Быстро же появился PoC для glibc EoP/LPE (CVE-2023-4911) "Looney Tunables" от заслуженного ресерчера. Пишет, что write-up Qualys-ов был более чем подробным.
Вот это забавная игрулька: генерация расшифровки аббревиатуры ИБшного продукта и его текстового описания.
"AVLEONOV - комплексный продукт кибербезопасности, предлагающий продвинутое сканирование уязвимостей, обширный анализ сетевого ландшафта, усиление безопасности, детекцию атак и наглядную визуализацию операций."
А чего, вполне недурно. Может запилить такое? 😁 Приурочено это к презентации MaxPatrol EDR 9 октября.
Время побеспокоить отдел, который у вас в компании ML-ем балуется, SSRF/RCE в TorchServe (CVE-2023-43654, CVE-2022-1471), ShellTorch. CVSS 9.8 и 9.9. TorchServe это опенсурсная платформа, которая позволяет развертывать обученные модели PyTorch. Например, чтобы автомобильные номера распознавать. Израильтяне из Oligo Security обнаружили, что из-за дефолтного конфига интерфейсы управления TorchServe часто наружу торчат без какой-либо аутентификации. 🤷♂️ С помощью сетевого сканера они десятки тысяч IP-адресов нашли, которые подвержены атаке. А атака это комбинация SSRF в TorchServe и небезопасной десериализации в SnakeYAML (библиотека анализа YAML).
Пишут, что обновление до пропатченной версии 0.8.2 и выше по факту SSRF не лечит, только warning добавляет. Предлагают митигировать правильной настройкой конфига TorchServe. Есть проверочная утилита.
Qualys-ы опять наресерчили EoP/LPE уязвимость во всех Linux-дистрибах. Речь о переполнении буфера в glibc (CVE-2023-4911). Название Looney Tunables уязвимость получила от переменной окружения GLIBC_TUNABLES. Qualys-ы пишут, что у них есть эксплоит для получения полных root-прав в основных дистрибутивах, таких как Fedora, Ubuntu и Debian. Эксплоит они выкладывать пока не собираются, но подозревают, что другие исследовательские группы могут вскоре создать и выпустить свои эксплоиты.
Qualys-ы вообще любят подобны LPE-шки. Навскидку вспоминаются их Baron Samedit, Sequoia, PwnKit.
Можно замерять, как быстро появятся фиксы в отечественных дистрибах. 😏
По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023-42115). Уязвимость зарепортили через ZDI. На первый взгляд выглядит страшновато, CVSS 9.8. Но пишут со ссылкой на разрабов, что уязвимы не все инсталляции, а только те, где используется "внешняя" схема аутентификации. 🤷♂️ Так что это, по идее, НЕ повторение CVE-2019-10149 "The Return of the WIZard", которая успешно и широко эксплуатировалась на дефолтных конфигурациях, а что-то менее критичное. Но в любом случае, если у вас почтовый сервер на Exim (да и вообще на чём-то нетривиальном, не на MS Exchange), лучше лишний раз "подпрыгнуть" и разобраться как оно там работает и как обновляется. Наверняка будут сюрпризы. Тем более, что в этой пачке для Exim ещё 5 уязвимостей, которые неплохо бы зафиксить.
На текущий момент Vulners показывает для CVE-2023-42115 только бюллетень безопасности/пакеты с исправлением под Debian. А остальные дистрибы видимо пока без фиксов, ждём.
🟥 PT относит уязвимость к трендовым.
Прожектор по ИБ, выпуск №5 (01.10.2023). Вчера лампово пообщались с Антоном Лопаницыным. В основном мы разговаривали про недавно прошедший KazHackStan, компанию ЦАРКА и недавнее новоселье в Кибердоме.
Кто мы:
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"
00:00 Дурачимся
01:04 Здороваемся
02:02 Придумываем как нам увеличить просмотры, начнем стримить из RDR2?
03:08 Антон исполняет "Куда уходит Саша?" на гитаре для Guitar Hero. Куда уходит всё ещё непонятно, но теперь понятно, когда станет понятно.
05:08 Правительство РФ поддержало бонусную программу от Минцифры о выплате денежный компенсаций пользователям, пострадавшим от утечек ПДН
08:25 Разгоняем про ущерб от утечек и справедливую компенсацию (бесплатные суши?)
10:33 Каминсун бай ЦАРКА
11:07 Антон рассказывает историю откуда взялось название KazHackStan
13:03 Что Антон делал на KazHackStan 2023? "Самая уютная конфа"
13:35 Нейтральная территория для встречи с разъехавшимися
15:24 Что стало открытием?
16:49 Как туда люди попадают? CFP было?
18:40 За чей счёт банкет, если это невендорская история?
21:50 Насколько отличаются спикеры? Много тех, кто до России не доезжает?
22:39 Про новоселье в Кибердоме
23:42 Что это за проект-то такой, Кибердом?
27:44 А что по поводу резидентства? "Аналог абонемента в спортзал"
29:07 Отличное место для знакомств
30:11 Про усы Антона
31:16 Дружественные страны бывшего СССР как место выхода российского бизнеса по ИБ
33:44 ИБ вендоры Казахстана и других дружественных стран бывшего СССР
34:11 Про ЦАРКА
35:14 Антон рассказывает откуда взялась ЦАРКА и как они развивались
37:11 Дурачимся
38:59 Напутственные философские слова от Антона
40:27 Прощальная цитата от Mr. X
Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia
Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Main Job
01:57 Goodbye Tinkoff
Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.