Архив рубрики: Темы

SQL-инъекция в сетевых хранилищах QNAP (CVE-2022-27596)

Добавить комментарий

SQL-инъекция в сетевых хранилищах QNAP (CVE-2022-27596)

SQL-инъекция в сетевых хранилищах QNAP (CVE-2022-27596). CVSS 9.8. До какого состояния докрутят эту SQLi сказать сложно, но угрозу конфиденциальности и целостности данных можно смело предположить. Нужно патчить. Хоть эксплоита и признаков эксплуатации вживую пока не видно.

QNAP это тайваньский вендор. В основном они выпускают NAS-ы (Network-attached storage) различного класса: от "для дома для семьи" до серьезных энтерпрайзных решений. Используют свои операционные системы QTS (для устройств попроще) и QuTS hero (для навороченных). Эти ОС и предлагается обновить на устройствах для исправления уязвимости.

NAS-ы это излюбленные мишени для ransomware. Во-первых, там хранятся ценные данные компаний. Во-вторых, их частенько выставляют прямо в Интернет. 🙃

Судя по тому, что у QNAP есть вполне актуальный русскоязычный сайт и активная группа в ВК, продаются они в России неплохо. А значит и в инфраструктуре вашей организации они вполне могут найтись. Дайте знать своим админам! 😉

Парень нашел "уязвимость" в VK и ему стали массово писать в личку заинтересованные девушки

Добавить комментарий

Парень нашел "уязвимость" в VK и ему стали массово писать в личку заинтересованные девушки. 🙂 Этот забавный кейс я увидел в канале Standoff News. Технически там не очень интересно. Но как пример простой "уязвимости" для иллюстрации почему искать уязвимости это прикольно и как противостоять эксплуатации уязвимостей - вполне норм (студентам младших курсов, школьникам на профориентации т.п.).

В чем там было дело:

1. В VK пользователи могут видеть кто смотрел их сторисы (формат вертикальных публикаций, которые исчезают из ленты через 24 часа). В отличие от обычных сообщений в ленте, для которых видно только тех, кто полайкал.
2. В VK не было лимита на просмотр сторисов. Было возможно автоматически "просматривать" хоть миллионы чужих сторисов в день. (не конкретизируется как)
3. Было возможно массово получить идентификаторы пользователей из групп типа "любители котиков". (не конкретизируется как)
4. Было возможно автоматически получить сторисы для идентификаторов пользователей. (не конкретизируется как)

Некоторый Накрутчик массово получал идентификаторы пользователей из больших "женских" групп, массово получал для них сторисы, массово их "просматривал". Пользователи (в основном девушки) были заинтригованы кто ж это их сторисы регулярно смотрит, переходили на страницу Накрутчика.

Далее конверсия: миллионы просмотренных сторисов -> десятки тысяч заходов от любопытных пользователей на страницу Накрутчика -> сотни сообщений от тех, кому совсем уж любопытно. Profit.

Вопросы, которые можно задать аудитории:
1. Что можно было бы предусмотреть на стороне VK, чтобы так было делать нельзя? Возможный ответ: установить лимиты, при превышении таймаут или показывать капчу.
2. Что ждет Накрутчика, когда это обнаружится? Возможный ответ: как минимум забанят профиль, т.к. автоматизация действий нарушает пользовательское соглашение.
*3. Как можно подвести действия Накрутчика под УК РФ? Возможный ответ: по факту это скрэпинг, можно в теории натянуть на 272 и 273.

После этого можно поставить риторический вопрос. Что лучше: сдать уязвимость в VK и получить $100/спасибо, или пытаться эксплуатировать и подставляться? Каждый сам для себя решает.

Сканировать принтеры на уязвимости следует с осторожностью

Добавить комментарий

Сканировать принтеры на уязвимости следует с осторожностью

Сканировать принтеры на уязвимости следует с осторожностью. Классической является ситуация, когда взбесившийся принтер начинает печатать страницы крякозябр пока у него бумага в лотках не закончится. 🙂 Это значит, что кто-то натравил на принтер сканер уязвимостей с дефолтным профилем сканирования.

Некоторые Vulnerability Management вендоры вообще не рекомендуют активно сканировать принтеры. Например, в #Tenable относят принтеры к "хрупким устройствам" ("fragile devices") и рекомендуют использовать для обнаружения уязвимостей на них пассивные детекторы. Т.е. перехватывать трафик и определять по нему версию устройств и связанные уязвимости. Продвигают этим Nessus Network Monitor (NNM), бывший Passive Vulnerability Scanner (PVS), но тем не менее.

Если будете активно сканировать принтеры (например в связи с уязвимостью Lexmark-ов), покопайтесь в настройках профиля вашего сканера, там должны быть специальные опции. А лучше спросите службу поддержки вашего VM вендора.

RCE в 130 моделях принтеров (МФУ) Lexmark (CVE-2023-23560)

2 комментария

RCE в 130 моделях принтеров (МФУ) Lexmark (CVE-2023-23560)

RCE в 130 моделях принтеров (МФУ) Lexmark (CVE-2023-23560). Нашли в наиболее уязвимом, в web-интерфейсе. Получив контроль над устройством, злоумышленник может воспользоваться дополнительными сетевыми доступами для развития атаки. Непонятно может ли получить доступ к тому, что печатается/сканируется, но тоже исключать нельзя. Либо патчимся, либо отключаем TCP 65002 (WSD Print Service) в настройках.

Хороший повод, чтобы поразмышлять об активах неудобных для VM:

1. Вы обо всех принтерах в вашей инфраструктуре знаете?
2. Ваш сканер уязвимостей умеет детектировать уязвимости для ваших принтеров?
3. Давно вы сканировали принтеры на наличие уязвимостей?
4. Давно вы обновляли принтеры? Есть понимание кто, как и в какой срок это должен делать?

Это касается не только принтеров, но и вообще любых железок в сети. Возни по их обновлению гораздо больше чем с обычными хостами/софтами, а значит вероятность найти там что-то старое и эксплуатабельное гораздо выше.

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров

3 комментария

Картинка Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров.

Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

1 комментарий

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).

1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.

Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.

АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.

НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.

Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.

Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.

Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.

Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux

2 комментария

Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux. Продолжаю обозревать крутые штуки от ФСТЭК.

У меня в декабре был пост, что если бы я был регулятор, то обязал бы вендоров сертифицированных Linux-ов привести в порядок бюллетени безопасности, а идеально было бы OVAL контент предоставлять. Так как это делает RedOS. И в каком-то виде это осуществилось. 🤩 Ну не силами Linux-вендоров, а силами ИБ-вендора и регулятора. И с существенными ограничениями. Но факт - вот тебе OVAL-контент для сертифицированных Linux-ов в паблике и бесплатный сканер, который с ним работает.

На сайте ФСТЭК-а выложили бесплатный локальный сканер уязвимостей ScanOVAL в версиях под Linux (раньше был только под Windows). И OVAL-контент к нему. В трёх вариантах:

1. ScanOVAL для ОС Astra Linux 1.6 SE - тестовая версия сканера и OVAL-контент
2. ScanOVAL для ОС Альт 9 - тестовая версия сканера и OVAL-контент
3. ScanOVAL для ОС Роса «Кобальт» - тестовая версия сканера (OVAL-контент пока недоступен)

ScanOVAL это, конечно, не вполне полноценный сканер. Он может сканировать только локалхост. Штатно запускается только в графическом режиме. Т.е. использовать его, чтобы вручную валидировать уязвимости на хостах получится, а приспособить для регулярного сканирования всей инфры скорее всего нет. Понятно зачем сделано, этот продукт не должен рушить бизнес VM-вендорам.

Другой вопрос, который естественно возникает, когда видишь OVAL-контент в паблике, а можно ли его использовать не в составе ScanOVAL? 😏 Например, OpenSCAP-у скормить, свой OVAL сканер написать или интерпретировать во что-нибудь? Ответ: технически реально, а юридически нельзя, т.к. EULA для ScanOVAL это отдельно оговаривает:

"Не допускается осуществлять следующие действия:

использовать ПО и (или) описания проверок (включая любые их фрагменты), применяемые в ее составе, с целью создания баз данных или кода, предназначенных для предотвращения угроз безопасности информации;
публиковать, а также распространять от своего имени любые фрагменты описаний проверок, применяемых в составе ПО;
…"

Тоже понятно почему. Идентификаторы дефинишенов, такие как "oval:ru.altx-soft.nix:def:156318", не оставляют сомнений в происхождении контента и понятно, что рушить свой бизнес коммерческому VM вендору совсем не нужно.

Поэтому,
1. Круто, что появилась возможность сканировать сертифицированные отечественные Linux-ы бесплатным решением. Даже если использовать его только в ручном режиме как эталонный сканер, это более чем полезно.
2. Потребность в OVAL-контенте (или просто бюллетенях хотя бы) от Linux-вендора это не снимает, т.к. EULA конечно полноценно использовать контент для ScanOVAL не позволяет, к сожалению.