Архив рубрики: Темы

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024

Добавить комментарий

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024. По формату: 5 докладов по 15 минут + дискуссия. Поговорим об изменения ландшафта уязвимостей и методов, используемых злоумышленниками для проведения кибератак, а также о развитии технологий расследования, противодействия и профилактики инцидентов ИБ.

Вопросы на обсуждение:

🔹 Каким был год с точки зрения описания, детектирования, приоритизации и устранения уязвимостей?
🔹 Какие уязвимости стали трендовыми в 2024 году?
🔹 Какие типы атак были самыми популярными в 2024 году?
🔹 Как изменились цели и методы хакеров по сравнению с предыдущими годами?
🔹 Какие уязвимости оказались наиболее востребованными у злоумышленников?
🔹 Примеры реальных инцидентов
🔹 Как изменились методы расследования инцидентов?
🔹 Прогнозы на 2025 год

Регистрация на мероприятие с 9:30. Начало нашей секции в 12:00, приходите. 🙂

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Добавить комментарий

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). Неаутентифицированный злоумышленник, имеющий сетевой доступ к веб-интерфейсу управления устройств Palo Alto, может получить привилегии администратора PAN-OS для выполнения административных действий, изменения конфигурации или эксплуатации других уязвимостей, для которых требуется аутентификация. Уязвимы файерволы серий PA, VM, CN и платформа управления Panorama. Вендор рекомендует ограничить доступ к веб-интерфейсу управления только доверенными внутренними IP-адресами.

🔻 8 ноября был опубликован бюллетень Palo Alto
🔻 15 ноября появились признаки атак, которые Palo Alto обозначили как "Operation Lunar Peek"
🔻 18 ноября уязвимость была добавлена в CISA KEV
🔻 19 ноября исследователи watchTowr Labs выпустили пост с техническими деталями ("укажите значение off в заголовке HTTP-запроса X-PAN-AUTHCHECK, и сервер любезно отключит аутентификацию") 😏 и на GitHub практически сразу появились эксплоиты

Посмотрел вебинар по HScan

Добавить комментарий

Посмотрел вебинар по HScan. Выглядит как приличный сканер. С таким Nessus-ным вайбом, но с активами. Выросли из пентестов и аудитов ИБ в Крайон. Говорят, что ядро полностью своё. Первая версия была 2 года назад. Сертификата ФСТЭКа пока нет, но в процессе.

Из интересного:

🔹 Аудит DC. Похоже на отстройку от Tenable Identity Exposure (бывший Tenable AD).

🔹 Локальный AI, обучающийся на результатах сканов для повышения качества детекта сервисов, служб и ОС в случаях сканирования без аутентификации.

По полноте базы детектов уязвимостей непонятно. 🤷‍♂️ Linux/Windows могут (SSH/WinRM). 1С-Битрикс, Astra Linux могут. Конкретнее нужно смотреть. 🔍 Обновление базы раз в 6 часов. Описание уязвимостей на английском и русском.

Есть энтерпрайзные фишки: API, 2FA, роли для учёток.

💵 Стоит 2400 р. за хост в год, закупка от 300 000 р. Сканы в режимах "Маппинг cети" и "Поиск хостов" без лицензионных ограничений.

Роадмап закрытый.

Завтра пройдёт вебинар по сканеру уязвимостей HScan

Добавить комментарий

Завтра пройдёт вебинар по сканеру уязвимостей HScan. Будут рассказывать как он работает, покажут реальные кейсы с использованием HScan, поотвечают на вопросы.

Всем участникам вебинара обещают дать доступ для пилотного тестирования. 👨‍✈️

Начало в 11:00 по Москве. Собираюсь посмотреть и поделиться потом впечатлениями. 😉

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

Ноябрьский Linux Patch Wednesday

Добавить комментарий

Ноябрьский Linux Patch Wednesday. Только я обрадовался в октябре, что количество уязвимостей постепенно снижается до приемлемого уровня, как снова получил пик. Всего 803 уязвимостей. Из них 567 в Linux Kernel. Какое-то безумие. 😱

2 уязвимости в Chromium с признаками эксплуатации вживую:

🔻 Security Feature Bypass - Chromium (CVE-2024-10229)
🔻 Memory Corruption - Chromium (CVE-2024-10230, CVE-2024-10231)

Для 27 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них я бы обратил внимание на:

🔸 Remote Code Execution - PyTorch (CVE-2024-48063)
🔸 Remote Code Execution - OpenRefine Butterfly (CVE-2024-47883) - "web application framework"
🔸 Code Injection - OpenRefine tool (CVE-2024-47881)
🔸 Command Injection - Eclipse Jetty (CVE-2024-6763)
🔸 Memory Corruption - pure-ftpd (CVE-2024-48208)

🗒 Отчёт Vulristics по ноябрьскому Linux Patch Wednesday

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Темы

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Посмотрел вебинар по HScan

Завтра пройдёт вебинар по сканеру уязвимостей HScan

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Ноябрьский Linux Patch Wednesday