Архив рубрики: Темы

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

1 комментарий

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103). А точнее в плагине-приложении graphapi, благодаря которому становится доступен URL:

"owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"

При доступе к этому URL-адресу раскрываются детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера. В контейнерных развертываниях эти переменные среды могут включать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. 🤷‍♂️

Есть немудрёный PoC. 🙂 Если у вас ownCloud - проверяйтесь, обновляйтесь, меняйте креды.

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Добавить комментарий

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059)

1 комментарий

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059)

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059). Это давнишняя мартовская история. Пример того, на что иногда могут выдать CVE идентификатор. 3CX DesktopApp это десктопное приложение-мессенджер с возможностью совершать телефонные звонки. 29 марта этого года выяснилось, что некоторые версии этого приложения под Windows и MacOS были затроянены на стороне вендора. Качаешь приложения с официального сайта - получаешь троян (infostealer). Классическая Supply Chain Attack. Ситуация достаточно распространенная. Можно хотя бы вспомнить Free Download Manager. Но вот то, что под неё CVE завели - редкость.

Когда я попытался определить тип такой внесённой "уязвимости", это вогнало меня в лёгкий ступор. В описании только про "has embedded malicious code" и перечень версий. NVD также умыли руки и выставили NVD-CWE-noinfo (Insufficient Information).

В итоге я решил, что раз злоумышленники получили эффект равный эксплуатации RCE, то пусть будет "как бы RCE". 🙂

Vulristics и BDU уязвимости без идентификаторов CVE

Добавить комментарий

Vulristics и BDU уязвимости без идентификаторов CVE

Vulristics и BDU уязвимости без идентификаторов CVE. Что делать, если уязвимость содержится в базе уязвимостей БДУ ФСТЭК, но CVE-идентификатора у неё нет? Можно ли обрабатывать такие уязвимости в Vulristics?

Например, в случае с
🔻RCE в 1С-Битрикс: Управление сайтом (BDU:2023-05857)
🔻Уязвимость механизма обновления Dr.Web Enterprise Security Suite (BDU:2014-00226)

Сейчас BDU-идентификаторы можно подавать на вход Vulristics также как и CVE-идентификаторы. Обрабатываться они будут одинаково. Но так как коннектор для BDU пока не реализован, а в других источниках данных BDU-идентификаторы не упоминаются, готовые данные придётся подавать самостоятельно через Custom Data Source.

Таким образом, требуется некоторая ручная работа, но обрабатывать такие уязвимости в рамках единого workflow с CVE-шками вполне реально.

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911

Добавить комментарий

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911. Это при том, что уязвимость вышла 3 октября, публичный PoC для неё был готов уже на следующий день, и она уже как минимум 2 недели эксплуатируется в зловреде Kinsing. Не спешат товарищи, ой не спешат. 🤷‍♂️

🟥 Positive Technologies относит эту уязвимость к трендовым с 4 октября. 😎

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading

5 комментариев

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading. "Эксплуатируемым уязвимостям требуются месяцы на то, чтобы попасть в CISA KEV". Показывают на примерах:

1. RCE уязвимость в Adobe Acrobat и Reader (CVE-2023-21608). Вышла эта уязвимость 18 января. PoC для неё вышел в феврале. С июня эксплоит доступен в коммерческих фреймворках. А в CISA KEV уязвимость добавили только 10 октября. 🤷‍♂️ 10 месяцев получается потребовалось.

2. Множественные уязвимости в Juniper серий EX и SRX. Объявили об уязвимостях в середине августа. 25 августа Shadowserver сообщили о попытках эксплуатации вживую. В CISA KEV добавили только 13 ноября.

3. Обход аутентификации Veeam Backup & Replication (CVE-2023-27532). Обнаруженна в марте, начала эксплуатироваться позже в том же месяце, добавлена в список KEV только в августе.

И почему так?

Всё из-за жёстких критериев к доказательствам фактов эксплуатации уязвимости вживую и к наличию исправления от вендора (т.к. CISA KEV это фактически перечень требований для федеральных агентств по исправлению уязвимостей).

В статье рекомендуют использовать дополнительные источники данных об уязвимостях эксплуатируемых вживую.

Тоже порекомендую такой источник -

Трендовые Уязвимости
от 🟥 Positive Technologies

😉

Про ссылки на эксплоиты в NVD

Добавить комментарий

Про ссылки на эксплоиты в NVD

Про ссылки на эксплоиты в NVD. Весьма подбешивает, что в NVD ставят ссылки на эксплоиты (в частности на Packet Storm) без тега, что это эксплоит. Для двух уязвимостей из предыдущего поста это так.

Казалось бы, а зачем нужен тег? Раз видишь Packet Storm - учитывай это автоматом как эксплоит. Но беда в том, что на Packet Storm также публикуются и другие материалы (advisory, описания утилит, статьи) и ссылки на них выглядят также. 🤦‍♂️ Нужно переходить по ссылке и смотреть теги уже на Packet Storm. 😣 Или как-то хитро по URL-у фильтровать. Для других открытых сплоит-паков ситуация схожая.

Частенько бывает и наоборот: тег "exploit" лепят на ссылки, по которым есть только очень приблизительное описание PoC-а или указание на то, что он где-то есть.

Так что и отсутствию тега, и присутствию верить полностью нельзя. 🤷‍♂️