Архив рубрики: Темы

CVE-идентификаторы с пробелом в OVAL-контенте RedOS

Добавить комментарий

CVE-идентификаторы с пробелом в OVAL-контенте RedOS

CVE-идентификаторы с пробелом в OVAL-контенте RedOS. В ходе подготовки отчёта по октябрьскому Linux Patch Wednesday обнаружил, что у меня откуда-то лезут невалидные CVE-идентификаторы с пробелом в конце. Источником оказался OVAL-контент RedOS (7.6 мб). По находится 115 таких проблемных ссылок на CVE. Вряд ли это ошибки при ручном заполнении, видимо ошибка в последних версиях генератора OVAL-контента.

Если вы используете OVAL-контент RedOS, обратите внимание, что такое может быть и потенциально может аффектить Vulnerability Management процесс.

Просьба коллегам из РЕД СОФТ пофиксить проблему и накрутить тесты, что используемые CVE-идентификаторы матчатся регуляркой.

Upd. Коллеги из РЕД СОФТ быстро отреагировали и проблему исправили. 🙂👍

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Добавить комментарий

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383). Roundcube - клиент для работы с электронной почтой с веб-интерфейсом, сравнимый по функциональным возможностям с настольными почтовыми клиентами, такими как Outlook Express или Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Жертва открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код.

В сентябре 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносное письмо с признаками эксплуатации этой уязвимости, направленное на электронную почту одного из государственных органов стран СНГ.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.

Обновляйтесь своевременно!

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Добавить комментарий

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.

CSAM от Positive Technologies

Добавить комментарий

CSAM от Positive Technologies

CSAM от Positive Technologies. Посмотрел 2 выступления про Asset Management с PSDay. Если совсем коротко, то было сказано много очень правильных слов про то, что Asset Management это основа практически всех IT-шных и ИБшных процессов (включая управление уязвимостями и инцидентами). Непрерывное детектирование, инвентаризация и классификация разнообразных активов (не только сетевых хостов) это сама по себе важная работа. Главные моменты выступлений, на мой взгляд это то, что:

🔻 Анонсировали новое направление по управлению активами. Выделили команду. Отстраиваются от класса CSAM (CyberSecurity Asset Management). Продукт такого класса есть у одного западного VM-вендора, что +- даёт представление на что это может быть в итоге похоже.

🔻 Представили ранний драфт интерфейса. На нём показана некоторая таблица активов: ОС, скоринг актива, теги, группы, в которые он входит, инструменты безопасности на данном активе и т.д.

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

Добавить комментарий

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷‍♂️

Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.

"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."

🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.

Карта, Территория и Управление Уязвимостями

Добавить комментарий

Карта, Территория и Управление Уязвимостями

Карта, Территория и Управление Уязвимостями. Известное выражение "Карта не есть территория" можно интерпретировать как то, что описание реальности не является самой реальностью.

В контексте VM-а реальность (территория) это всё множество существующих в настоящий момент уязвимостей во всём множестве программных и аппаратных средств. А базы уязвимостей, включая NVD и БДУ, это попытка эту реальность в какой-то мере отобразить (составить карту).

Эта карта неполная и искажённая. Но она позволяет хоть как-то выполнять полезную работу - детектировать и устранять уязвимости. 👨‍💻

В эту карту даже можно натыкать красных флажков, обозначив самые критичные уязвимости. 🚩 И ничего в этом плохого нет.

Плохое начинается, когда натыканные в сомнительную карту флажки выдаются за истину в последней инстанции: "устраняйте только эти 2% уязвимостей и будете в безопасности". Это то ли невероятная гордыня, то ли невежество. 🤷‍♂️ Осуждаю.

Приоритизируйте устранение уязвимостей, но устраняйте их все.

Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTION

Добавить комментарий

Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTIONВпечатления от R-Vision VM на конференции R-Vision R-EVOLUTIONВпечатления от R-Vision VM на конференции R-Vision R-EVOLUTIONВпечатления от R-Vision VM на конференции R-Vision R-EVOLUTION

Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTION. По сравнению с прошлым годом, прогресс налицо. 👍 Если в MVP сканера прошлого года угадывался OpenSCAP с готовым OVAL-контентом от Linux-вендоров, то в этом году видно, что разработкой контента для детектирования уязвимостей занялись всерьёз.

🔹 Команда разработки базы уязвимостей уже 20 человек в 4 группах.

🔹 Количество правил детектирования >300000. В том числе поддержка Windows и >100 распространенных 3d party софтов.

🔹 Представители команды подробно рассказывают про процесс разработки правил детектирования: как используют модифицированный OVAL, "патчат" ошибки в критериях наличия уязвимостей в бюллетенях вендоров и т.п.

В интерфейсе понравился расчёт критичности уязвимости в зависимости от типа хоста (говорят, что по методике ФСТЭК).

В роадмапе на 2025 год интересен безагентный Compliance с пользовательскими проверками, поддержка контейнеризации и Web-сканер.