Архив рубрики: Темы

Выступление и дискуссия на PHDays 2024

2 комментария

Выступление и дискуссия на PHDays 2024

Выступление и дискуссия на PHDays 2024. В этом году я заявил на CFP рассказ про кризис в NVD (честно говоря, я предполагал, что к маю он закончится, но куда там 🌝) и развитие ресёрча уникальных уязвимостей БДУ. 👨‍💻

Но тема получила развитие и помимо доклада будет ещё и дискуссия по поводу национальных баз уязвимостей, которую сегодня упомянул у себя Алексей Лукацкий. 🎤

Планируем собрать представителей от БДУ, VM-вендоров, IT-вендоров, клиентов и обсудить:

🔹 Как нам жить в дивном мире, где американцы сначала политизировали ведение главной мировой базы уязвимостей, а теперь, как оказалось, вообще это не тянут? 🤷‍♂️

🔹 Чего нам не хватает в нашей российской базе БДУ? Как сделать её ещё полнее, а работу с ней ещё эффективнее? Как мы (каждый со своей стороны) можем этому способствовать?

🔹 Качество детектирования известных уязвимостей VM-продуктами. Удовлетворительно ли оно сейчас и как можно его улучшить?

В общем, приходите, должно получиться интересно. 🙂

4 RCE в оборудовании HPE Aruba Networking

Добавить комментарий

4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking

4 RCE в оборудовании HPE Aruba Networking. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS - это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.

Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.

Уязвимые продукты:

🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways

Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.

Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким

1 комментарий

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким. У Алексея Викторовича очень необычный взгляд на вопросы Vulnerability Management-а и мастерские формулировки. 👍🙂📝 Отметил для себя 3 темы, которые было бы интересно подробнее разобрать:

🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.

🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?

🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?

"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Добавить комментарий

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Добавить комментарий

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tuesday - упоминание в блоге ZDI (Zero Day Initiative). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷‍♂️

Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.

Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

1 комментарий

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Курс шёл 3 недели в апреле. Занятия проводил генеральный директор АО «Эшелон Технологии» Александр Дорофеев, CISSP, CISA, CISM.

Как по мне, получился неплохой курс для начинающих. Демонстрация детектирования уязвимостей там, конечно, на Сканер-ВС 6, но по большей части контент курса можно считать вендерно-нейтральным и он будет полезен всем начинающим VM-специалистам.

Список занятий:

1. Методика тестирования защищенности
2. Интернет-разведка (OSINT)
3. Поиск уязвимостей
4. Эксплуатация уязвимостей
5. Отчет по тестированию
защищенности
6. Организационные аспекты управления уязвимостями

Видеозаписи занятий выкладываются в плейлисты учебного центра «Эшелон» на YouTube, RuTube и ВКонтакте. На данный момент доступны записи первых четырёх занятий.

Слайды я по согласованию перезалил в свой канал из канала @EchelonEyes, чтобы всё было в одном месте. Это крутой канал с новостями по ИБ, сам подписан и вас приглашаю подписаться.

Обращаю внимание, что не весь контент курса отражён на слайдах! Например, на слайдах по эксплуатации описан только брутфорс паролей, а на видео ещё разбирается эксплуатация уязвимости с помощью метасплоита. Так что лучше смотрите видео.

Больше курсов по Vulnerability Management-у хороших и разных!

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Добавить комментарий

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028). Уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (National Security Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.

🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾

🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.

🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷‍♂️

🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.

🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎

🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.

➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.