Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит. На картинках изменение критичности в отчёте Vulristics от High к Critical. EPSS продолжает показывать для этой уязвимости что-то абсолютно неадекватное, ну да и ладно. 🫠
FYI, пример как выпустить отчет для одной уязвимости в Vulristics
$ echo "CVE-2023-29336" > analyze_cve_list.txt
$ echo "" > analyze_cve_comments.txt
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "CVE-2023-29336" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
/$$ /$$ /$$ /$$
| $$ |__/ | $$ |__/
/$$ /$$ /$$ /$$| $$ /$$$$$$ /$$ /$$$$$$$ /$$$$$$ /$$ /$$$$$$$ /$$$$$$$
| $$ /$$/| $$ | $$| $$ /$$__ $$| $$ /$$_____/|_ $$_/ | $$ /$$_____/ /$$_____/
\ $$/$$/ | $$ | $$| $$| $$ \__/| $$| $$$$$$ | $$ | $$| $$ | $$$$$$
\ $$$/ | $$ | $$| $$| $$ | $$ \____ $$ | $$ /$$| $$| $$ \____ $$
\ $/ | $$$$$$/| $$| $$ | $$ /$$$$$$$/ | $$$$/| $$| $$$$$$$ /$$$$$$$/
\_/ \______/ |__/|__/ |__/|_______/ \___/ |__/ \_______/|_______/
Reading existing Patch Tuesday profile...
Exclude CVEs: 0
No specified products to analyze set in profile, reporting everything
All CVEs: 1
Counting CVE scores...
Collecting MS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Microsoft website
Collecting NVD CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from NVD website
Collecting EPSS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from epss website
Collecting AttackerKB CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from AttackerKB website WITHOUT authorization key
Collecting Vulners CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Vulners website WITH authorization key
Combining CVE data...
1/1 CVE-2023-29336
Counting CVE scores...
Making vulnerability reports for each reports config...
Report config: with_comments_ext_img
Report generated: reports/cve-2023-29336_report_with_comments_ext_img.html
Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта. 😏 На этот раз Barracuda ESG (Email Security Gateway).
"Шлюз безопасности электронной почты Barracuda защищает от входящих вредоносных программ, спама, фишинга и атак типа «отказ в обслуживании» и гарантирует, что атаки через систему электронной почты не повлияют на продуктивность бизнеса". 👍
🔹23 мая написали, что в апплаенсах Barracuda ESG нашли RCE уязвимость CVE-2023-2868 и применили патчи.
🔹30 мая написали, что там не просто уязвимость, а активные атаки и малвари. Об этом знали ещё 18 мая, но клиентам не написали. "Your trust is important to us", ага. 😄
…
🔹9 июня написали, что оказывается патчи проблему не решают. "Затронутые апплаенсы ESG должны быть немедленно заменены независимо от патч-левела". 🤷♂️😜
Rapid7 нашли в интернете по баннеру SMTP сервиса ~11,000 таких апплаенсов.
Нашёл идеальный головной убор для созвонов с овнерами систем. 😆 Несите ответственность [за поддержание вашей IT-инфраструктуры в безопасном состоянии], следуйте правилам [по регулярному обновлению хостов, миграции с EOL операционок, оперативному исправлению критичных уязвимостей].
Подробности по "российскому Shodan-у" от Минцифры. Видимо эта тема будет в Роскомнадзоре:
"Роскомнадзор на базе ЦМУ (центра мониторинга и управления сетью связи общего пользования) создаёт отечественную доверенную систему сканирования, которая позволит выявить уязвимости российских информационных ресурсов, предоставляя возможность их оперативного устранения".
А собственно Shodan, Census, ZoomEye и прочих видимо будут как-то блочить:
"С целью защиты российских систем одновременно планируется принять меры по ограничению сканирования зарубежными сервисами российского сегмента интернета".
По внутренностям системы сканирования деталей пока нет, но помним презентацию Rooster-а от CyberOK на PHDays. 😉
Результаты сканирования RedCheck и ScanOVAL для Windows хостов. Есть коммерческий VM-продукт RedCheck от АЛТЭКС-СОФТ и бесплатный локальный сканер уязвимостей ScanOVAL от ФСТЭК, который также использует контент от АЛТЭКС-СОФТ. Было интересно посмотреть, а есть ли какая-то разница в результатах сканирования. Возможно какая-нибудь разница в контенте или в работе движка. Сравнение отчетов по CVE-шкам для нескольких тестовых Windows хостов с разной конфигурацией подтвердило: разницы в результатах сканирования нет, совпадение по 100% CVE. Так что, если считать ScanOVAL эталонным сканером, то RedCheck будет полностью соответствовать этому эталону. Уточнение: при сканировании RedCheck-ом использовался транспорт WinRM.
Прошло 10 лет с утечки Сноудена. Она подтвердила как легко американскому государству удается устанавливать тайные отношения с американским бигтехом. Например, в рамках программы PRISM. Вполне ожидаемо было, что все сообщения пользователей бесплатных интернет-сервисов сливаются и анализируются понятно кем. А скептики-западники говорили, что доказательств нет и уважаемые американские компании на такое никогда не пойдут, т.к. это уничтожит их репутацию и бизнес. А потом вдруг доказательства этому появились. Ну надо же. 😏
Совершенно не удивлюсь, если американскому государству также легко договариваться с американскими IT/ИБ вендорами (с некоторыми ещё в рамках PRISM договорились). И из какой-нибудь будущей утечки мы узнаем об "уязвимостях", которые появились в некоторых продуктах не случайно, а в рамках какой-нибудь гипотетической программы ACCESS.
Сам Сноуден мне несимпатичен. Инсайдер, сливший документы работодателя. Никаких сантиментов к России не питал, пытался укрыться в Исландии, Китае, Германии, странах Латинской Америки, да где угодно ещё. Не вышло, в итоге получил убежище, а потом и гражданство здесь. При этом периодически позволял себе всякие критические политические заявления по поводу России, от которых вполне мог бы и воздержаться (см. хронологию в статье на wiki). В общем, такой себе персонаж, но определенную пользу он, безусловно, принёс.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.