Архив рубрики: Темы

Посмотрел сессию про "discover & defend, detect & response"

Добавить комментарий

Посмотрел сессию про discover & defend, detect & response

Посмотрел сессию про "discover & defend, detect & response". Идея в том, чтобы разложить ~20 продуктов Positive Technologies в вертикали для решения задач РКБ (результативной кибербезопасности) и сформировать функциональную среду, в которой продукты дополняют друг друга.

Эти вертикали неизолированные. Так MaxPatrol VM сочетается со сканером веб-приложений PT BlackBox, Container Security, MaxPatrol SIEM и MaxPatrol EDR.

В рассказе про "Узнать" делали акценты на важности:

🔻 сбора всех активов организации (через MaxPatrol VM, MaxPatrol SIEM, PT NAD и интеграции)
🔻 защиты периметра (в первую очередь от трендовых уязвимостей)
🔻 контроля конфигураций
🔻 учёта связности активов для понимания развития атаки
🔻 управления учётками и доступами
🔻 проверок на фишинг

🆕 Новый BAS продукт PT Dephaze позволяет наглядно продемонстрировать фактическую эксплуатабельность. А MaxPatrol Carbon позволяет подсветить самые критичные цепочки атак в вашей инфре.

ScanFactory: преображение из EASM-а в Vulnerability Management решение

Добавить комментарий

ScanFactory: преображение из EASM-а в Vulnerability Management решение

ScanFactory: преображение из EASM-а в Vulnerability Management решение. Примерно год назад смотрел вебинар ScanFactory на котором Владимир Иванов, среди прочего, рассказывал про возможность on-prem установки EASM решения. Я тогда предположил, что это может быть первым шагом к сканированию внутренней инфры BlackBox-ом.

Угадал. 🙂 Сейчас ScanFactory как раз это и презентуют. Причём в большем объеме. Будет не только BlackBox, а полноценный VM со сканированием активов с аутентификацией.

❓ Почему именно ScanFactory первым из российских EASM вендоров делает переход в сторону VM-а?

➡️ Решение исторически развивается как оркестратор над множеством (19) готовых сканирующих движков. Как опенсурсных, так и коммерческих. За сканирование с аутентификацией будет отвечать лицензированный движок (и контент) коммерческого сканера уязвимостей на букву N. 😉 Что снимает вопросы по функциональным возможностям. 😏

Подробности о ScanFactory VM можно будет узнать на вебинаре 31 октября.

Форд не пройдёт?

Добавить комментарий

Форд не пройдёт?

Форд не пройдёт? К посту про "платить устранителям уязвимостей только за отдых" было много комментариев. Сразу скажу, что пост был шуточным. Вопрос мотивации персонала слишком тонкий, чтобы всерьёз лезть туда с рекомендациями. 🙂

Но возражения разберу:

🔻 IT-шники будут саботировать процесс детектирования уязвимостей, подкручивая конфиги хостов. Так, чтобы сканер всегда показывал зелёненькое. Но IT-шники и сейчас могут так делать. 🤷‍♂️ И да, нужно учитывать возможность подобного саботажа.

🔻IT-шники будут просто выключать хосты. Eсли они могут так сделать без ущерба для бизнеса, то и замечательно. 👍 А если этим положат прод, то пусть решают это со своим IT-шным начальством. 😏

🔻 Алексей Лукацкий метод одобрил (❗️), но с оговоркой, что устранять нужно только 2% уязвимостей используемых в цепочках атак. Я с возможностью надёжного отделения этих мифических 2% уязвимостей традиционно НЕ соглашусь (см. Уязвимости Шрёдингера). Устранять нужно всё. 😉

Октябрьский Microsoft Patch Tuesday

Добавить комментарий

Октябрьский Microsoft Patch Tuesday

Октябрьский Microsoft Patch Tuesday. 146 CVE, из которых 28 были добавлены с сентябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Execution - Microsoft Management Console (CVE-2024-43572)
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-43573)

Без признаков эксплуатации, но с PoC-ом эксплоита:

🔸 Remote Code Execution - Open Source Curl (CVE-2024-6197)

Существование приватных эксплоитов зафиксировано для:

🔸 Information Disclosure - Microsoft Edge (CVE-2024-38222)
🔸 Security Feature Bypass - Windows Hyper-V (CVE-2024-20659)

Из остальных можно выделить:

🔹 Remote Code Execution - Remote Desktop Protocol Server (CVE-2024-43582)
🔹 Remote Code Execution - Windows Remote Desktop Client (CVE-2024-43533, CVE-2024-43599)
🔹 Remote Code Execution - Windows Routing and Remote Access Service (RRAS) (CVE-2024-38212 и ещё 11 CVE)

🗒 Полный отчёт Vulristics

Устранение Уязвимостей по "методу Форда"

Добавить комментарий

Устранение Уязвимостей по методу Форда

Устранение Уязвимостей по "методу Форда". В Рунете популярна байка про Генри Форда. Якобы на его заводе проводился эксперимент: ремонтникам конвейера платили только за время, когда они находились в комнате отдыха. А как только конвейер вставал 🚨 и ремонтники отправлялись его чинить, им платить переставали. Поэтому делали они свою работу очень быстро и качественно, чтобы поскорее (и надолго) вернуться в комнату отдыха и им снова начала капать денежка. 👷‍♂️🪙

Надёжных подтверждений этому я не нашел, поэтому не думаю, что такой эксперимент действительно проводился. Байка. 🤷‍♂️

Но вообще интересно, а вот если бы специалистам ответственным за устранение уязвимостей платили бы только за время, когда на их хостах уязвимости не детектируются. 🤔 Вполне вероятно, что это весьма позитивно сказалось бы на скорости и качестве устранения. Нерешаемые проблемы очень быстро стали бы решаемыми, а автоматизация процесса тестирования и накатки обновлений получила бы бурное развитие. 😏

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак

Добавить комментарий

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак.

Об этом пишут исследователи из Akamai Technologies. Злоумышленник может отправить на уязвимый хост с CUPS специальный пакет: "добавь-ка принтер по этому IP-адресу". И CUPS начнёт посылать по указанному IP-адресу большие IPP/HTTP запросы. Таким образом можно организовать уязвимые хосты, чтобы они начали DDoS-ить нужные злоумышленнику IP-адреса.

Akamai обнаружили более 198 000 уязвимых хостов с CUPS, из которых более 58 000 (34%) могут быть использованы для DDoS-атак. Из них сотни демонстрировали "бесконечный цикл" запросов в ответ на HTTP/404.

Если предположить, что все 58 000+ уязвимых хостов будут использованы для атаки, они могут вызвать поток трафика от 1 ГБ до 6 ГБ на один udp пакет злоумышленника. Жертве придётся обрабатывать 2,6 млн. TCP-соединений и HTTP-запросов.

Про уязвимость Remote Code Execution - NVIDIA Container Toolkit (CVE-2024-0132)

Добавить комментарий

Про уязвимость Remote Code Execution - NVIDIA Container Toolkit (CVE-2024-0132)

Про уязвимость Remote Code Execution - NVIDIA Container Toolkit (CVE-2024-0132). Бюллетень NVIDIA вышел 25 сентября. Уязвимость нашли исследователи из Wiz.

Container Toolkit предоставляет контейнеризованным AI-приложениям доступ к ресурсам GPU. А куда ж сейчас в AI без видеокарт. 😏 Поэтому штука очень распространенная.

Суть уязвимости в том, что запущенный зловредный образ контейнера может получить доступ к файловой системе хоста, что, в свою очередь, может привести к выполнению кода злоумышленника, отказу в обслуживании, повышению привилегий, раскрытию информации и фальсификации данных.

Если злоумышленник получит таким образом доступ к десктопу это ещё полбеды, а если к нодам или кластеру Kubernetes? 🫣 Cервис-провайдеры AI (а-ля Hugging Face), запускающие у себя всякое разное и недоверенное, в группе риска.