Вот это важная тема. Патчить там пока нечего, но скиньте своим SOC-оводам, что бы детекты и черные списки настроили.
Upd. Ответ от Microsoft и указание CVE: CVE-2022-41040 Microsoft Exchange Server Server-Side Request Forgery (SSRF) и CVE-2022-41082 PowerShell RCE
О национальных базах уязвимостей, в частности китайских.
В Китае две основные государственные базы уязвимостей:
- https://www.cnnvd.org.cn/ Chinese National Vulnerability Database поддерживается China Information Security Evaluation Center
- https://www.cnvd.org.cn/ China National Vulnerability Database поддерживается National Computer Network Emergency Technical Handling Coordination Center, CNCERT/CC, подразделение Ministry of Industry and Information Technology
Зачем вообще нужны национальные базы уязвимостей, когда есть NVD? Обычно такие базы создаются при гос. органе, который, кроме прочего, должен предупреждать компании и организации о появлении опасных уязвимостей требующих оперативного исправления. Чтобы это делать нужна как минимум страница с профилем уязвимости. Делать это ссылкой на американскую базу мало того, что довольно унизительно, но ещё и ненадежно. Сегодня NVD публично доступна, а завтра, например, ограничат доступ по IP или даже сделают хитрую закрытую регистрацию. Тогда что? А они могут. Или если появилась информация о новой уязвимости в софте, который в западном мире вообще не представлен, то получается нужно в обязательном порядке репортить её в MITRE/NVD и ждать пока они добавят (если вообще добавят)? Тоже как-то не очень. Опять же данные в NVD дополнительными полями не расширишь, в случае каких-то выявленных проблем в описании по-быстрому не поправишь. Зависимость.
В общем, даже если национальная база уязвимостей это буквальный клон NVD, все равно её существование видится вполне оправданным. При условии конечно, что её наполнение не хуже, чем NVD. Обеспечивать это пока NVD публично доступна, дело довольно простое. Дергаешь фиды и раскладываешь их к себе. А если NVD вдруг перестанет быть доступной публично, то и статус её в мире довольно оперативно изменится. А если же национальная база лучше по наполнению (по количеству уязвимостей, их описанию или поддержке продуктов), то и тем более оправдано.
Единственная сложность в том, что национальные базы уязвимостей обычно ведутся на национальных же языках. Ну, имеют право. Но в наш век дешевого и достаточно качественного автоматического перевода, это перестает быть чем-то непреодолимым. Тем более, что описания уязвимостей достаточно однотипные. И вот ребята из Vulners эту проблему успешно решают. Они добавили поддержку CNVD сразу на английском! https://vulners.com/search?query=type:cnvd Теперь работать с CNVD не сложнее чем с NVD. Это ли не круто, товарищи?! 🙂
Записал традиционный расширенный вариант отчета по сентябрьскому Microsoft Patch Tuesday. Кратко и на русском было здесь.
—-
Hello everyone! Let’s take a look at Microsoft’s September Patch Tuesday. This time it is quite compact. There were 63 CVEs released on Patch Tuesday day. If we add the vulnerabilities released between August and September Patch Tuesdays (as usual, they were in Microsoft Edge), the final number is 90. Much less than usual.
00:30 Proof-of-Concept Exploits (CVE-2022-33679, CVE-2022-38007, CVE-2022-34729)
02:29 Exploitation in the wild: CLFS Driver EoP (CVE-2022-37969), Microsoft Edge Security Feature Bypass (CVE-2022-2856, CVE-2022-3075)
03:54 IP packet causes RCE: Windows TCP/IP RCE (CVE-2022-34718), IKE RCE (CVE-2022-34721, CVE-2022-34722)
05:39 Windows DNS Server DoS (CVE-2022-34724)
06:30 Spectre-BHB (CVE-2022-23960)
Video: https://youtu.be/KB6LN5h9VwM
Video2 (for Russia): https://vk.com/video-149273431_456239101
Blogpost: https://avleonov.com/2022/09/24/microsoft-patch-tuesday-september-2022-clfs-driver-eop-ip-packet-causes-rce-windows-dns-server-dos-spectre-bhb/
Full report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html
Тяжела и неказиста жизнь простого Vulnerability Management специалиста. Тоже напишу про European Cybersecurity Skills Framework (ECSF).
"Целью ECSF является создание общего понимания соответствующих ролей, компетенций, навыков и знаний; способствовать признанию навыков кибербезопасности; и поддерживать разработку учебных программ, связанных с кибербезопасностью. В нем все роли, связанные с кибербезопасностью, объединены в 12 профилей, которые индивидуально проанализированы с учетом деталей обязанностей, навыков, синергии и взаимозависимостей, которым они соответствуют."
Грубо говоря, такой примерный набор ИБ-шных профессий-специализаций.
Как видите отдельного профиля под Vulnerability Management здесь нет. Из того что есть более-менее похоже:
- Cybersecurity Implementor. Но тут упор по идее должен быть в конфигурирование, а не детект проблем.
- Cybersecurity Risk Manager. Но риски бывают отнюдь не связанные с уязвимостями.
- Penetration Tester. Но упор по идее должен быть на эксплуатацию уязвимостей, а не планомерное исправление всех потенциальных проблем.
- Cyber Threat Intelligence Specialist. Но тут упор по идее должен быть на детектировании злоумышленников и малварей.
- Cybersecurity Auditor. Но тут упор по идее должен быть на регуляторику.
Смотрю описание ролей, ищу там по "vulnerabi"
- CYBER INCIDENT RESPONDER - 2
- CYBERSECURITY IMPLEMENTER - 1
- CYBERSECURITY RISK MANAGER - 2
- DIGITAL FORENSICS INVESTIGATOR - 1
- PENETRATION TESTER - 8
В общем намекают на то, что VM-щикам в пентестеры надо. Плюс альтернативное название этой специализации "Vulnerability Analyst".
Как по мне, Vulnerability Management это далжна быть отдельная специализация с упором разные способы детектирования, оценку уязвимости, патчинг, переконфигурирование. Но вот заинтересованной группы, которая продвигала бы такой взгляд на вещи я не наблюдаю. Даже VM-вендоры в эту сторону не особо активничают (а могли бы). Какого-то профессионального комьюнити, концентрирующегося именно на VM-е, тоже как такового нет. Печально.
Давайте посмотрим на сентябрьский Microsoft Patch Tuesday. В этот раз компактненько. Всего 63 уязвимости. С учетом уязвимостей вышедших между августовским и сентябрьским Patch Tuesday (как обычно, в Microsoft Edge), получается 90. Весьма и весьма немного.
1. Уязвимостей с публичными эксплоитами пока нет. Есть 3 уязвимости для которых существует Proof-of-Concept Exploit по данным из CVSS
Elevation of Privilege - Kerberos (CVE-2022-33679)
Elevation of Privilege - Azure Guest Configuration and Azure Arc-enabled servers (CVE-2022-38007)
Elevation of Privilege - Windows GDI (CVE-2022-34729)
Но вероятность, что это докрутят до боевого состояния невысока.
2. Есть 3 уязвимости с признаком эксплуатации вживую
Elevation of Privilege - Windows Common Log File System Driver (CVE-2022-37969). Можно поднять права до SYSTEM. Затрагивает массу версий Windows, есть патчи даже под EOL операционки. Кроме этой уязвимости был пучок виндовых EoP-шек без признаков эксплуатации, например Elevation of Privilege - Windows Kernel (CVE-2022-37956, CVE-2022-37957, CVE-2022-37964)
Security Feature Bypass - Microsoft Edge (CVE-2022-2856, CVE-2022-3075). Уязвимости Edge это по факту уязвимости Chromium. Обратная сторона использования одного и того же движка. Уязвимости Chrome аффектят также Edge, Opera, Brave, Vivaldi и прочее.
3. RCE от посланного IP пакета 😱
Remote Code Execution - Windows TCP/IP (CVE-2022-34718). "An unauthorized attacker can use it to execute arbitrary code on the attacked Windows computer with the IPSec service enabled by sending a specially crafted IPv6 packet to it. This vulnerability can only be exploited against systems with Internet Protocol Security (IPsec) enabled." IPsec и IPv6 зло, лол. 🙂 Но если серьезно, то скверно, что такое вообще бывает.
И это ещё не все, есть ещё Remote Code Execution - Windows Internet Key Exchange (IKE) Protocol Extensions (CVE-2022-34721, CVE-2022-34722). "An unauthenticated attacker could send a specially crafted IP packet to a target machine that is running Windows and has IPSec enabled, which could enable a remote code execution exploitation."
4. Denial of Service - Windows DNS Server (CVE-2022-34724). С одной стороны только DoS, с другой стороны работу компании можно неплохо так парализовать.
5. Memory Corruption - ARM processor (CVE-2022-23960). Фикс для очередного Spectre, на этот раз Spectre-BHB. Про практическую эксплуатабельность видимо говорить не приходится, так же как и в случае остальных уязвимостей типа Spectre, но практически все обзорщики на эту уязвимость внимание обратили.
Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html
Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.
Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.
Scanvus может показать уязвимости для
- локалхоста
- удаленного хоста по SSH
- docker-образа
- файла c инвентаризацией
Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.
В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).
Video: https://youtu.be/GOQEqdNBSOY
Video2 (for Russia): https://vk.com/video-149273431_456239100
Blogpost: https://avleonov.com/2022/09/17/scanvus---my-open-source-vulnerability-scanner-for-linux-hosts-and-docker-images/
Github: https://github.com/leonov-av/scanvus
Спасибо тем, кто сегодня пришел! Несмотря на технические проблемы, вроде прошло неплохо. Почти соло-стрим получился. 🙂
Соберу ссылочки на темы, которые я упоминал.
1. Февральская конфа Tenable Security перед тем как они ушли хлопнув дверью https://www.youtube.com/watch?v=V5T3ftcFwdY
2. Пропагандистский отчет Microsoft, конец нейтральности https://avleonov.ru/2022/07/19/28-prochital-svezhij-majkrosoftovskij-report-tot-samy/
3. Мой опенсурсный проект Monreal: оценка стабильности вендоров https://avleonov.ru/2022/07/10/13-pervyj-skriptik-pozvoljaet-po-zapolnennomu-oprosni/
4. Мой опенсурсный проект Monreal: реализация алгоритма НКЦКИ https://avleonov.ru/2022/07/10/14-vtoroj-skriptik-eto-realizatsija-rekomendatelnogo/
5. Мой доклад на CISO Forum про зловредный Open Source https://www.youtube.com/watch?v=LPXg-MEamVA
6. Американские требования по проверке уязвимостей опенсурсных компонент, используемых в продуктах https://avleonov.ru/2022/08/18/75-u-alekseja-lukatskogo-segodnja-byl-interesnyj-post/
7. Конкурс ФСТЭК на систему проверку апдейтов от недружественных вендоров https://avleonov.ru/2022/08/31/92-i-snova-pro-nestabilnyh-zarubezhnyh-itib-vendorov/
8. Вот это не упоминал, но тоже в тему "Девестернизация IT" https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/
9. Доклад на PHDays, +- про то же что и сегодня было, но со слайдами https://www.youtube.com/watch?v=XbAxuikX_eE
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.