Архив рубрики: Темы

Мама, я в телевизоре! Вернее в телеграмм-канале Алексея Лукацкого

Мама, я в телевизоре! Вернее в телеграмм-канале Алексея Лукацкого. И не так важно, что это коммент про неудобочитаемость аббревиатур для классов решений из моей карты отечественных средств управления уязвимостями. Сам факт упоминания главным ИБ-блогером страны (17к+ подписчиков) и просто человеком-легендой считаю большой честью и успехом. Спасибо! 🙂

Что касается аббревиатур, то я специально хотел, чтобы на русском звучало основательно и в лучших традициях отечественного ИБ-нейминга, как БнД УБИ ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Если получившиеся СУУ, СДУИ, СДУСП, СДУП, СДУК, САУ, СИУ какие-то такие ассоциации навевают, значит эффект достигнут. 😉

Плюс, всё изначально задумывалось с учетом перевода на английский:

Vulnerability Management Tools (VMT)
1. Vulnerability Detection Tools for Infrastructure (VDTI)
2. Vulnerability Detection Tools for Network Perimeter (VDTNP)
3. Vulnerability Detection Tools for Applications (VDTA)
4. Vulnerability Detection Tools for Code (VDTC)
5. Vulnerability Analysis Tools (VAT)
6. Vulnerability Remediation Tools (VRT)

И в таком виде уже смотрится как-то более привычно. 🙂

О месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостями

2 комментария

О месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостями. Сегодня последний день сбора предложений по доработке проекта руководства, поэтому захотелось дополнить пост про "нечеловеческий процесс" тем, что описанный процесс и не очень-то про автоматический детект уязвимостей. Поясню. Слово "сканирование" в тексте упоминается 9 раз в описании операций:

Этап мониторинга уязвимостей и оценки их применимости

• Принятие решений на получение дополнительной информации
• Постановка задачи на сканирование объектов
• Сканирование объектов

Этап контроля устранения уязвимостей

• Принятие решения о способе контроля
• Проверка объектов на наличие уязвимостей

Это упоминания в том смысле, что разовые задачи на сканирование должны быть кем-то в рамках процесса поставлены и кем-то выполнены. Однако там нет конкретных требований, которые могли бы обеспечить полноту по активам, актуальность данных и качество детектирования:

1. Нет требований, что все активы в организации должны быть покрыты средствами анализа защищенности.
2. Нет требований, что в любой момент времени необходимо иметь актуальные данные о состоянии инфраструктуры с точки зрения имеющихся уязвимостей.
3. Нет требований к средствам анализа защищённости, как они должны работать и какие возможности по детектированию уязвимостей должны иметь.
4. Не предусмотрено процедуры оценки полноты и качества детектирования уязвимостей.

Совсем не факт, что это всё должно быть именно в этом руководстве, возможно в рамках отдельного документа. Но автоматическое детектирование уязвимостей это та база без которой остальной процесс управления уязвимостями вряд ли может работать эффективно.

И, говоря об оценке качества детектирования, раз уж есть ScanOVAL (для российских Linux-ов и Windows), то почему бы не зафиксировать его статус в качестве эталонного средства анализа защищенности и не обязать периодически проводить сверку результатов детектирования ScanOVAL c результатами полученными от средств анализа защищенности, используемых в организации? Как минимум это привлечет внимание к проблеме качества детектирования уязвимостей (как соответствию эталону, так и улучшению эталона), которая сейчас, к сожалению практически не обсуждается.

В комментах в ВК (а туда всё дублируется и вы можете там комментить) мне написали, что в последнем посте слишком много аббревиатур и непонятно даже в чём весь цимес

Добавить комментарий

В комментах в ВК (а туда всё дублируется и вы можете там комментить) мне написали, что в последнем посте слишком много аббревиатур и непонятно даже в чём весь цимес. Видимо я слишком усушил текст, чтобы в лимиты поста с картинкой уложиться, сорри. 😅 Дело вот в чем.

1. Есть уязвимость в архиваторе WinRAR, для которой Positive Technologies предварительно получили CVE идентификатор.

2. После того как уязвимость была исправлена, Mitre Corporation (они держат реестр CVE идентификаторов и являются апстримом для National Vulnerability Database) по какой-то причине начали использовать этот ранее выданный CVE идентификатор для какой-то другой уязвимости, которая к WinRAR никак не относится.

3. Можно подумать, что случилась какая-то ошибка и Mitre завели эту уязвимость WinRAR под другим CVE идентификатором. Но нет, других уязвимостей WinRAR с похожим описанием за 2021 год и позже не наблюдается. Просто забили.

Почему так вышло? Кто его знает, Mitre нам не расскажут. Можно предположить такую логику Mitre: "вы, Positive Technologies, под санкциями, мы от вас больше уязвимости принимать не будем". В итоге сложилась ситуация, когда один и тот же CVE идентификатор CVE-2021-35052 используется для ссылки на две совершенно разные уязвимости. Коллизия. 🤷‍♂️

Разумеется, это очень странное и контрпродуктивное поведение со стороны Mitre. Но дело не только в них. Было несколько похожих эпизодов с западными IT-вендорами, когда PT на сообщение об уязвимости либо не отвечали, либо в acknowledgement не ставили. А, например, в случае с Citrix сначала добавили acknowledgement, потом тихонько убрали, а после публичного обсуждения вернули назад. Насколько я понимаю, такое было не только с PT, но и с Digital Security, и с другими исследовательскими компаниями под американскими санкциями.

В общем, здорово, что у нас есть национальная база уязвимостей в виде БДУ ФСТЭК, где есть, кроме прочего, и уязвимости для которых Mitre отказались по каким-то причинам идентификаторы выдавать.

Коллизии CVE идентификаторов

2 комментария

Коллизии CVE идентификаторов. Вспомнился давнишний кейс с WinRAR. Помимо неоднозначной функциональности в WinRAR иногда находят и уязвимости. В 2021 эксперт Positive Technologies Игорь Сак-Саковский нашел RCE уязвимость в WinRAR. Она НЕ связана с открытием вредоносного архива. Дело в окне-нотификации об окончании триального периода. Если провести MiTM атаку, можно выполнять код на хосте с уязвимой версией WinRAR: "запуск приложений, получение информации о хосте и запуск калькулятора". Эксплуатация не самая простая, но уязвимость была, вендор её признал и исправил в 6.02, а PT получил для неё CVE-2021-35052.

Теперь смотрим эту CVE в NVD. EoP в Kaspersky PM?! 🙄 Номер CVE отдали ZDI! Хотя бюллетень ZDI от 29 ноября 2021, а у PT пресс-релиз вышел 26 октября 2021. То, что я имел ввиду под "мусор про Twitter заводят, а нормальных исследователей прокатывают".

PS: В БДУ это BDU:2021-05327 без CVE. По CVE-2021-35052 в БДУ ничего не ищется.

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

1 комментарий

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения. В том числе и зловредные PowerShell скрипты например. Статья вышла 2 недели назад, но только сейчас дошли руки ознакомиться с оригиналом. CrowdStrike блочит российские IP, можно через Internet Archive. По описанию всё очень просто и изящно. И это никакая не уязвимость, а штатная функциональность, о которой все забыли, пока она не начала использоваться в атаках (упоминают ботнет Emotet). 🙂

Причем запускаться таким образом может зловред распакованный из самого SFХ архива, и тогда +- понятно как это детектить. А может быть так, что в архиве ничего опасного нет, а вся заловредная функциональность заключается именно в команде после извлечения. И такое детектят не все.

Взять бы эти WinRAR SFX архивы и запретить напрочь. Но проблема в том, что они могут использоваться в установщиках вполне легитимного софта. Так что без анализа скорее всего не обойдется.

Заключительный пост про CISO-FORUM 2023

1 комментарий

Заключительный пост про CISO-FORUM 2023. Как по мне, мероприятие прошло просто отлично! 🔥

1. Было много приятного и разнообразного общения. Практически всё оно было на тему Vulnerability Management-а. 😊

2. Почти все из намеченных докладов удалось посмотреть и вынести для себя что-то полезное. С трансляцией в канале кажется вышло удачно, собираюсь такое практиковать. 🙂

3. Моя презентация "Карты отечественных околоVMных вендоров" тоже вполне удалась. Видео пока нет, но есть слайды. Было много дельных вопросов из зала. Подробно обсудили почему среди САУ (анализа) сейчас одни SGRC. Был провокационный вопрос можно ли считать отечественным решение, которое не работает на российском Linux (и насколько сами эти Linux-ы отечественные). 😄 Резонный вопрос: а где средства детектирования уязвимостей контейнеров? Буду думать как их лучше добавить. 🧐

Спасибо всем за общение и контент! Спасибо большое организаторам! До встречи в следующем году!

Upd. видеозапись выступления

Антипленарка CISO-FORUM 2023

Добавить комментарий

Антипленарка CISO-FORUM 2023. Тёрли про бюджеты, штучки за полмиллиарда 🙂, ответственность, как общаться с бизнесом. Подробно обсуждали багбаунти, включая внутреннее.

Понравились реплики:

"SAST и DAST это не наши инструменты, а инструменты разработки"

"Если нет готовности исправлять уязвимости, то и искать их смысла нет"

"Нужно создавать предпосылки для разработки СПО на территории России"

Не понравилась реплика про "дурачка внутреннего пентестера", который хотел сканить инфраструктуру, а от него требовали собирать информацию как-то так, чтобы SOC не ловил. Security through obscurity какое-то. Имхо, у внутреннего пентестера должна быть вся информация об инфраструктуре, его задача продемонстрировать практическую эксплуатабельность уязвимостей, а не от SOCа прятаться.

Про заявленные тонкие моменты, связанные с эмиграцией специалистов вроде вообще не говорили.

Александр В. Леонов

Управление Уязвимостями и прочее