Архив рубрики: Темы

3 июля Telegram-каналу "Управление Уязвимостями и прочее" исполнилось 2 года

3 июля Telegram-каналу Управление Уязвимостями и прочее исполнилось 2 года

3 июля Telegram-каналу "Управление Уязвимостями и прочее" исполнилось 2 года. Год назад у канала было ~1740 подписчиков, а буквально вчера мы перевалили за 6000. 🥳 Темпы роста просто за гранью. Спасибо вам всем огромное за то, что читаете, лайкаете и шарите посты! Мне это всегда очень приятно! 😊

Планирую продолжать в том же духе. Буду писать про трендовые уязвимости и важные новости VM‑а, делать мини-обзоры Microsoft Patch Tues­day и Lin­ux Patch Wednes­day (сегодня будет июльский), рассказывать про Vul­ris­tics и другие мои open source проекты, делиться мыслями про Vul­ner­a­bil­i­ty Man­age­ment практики. Ну и изредка буду вкидывать всякий оффтоп. 😉

Прочитал про уязвимость Remote Code Execution — Bitrix (CVE-2022–29268) и инцидент с дефейсом Jet CSIRT

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT

Прочитал про уязвимость Remote Code Exe­cu­tion — Bitrix (CVE-2022–29268) и инцидент с дефейсом Jet CSIRT.

🔻 Уязвимость 2022 года. На NVD она в статусе "Reject­ed", хотя эксплуатабельность её подтверждена. 🤷‍♂️ В чём суть. CMS Bitrix можно развернуть из вендорского образа "1C-Битрикс: Виртуальная машина". После включения виртуалки нужно без аутентификации зайти на вебинтерфейс и провести настройку. На определённом шаге есть опция "Загрузка резервной копии". Вместо резервной копии туда можно подсунуть веб-шелл, который успешно установится. 🫠

🔻 И какой риск? Не будут же интерфейс первоначальной настройки в Интернет выставлять? 🤔 А вот выставляют, ищется гуглдорком. 😏

🔻 Так произошло и в кейсе с дефейсом сайта Jet CSIRT. В ноябре 2023 интерфейс настройки был выставлен в Интернет на 3 дня. Злоумышленники его нашли и залили шелл. 🤷‍♂️

Jet‑ы пишут, что Bitrix‑ы такое поведение настройщика уязвимостью не считают. Так что рекомендация одна: не выставлять его в Интернет. 😅🤡

ТОП 5 CVE, которые чаще других эксплуатировались пентестерами Positive Technologies в 2023 году

ТОП 5 CVE, которые чаще других эксплуатировались пентестерами Pos­i­tive Tech­nolo­gies в 2023 году. Отчёт вышел 2 июля.

Список уязвимостей:

🔻 Remote Code Exe­cu­tion — Microsoft Exchange "Prox­yNot­Shell" (CVE-2022–41040, CVE-2022–41080, CVE-2022–41082)
🔻 Remote Code Exe­cu­tion — Bitrix Site Man­ag­er "PollsVotes" (CVE-2022–27228)
🔻 Ele­va­tion of Priv­i­lege — Polk­it "PwnKit" (CVE-2021–4034)

Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.

По пентестам за прошедший год отчёт
Вышел у Позитивов.
Каждый кто его прочтёт,
Увидит, что там всё красиво.
28 проектов, есть что показать.
Статистика и результаты.
Умеют защищать и умеют ломать —
Молодцы ребята!
(Молодцы ребята!)

К отчёту они подошли всерьёз.
Ознакомьтесь без спешки!
Но у меня всегда один вопрос:
Где там CVE-шки?
(Где там CVE-шки?)

По отчёту уязвимости не сложно сосчитать.
Их совсем немного. Их конкретно пять.

Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
Prox­yNot­Shell в Эксчендже,
А на Lin­ux-ах PwnKit.

Самый популярный почтовый сервак
MS Exchange — лакомая цель любых атак.
3 уязвимости Prox­yNot­Shell — по сути одна
Remote Code Exe­cu­tion. Опасность наглядно видна.

Bitrix Site Man­ag­er — популярная в России CMS.
И к тому же отечественная. Импортозамeс!
RCE в модуле "Опросы, голосования" -
Причина массовых дефейсов и для атак на инфру основание.

Ну а если злоумышленник
На Lin­ux хост проник
И там спокойно сидит,
Нет надёжнее стратегии,
Чем поднять до root‑a привилегии
Через уязвимость Polk­it, PwnKit.

Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
Prox­yNot­Shell в Эксчендже,
А на Lin­ux-ах PwnKit.

Это были результаты за 2023 год.
Что за тренды нам текущий год принесёт?
Кто подаст надёжный патчиться сигнал?
Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.

MP3 файл

Защита на 100%?

Защита на 100%?

Защита на 100%? В канале Дениса Батранкова, если кто не знает, он известный эксперт по сетевой безопасности, вышел пост о невозможности стопроцентной защиты. Обосновывает он это как раз со стороны Управления Уязвимостями:

🔹 поток новых уязвимости слишком велик, их необходимо постоянно выявлять и исправлять, что делать трудоёмко

🔹 0day уязвимости начинают эксплуатироваться до появления патчей и от них VM в принципе не спасает

Полностью согласен. Я бы ещё со ссылкой на БОСПУУ, обратил внимание на то, что

🔸 прежде чем заниматься защитой активов необходимо знать, какие активы у нас вообще есть и понимать насколько они критичны

🔸 средства детектирования уязвимостей имеют свои функциональные ограничения, которые необходимо иметь в виду

В целом, речь, конечно, не идёт ни о каком достижении 100% защиты, а об избежании стопроцентного решета, которое возникает, если Vul­ner­a­bil­i­ty Man­age­ment-ом (и информационной безопасностью вообще) не заниматься. 🤷‍♂️

Выпустил новую версию Vulristics 1.0.6

Выпустил новую версию Vulristics 1.0.6

Выпустил новую версию Vul­ris­tics 1.0.6.

🔹 Упростил работу с данными об эксплоитах. Теперь все Data Sources приносят эти данные в едином формате и они обрабатываются единообразно. В том числе признаки наличия эксплоита в Microsoft CVSS Tem­po­ral Vec­tor (отношу их к приватным эксплоитам). Сначала смотрю наличие публичных эксплоитов, если их нет, то приватных эксплоитов.

🔹 Поправил багу из-за которой не получалось принудительно выставлять тип уязвимости из Cus­tom Data Source.

🔹 При упрощённом детектировании наименования продуктов для генерённых описаний уязвимостей Microsoft описание продуктов теперь подтягивается и по alternative_names.

🔹 Исправил багу с падением Vul­ris­tics при генерации отчёта Microsoft Patch Tues­day во время поиска обзора MSPT от Qualys. Теперь падать не будет, просто отчёт Qualys не будет учитываться. Чтобы учитывался, нужно прописать ссылку в файле comments_links. Пример описания добавил в help и README.

Changel­og
Непожатая картинка

А можно мне, пожалуйста, не заниматься оценкой адекватности средств детектирования уязвимостей?

А можно мне, пожалуйста, не заниматься оценкой адекватности средств детектирования уязвимостей?

А можно мне, пожалуйста, не заниматься оценкой адекватности средств детектирования уязвимостей? Не проверять достаточность детектов, а тем более их фактическую реализацию.

Да можно. 🙄 Я вообще мало знаю людей, кто этим заморачивается. К сожалению, большинство относится формально. Принимают всё на веру, VM-вендоров лишний раз не стимулируют. 🤷‍♂️

К чему это приводит? Маркетинг VM-вендоров решает, что детекты это коммодити, качество их никому не интересно и продажи не улучшает. Разработчики в VM-вендорах расслабляются. Главное же, чтобы на полностью обновлённой системе всё зелёненькое было, а на необновлённой красненькое. Остальное не так и важно, правда? 😏 VM-продукты деградируют.

Весь пафос VM-специалистов сыпется от того, что источник продетектированных уязвимостей неадекватный. И так оно тянется вплоть до реальных инцидентов, в которых VM-щики становятся крайними. 🤷‍♂️

В итоге имеем порочный круг лени и наплевательства, который гробит всю идею VM‑а. 😔

EASM и CAASM — это просто сценарии применения сканера безопасности?

EASM и CAASM - это просто сценарии применения сканера безопасности?

EASM и CAASM — это просто сценарии применения сканера безопасности? Рубрика "занудно реагируем на мемасики". 🙂 У меня был пост по классам решений, включая EASM и CAASM.

EASM — это действительно сервис на основе сканера уязвимостей, который работает в режиме Pen­test (без аутентификации). Так что выражение, отчасти, правда. Однако, EASM подразумевает функциональность по самостоятельному определению периметра организации (например, отталкиваясь от доменного имени) и фокус на контроле и учёте активов. Также этот сканер должен быть заточен под проблемы специфичные для периметра, например, искать админки. EASM может быть отправной точкой вендора к развитию полноценного инфраструктурного VM‑а. И наоборот, VM-вендор может реализовать EASM модуль.

CAASM фокусируется на интеграции через API с другими системами, содержащими информацию об активах. Если там сканер и используется, то это побочная функциональность. Я бы не стал относить CAASM к "сценариям применения сканера безопасности".