Архив рубрики: Темы

Как обучать Vulnerability Management-у?

2 комментария

Как обучать Vulnerability Management-у?

Как обучать Vulnerability Management-у? Мне предложили поучаствовать в записи онлайн-курса переподготовки по ИБ для МГТУ им. Н.Э. Баумана в части VM-а. 🎓

Аудитория: слушатели курсов по профессиональной переподготовке и студенты ИБ-шники
Дедлайн: конец августа
Фронт работ: 3 ролика по 20-25 минут

Темы:
🔹 Анализ защищённости
🔹 Управление уязвимостями
🔹 Управление обновлениями

Объем небольшой, но можно сделать первый подход к полноценному семестровому курсу.

Пока у меня задумка такая:

1. Видео по анализу защищённости хочу посвятить тому, что такое уязвимости и техническим способам детектирования уязвимостей. Простые виды веб-уязвимостей продемонстрирую на своём старом проекте уязвимого приложения. Сканирование в режиме "чёрного ящика" рассмотрим на примере cpe-детектов в nmap с Vulners плагином. Для Linux уязвимостей (включая Docker-образы) рассмотрим бюллетени безопасности и SCAP-контент. Для Windows уязвимостей рассмотрим Patch Tuesday и поговорим о KB-шках. Цель - показать как работают сканеры уязвимостей, подсвятить какие там есть проблемы и сложности.

2. Видео по управлению уязвимостями планирую построить на той идее, что управление уязвимостями это не только их детектирование, а комплексный процесс, который должен быть выстроен в организации. Оттолкнемся от руководства ФСТЭК по организации VM-процесса. Разберем способы приоритизации уязвимостей (также на примере методики ФСТЭК). Коснёмся основных метрик, за которыми следует следить: покрытие хостов в инфраструктуре VM-процессом, выполнение SLA по исправлению уязвимостей. Поговорим о Vulnerability Intelligence и о том, что делать, когда для уязвимости нет автоматизированных детектов.

3. Видео по управлению обновлениями хочу построить вокруг идеи, что уязвимостей очень много, разбираться с каждой по отдельности накладно, а выход в том, чтобы договариваться с IT-шниками о процессе регулярного безусловного обновления систем. Это позволит VM-щикам избавиться от рутины и уделять больше времени наиболее критичным трендовым уязвимостям и уязвимостям, которые простым обновлением не фиксятся. Здесь хотелось сформулировать лучшие практики по общению с IT: распространенные уловки и способы их обойти, методы эскалации, идеи по метрикам/презентациям для руководства и т.п. Здесь же коснемся требований ФСТЭК по контролю безопасности обновлений и, как следствие, необходимости скорейшего импортозамещения IT-систем.

Собираю комментарии и пожелания в посте в ВК. 😉

Англосаксонские госбезопасники из 5 стран выпустили совместный отчёт "2022's Top Routinely Exploited Vulnerabilities"

4 комментария

Англосаксонские госбезопасники из 5 стран выпустили совместный отчёт 2022's Top Routinely Exploited Vulnerabilities

Англосаксонские госбезопасники из 5 стран выпустили совместный отчёт "2022's Top Routinely Exploited Vulnerabilities". Т.е. ТОП повседневно эксплуатируемых уязвимостей за прошлый год. Я взял этот отчёт, выписал упоминания CVEшек и выпустил 2 отчёта Vulristics:

1. TOP 12 уязвимостей
2. Расширенный со всеми уязвимостями (42) из отчёта

В Топе на 12 уязвимостей у всех CVE есть ссылки на эксплоиты и признак эксплуатации in the wild. Все Urgent, кроме одной, т.к. она EoP и в не самом распространенном софте Workspace One. В самые критичные попали RCE в Apache Log4j2, Microsoft Exchange и Confluence.

В расширенном отчёте все CVE с признаками эксплуатации in the wild, но есть 6 уязвимостей без ссылок на эксплоиты и поэтому в критичности Critical/High. В самые критичные попали RCE в Apache HTTP Server, Apache Log4j2, Windows RDP, Microsoft Exchange.

По сравнению с прошлогодним отчётом, ушёл GitLab и экзотика типа Hikvision и Buffalo. Подборочка стала выглядеть поадекватнее.

Команды для тех, кто сам хочет построить отчет в Vulristics по комментам для CVE-шек из AA23-215A

Добавить комментарий

Команды для тех, кто сам хочет построить отчет в Vulristics по комментам для CVE-шек из AA23-215A. 

$ cat AA23-215A_comments.txt | grep -v "30 Additional" | egrep -o "CVE-[0-9]*-[0-9]*" | sort | uniq > AA23-215A_cves_top12.txt
$ cat AA23-215A_comments.txt | egrep -o "CVE-[0-9]*-[0-9]*" | sort | uniq > AA23-215A_cves.txt

$ python3 vulristics.py --report-type "cve_list" --cve-project-name "AA23-215A" --cve-list-path "AA23-215A_cves.txt" --cve-comments-path "AA23-215A_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "AA23-215A_top12" --cve-list-path "AA23-215A_cves_top12.txt" --cve-comments-path "AA23-215A_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "False"

Забавная подробность: 8 агентств из 5 стран выпустили, а не нашлось никого, кто бы внимательно прочитал и обратил внимание, что у них в нескольких местах идентификатор для Log4Shell написан как "CVE-2021- 44228" с пробелом. Причём как в pdf, так и в web-версии. 😏

Ещё про PoC in GitHub

Добавить комментарий

Ещё про PoC in GitHub

Ещё про PoC in GitHub. Вот я написал, что CVE-2023-36884 там есть. Но если присматриваться, то всё не так радужно. 😐 Давайте разберём.

Maxwitat/CVE-2023-36884-Scripts-for-Intune-Remediation-SCCM-Compliance-Baseline - скрипт для ремедиации
deepinstinct/Storm0978-RomCom-Campaign - IOC-и
zerosorai/CVE-2023-36884 - утилита для ремедиации
tarraschk/CVE-2023-36884-Checker - скрипт для детектирования уязвимости
or2me/CVE-2023-36884_patcher - утилита для ремедиации
ToddMaxey/CVE-2023-36884 - скрипт для ремедиации
ridsoliveira/Fix-CVE-2023-36884 - скрипт для ремедиации
raresteak/CVE-2023-36884 - информация для ремедиации

Пока нет там никакого POC-а. 🤷‍♂️

Т.е. "PoC in GitHub" было бы уместнее называть "CVE mentions in GitHub". Упоминания CVE-шек он подсветит, но контекст, разумеется, не покажет. Дальше только ручной анализ или какая-то хитрая автоматизированная классификация находок.

Посмотрел на гитхабе репозиторий PoC in GitHub

Добавить комментарий

Посмотрел на гитхабе репозиторий PoC in GitHub

Посмотрел на гитхабе репозиторий PoC in GitHub. Там содержатся результаты автоматизированного поиска эксплоитов для CVE уязвимостей на GitHub. В настоящий момент там PoC-и для 4484 CVE идентификаторов. Выборочно проверил, вроде ок. Например, RCE уязвимость Office (CVE-2023-36884) из последнего Patch Tuesday там есть.

Распределение по годам:

CVE-1999-*: 4
CVE-2000-*: 4
CVE-2001-*: 10
CVE-2002-*: 14
CVE-2003-*: 6
CVE-2004-*: 9
CVE-2005-*: 7
CVE-2006-*: 13
CVE-2007-*: 18
CVE-2008-*: 21
CVE-2009-*: 22
CVE-2010-*: 25
CVE-2011-*: 27
CVE-2012-*: 39
CVE-2013-*: 64
CVE-2014-*: 128
CVE-2015-*: 144
CVE-2016-*: 185
CVE-2017-*: 323
CVE-2018-*: 407
CVE-2019-*: 504
CVE-2020-*: 684
CVE-2021-*: 747
CVE-2022-*: 739
CVE-2023-*: 340

Растёт общее число CVE-шек, растет и число эксплуатабельных CVE-шек. ⤴️ При этом никто не даёт гарантии, что PoC-и рабочие и что там нет рикролов или малварей. Будьте осторожны.

В любом случае, это хороший источник данных для собственного фида по уязвимостям.

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

1 комментарий

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security

Прочитал про свежий около-VMный ИзраильскийСтартап™ под названием Cyclops Security. Основная фишка у них это возможность делать запросы о состоянии ИБ в организации на естественном языке, а-ля ChatGPT. Для VM-щиков обещают:

🔹 Приоритизировать критичность уязвимостей
🔹 Повысить эффективность
🔹 Дополнять решения по ремедиации уязвимостей бизнес-контекстом
🔹 Снизить уровень шума

В целом, если сможет аргументированно (например, на уровне Perplexity AI) отвечать на выскоуровневые общие вопросы типа "через что нас скорее всего поломают?", "чем сейчас полезнее всего было бы заняться VM-щикам?", "в какой IT-команде самая жесть с уязвимостями и что конкретно нам от них нужно?", то будет вполне себе полезная штука. 🙂 А если она ещё сможет сама пропушивать патчинг и вести задушевные мотивирующие разговоры c IT-шниками, то вообще будет топ и shut up and take my money. 😅 💸

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday

1 комментарий

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂

------

Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.

Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table

TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)

Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report