Архив рубрики: Темы

Набор тем для программных проектов, связанных с Управлением Уязвимостями

Добавить комментарий

Набор тем для программных проектов, связанных с Управлением Уязвимостями

Набор тем для программных проектов, связанных с Управлением Уязвимостями. Периодически меня просят порекомендовать VM-ную тему для курсовой, диплома, хакатона и т.п. Думаю будет полезно собрать эти рекомендации здесь в виде серии постов.

Имхо, чем больше студентов будут брать около-VMные темы для практических работ, тем лучше:

✅ Возможно кто-то превратит учебный проект в успешную опенсурсную и/или коммерческую историю.

✅ Возможно кто-то устроится работать в VM-вендора или в компанию-клиента уже с релевантным опытом и глубоким пониманием темы.

В любом случае VM-комьюнити в России получит дополнительное развитие. 👍

Буду постепенно накидывать темы, а коллег VM-щиков приглашаю присоединиться.

🔹 Web-интерфейс (лончер) сканера уязвимостей
🔹 Консольный сканер уязвимостей

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM

Добавить комментарий

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM. Было интересно. На паре слайдов были цитаты моих постов про VM без бюджета и розовые очки. 😇

Можно отметить:

🔻 Агрессивное позиционирование: утверждают, что у отечественных VM-вендоров проблемы с полнотой баз детектирования, им сложно работать с большим количеством результатов, низкий уровень автоматизации процесса. 🤷‍♂️ Якобы большинство российских вендоров тратит деньги на маркетинг, а не на экспертизу. Про прямых конкурентов: "у них там nmap".

🔻 Основная фишка ScanFactory VM - это конвейер из 21 сканеров, среди которых коммерческий "N-сканер", и платные источники данных по уязвимостям.

🔻 Как со сканированием российских продуктов? Битрикс - могут, российские ОС - пока нет. Планируют внедрить сертифицированный ФСТЭК сканер. 🤔 Своего сертификата ФСТЭК нет.

🔻 VM процесс реализуют интеграцией с SECURITM. Интересные фичи: оценки критичности по ФСТЭК, ссылки на бюллетени НКЦКИ, автоматизация реагирования (RPA).

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982)

Добавить комментарий

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982). XWiki - это бесплатная вики-платформа с открытым исходным кодом. Основная её особенность - простая расширяемость. XWiki часто используется в корпоративной среде как замена коммерческим Wiki-решениям (например, Atlassian Confluence).

Уязвимость с CVSS Base Score 10, опубликованная 10 апреля, позволяет злоумышленникам выполнять произвольный код через запрос в интерфейсе поиска по базе данных XWiki. Он доступен всем пользователям по умолчанию и дополняет обычный поиск по XWiki. Если он не нужен, его можно отключить, удалив страницу Main.DatabaseSearch. Уязвимость исправлена в версиях XWiki 14.10.20, 15.5.4 и 15.10RC1.

Пример эксплуатации содержится в самом бюллетене разработчиков. 🤷‍♂️ Работающие скрипты для эксплуатации уязвимости доступны на GitHub с 22 июня.

Если в вашей организации используется XWiki, обязательно обратите внимание.

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday?

Добавить комментарий

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday?

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday? На самом деле только то, что она эксплуатируется вживую. Write-up-ов и публичных эксплоитов пока нет. Секция Acknowledgements в бюллетене Microsoft пуста. Непонятно, кто её зарепортил и от кого ждать подробностей.

В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

Добавить комментарий

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack. Цель релиза амбициозная: "предоставить все необходимые ресурсы для создания и внедрения полностью функционирующей программы Управления Уязвимостями для вашей компании".

Состав документов:

🔻 Определения Управления Уязвимостями и примеры SLA по устранению уязвимостей
🔻 Требования к репортингу уязвимостей
🔻 Чеклист для подготовки программы по работе с уязвимостями
🔻 Диаграмма процесса Управления Уязвимостями
🔻 Руководство (runbook) по Управлению Уязвимостями
🔻 Метрики управления уязвимостями

Неплохо сочетается с моим виженом по БОСПУУ, особенно в части контроля состояния задач на устранение уязвимостей. На этом в документах основной акцент. 👍 А не так как обычно: "вот вам PDCA, поприоритизируйте уязвимости, скиньте их админам и вжух - всё исправится". 🤪🪄

Разумеется, по деталям нужно вчитываться и править/дополнять, но как основа это определённо заслуживает внимания.

На сайте Anti-Malware вышел обзор сканера уязвимостей HScan 2.0.8 от компании Крайон

Добавить комментарий

На сайте Anti-Malware вышел обзор сканера уязвимостей HScan 2.0.8 от компании Крайон

На сайте Anti-Malware вышел обзор сканера уязвимостей HScan 2.0.8 от компании Крайон. Раньше о них не слышал. Решение выглядит интересно. 🧐

🔹 Это не очередной EASM, а инфраструктурный сканер. Поставляется как SaaS и On-prem. Заявляется возможность сканирования активов в black-box режиме и с аутентификацией (SSH, WinRM). Есть веб-сканер. Есть API.

🔹 Работают не с отдельными сканами, а с активами. Активы могут автоматически собираться в группы "по определённому администратором алгоритму". Как именно это работает пока непонятно.

🔹 Настройка сканирования сделана по лекалам Nessus-а, включая выбор преднастроенного шаблона сканирования. Удобно. 👍

🔹 На скриншотах помимо CVE-шных уязвимостей видны детекты EoL софта и мисконфигураций.

🔹 Пишут, что ядро продукта собственное, сторонние решения не используются.

🔹 Основной вопрос - полнота базы детектов. Тут ясности нет, советую выяснять на пилотах.

Конкуренция на отечественном VM-ном рынке продолжает расти и это радует. 🙂

Навстречу Runux!

Добавить комментарий

Навстречу Runux!

Навстречу Runux! Минцифры отреагировало на демарш Торвальдса предложением создать собственное Linux-сообщество. Инициативу создать альтернативу The Linux Foundation без культа личности гикельберифинна, закладок NSA, политоты и с ориентацией на потребности стран БРИКС можно только приветствовать. 👍 Но такое сообщество без собственного продукта, форка, условного Runux-а вряд ли будет жизнеспособно.

Я бы делал форк на основе текущей стабильной ветки Linux с патчами от центра ядра Linux ИСП РАН. Никакой автоматической синхронизации с ядром Linux от TLF я бы не делал, отслеживал бы только фиксы для уязвимостей. И, при необходимости, дёргал бы оттуда код драйверов и прочего полезного (как делают, например, FreeBSD). Это в значительной степени решило бы проблему новых вредоносных закладок и дало бы возможность российским разработчикам нормально контрибьютить в основную ветку нового ядра. А отечественные вендоры ОС могли бы пересесть на Runux относительно безболезненно.