.