Архив рубрики: Темы

Инструменты безопасности SDLC могут УВЕЛИЧИТЬ поверхность атаки

Добавить комментарий

Инструменты безопасности SDLC могут УВЕЛИЧИТЬ поверхность атаки. Чего? А вот да! Мой коллега и товарищ Денис Макрушин, с которым мы вместе в PT работали, выложил сегодня доклад с мероприятия OWASP под говорящим названием "Dev Sec Oops". В нем он разбирает примеры как мисконфигурации статических анализаторов (SAST) и средств динамического анализа ПО (DAST) могут привести к утечке интеллектуальной собственности и компрометации процессов SDL.

SAST-ы (СДУК) и DAST-ы (СДУП) это всё части большого Vulnerability Management-а, поэтому это наша тема, надо слушать. 😉

И так как Денис ресерчер, то он ещё периодически находит интересные уязвимости в необычных технологиях и продуктах, вот например:

Уязвимости умных городов - материалы исследования были опубликованы на DEFCON
Уязвимости в системах подключенной медицины и медицинского оборудования

Обязательно переходите и подписывайтесь на канал Дениса Макрушина!

PS: Тут кто-то может сказать, а чего это вы вдруг друг про друга пишете, уж не интеграция ли это для обмена подписчиками? 🤔 Конечно! 😇 Но, во-первых, это первая за всё время, а во-вторых вы только посмотрите кого я вам рекомендую! ТОПовый контент!

PPS: Пользуясь случаем, поздравляю всех с Днем Космонавтики! Ура! 🚀🎉

Первые впечатления от апрельского Microsoft Patch Tuesday

2 комментария

Первые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tuesday. По сравнению с мартовским как-то слабенько. 🙄

1. Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252). Пока это самое критичное, т.к. есть признаки эксплуатации вживую. И, соответственно, есть Functional Exploit, но не в паблике пока.
2. Remote Code Execution - Microsoft Message Queuing. Опасно, если включен сервис Message Queuing. По умолчанию выключен.
3. Много CVEшек Remote Code Execution - Microsoft PostScript and PCL6 Class Printer Driver и Remote Code Execution - Windows DNS Server, может из этого что-то и раскрутят.
4. Remote Code Execution - DHCP Server Service (CVE-2023-28231). Тоже непонятно, но “Exploitation More Likely”.

Полный отчет Vulristics. Есть небольшие проблемы с детектом софтов и типов уязвимостей, но не критичные, поправлю. В рамках этого Patch Tuesday планирую добавить поддержку EPSS и оценить разницу в приоритизации. 😉

CVE для рекомендательного алгоритма Twitter-а

Добавить комментарий

CVE для рекомендательного алгоритма Twitter-а

CVE для рекомендательного алгоритма Twitter-а. 🤡 Для какого только мусора CVEшки не заводят. Представляете, в Твиттере можно было массово заминусить автора и у него от этого репутационный скор уменьшался. Да не может быть! 😱 На NVD ещё в "UNDERGOING ANALYSIS". Даже интересно, что они в CVSS напишут и в CPE. Не удивлюсь, если как для обычного DoS. 😅 Похлеще музыкального клипа ломающего жёсткие диски.

А нормальных исследователей с реальными критичными уязвимостями мурыжат и прокатывают. И так у них всё.

Про недавние уязвимости Apple и Parallels Desktop

Добавить комментарий

Про недавние уязвимости Apple и Parallels Desktop

Про недавние уязвимости Apple и Parallels Desktop. В паблике с прошлой пятницы.

Основное это активно эксплуатируемые уязвимости ядра и WebKit:

1. CVE-2023-28206 - Arbitrary code with kernel privileges
2. CVE-2023-28205 - Processing maliciously crafted web content may lead to arbitrary code execution

Бюллетени:

1. macOS Ventura
2. macOS Big Sur и macOS Monterey
3. iOS/iPadOS

Также у ZDI вышла подробная статья по Privilege Escalation уязвимостям Parallels Desktop на macOS.

1. CVE-2023-27322 - Local Privilege Escalation Through Parallels Service
2. CVE-2023-27324 and CVE-2023-27325 - Local Privilege Escalation Through Parallels Updater

Нужно патчиться, но, имхо, сейчас лучше убирать эти macOS игрушки из корпоративной среды насколько это вообще возможно.

Картинка "Средства Анализа Уязвимостей (САУ)" и "Средства Исправления Уязвимостей (СИУ)" в рамках проекта карты российских около-VM-ных вендоров

Добавить комментарий

Картинка Средства Анализа Уязвимостей (САУ) и Средства Исправления Уязвимостей (СИУ) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Анализа Уязвимостей (САУ)" и "Средства Исправления Уязвимостей (СИУ)" в рамках проекта карты российских около-VM-ных вендоров.

Последние выкладываю вместе. Определяющим признаком для САУ является возможность импорта CVE/BDU из внешних источников, а для СИУ возможность исправлять уязвимости (например патчингом). Хочется надеяться, что таких решений станет больше.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Характеристика должна показывать почему вендор попал в категорию.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю. Ну или поясню почему получилось так, а не иначе. 🙂

Предыдущие картинки
- СДУИ (Инфраструктуры)
- СДУСП (Сетевого Периметра)
- СДУП (Приложений)
- СДУК (Кода)

Средства Анализа Уязвимостей (САУ) и Средства Исправления Уязвимостей (СИУ)

Добавить комментарий

Средства Анализа Уязвимостей (САУ) и Средства Исправления Уязвимостей (СИУ).

5. Средства Анализа Уязвимостей (САУ)

Позволяют анализировать и приоритизировать уязвимости для конкретной инфраструктуры. Имеется в виду не дополнительная функциональность в рамках детектирующего решения, а решение позволяющее импортировать данные об уязвимостях из сторонних источников. Анализ может включать в себя построение цепочки атаки и симуляцию атаки.

R-Vision - R-Vision VM. Система автоматизации процесса управления уязвимостями, включающая выявление, агрегацию, приоритизацию и контроль устранения уязвимостей. Включает функциональность по анализу уязвимостей импортированных из внешних источников.

SECURITM. Сервис управления безопасностью на базе риск-ориентированного подхода. Содержит опциональный модуль управления техническими уязвимостями, позволяющий принимать результаты работы от сканеров безопасности. Оценка уровня критичности уязвимостей может проводиться в соответствие с методикой ФСТЭК.

6. Средства Исправления Уязвимостей (СИУ)

Позволяют автоматизированное исправлять уязвимости в конкретной инфраструктуре. Имеется в виду не управление задачами для системных администраторов, а непосредственное воздействие на актив, такое как обновление хоста или изменение его конфигурации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по автоматическому обновлению уязвимого ПО на Windows хостах.

Серые устройства от Cisco: чем плохо?

Добавить комментарий

Серые устройства от Cisco: чем плохо?

Серые устройства от Cisco: чем плохо? Продолжая тему "шашлыков" от Cisco. В комментариях был резонный вопрос, а "активно нарушает работоспособность" это про что? Есть ли реальная опасность? Да, кейс Meraki касался в основном физиков с серыми устройствами и компания вроде как была в своем праве. Однако сейчас все устройства Cisco в РФ серые и поэтому их пользователи могут ожидать такие же сюрпризы. Можно также сделать подборку истории с бэкдорами и подозрительными атаками. Как раз это выпустили сегодня Anti-Malware. Конспект:

2004 - RFC 3924 "The Cisco Architecture for Lawful Intercept" для бэкдоров без следов
2010 - IBM демонстрирует возможность злонамеренного использования RFC 3924
2013 - Der Spiegel: АНБ могло использовать лазейки в маршрутизаторах Cisco
2014 - Обнаружен бэкдор в маршрутизаторах Cisco для SMB
2015 - Малварь SYNful в 14 маршрутизаторах из 4 стран
2017 - Wikileaks: Cisco сохраняла в маршрутизаторах аппаратную уязвимость для ЦРУ
2018 - 5 бэкдоров в маршрутизаторах Cisco