Архив рубрики: Регуляторика

Впечатления от моих вчерашних выступлений на PHDays 2

Впечатления от моих вчерашних выступлений на PHDays 2. Было круто, мне понравилось. 🙂 Причём эмоций от первой модерации дискуссии даже больше, чем от собственного доклада. 😅

Когда докладываешься, то сам контролируешь ситуацию за исключением технических моментов. В дискуссии же есть значительная доля неопределенности. Несмотря на заготовленные вопросы, прописанный сценарий, предварительное обсуждение и прочее.

Здесь огромная благодарность всем участникам! Особенно, конечно, Виталию Сергеевичу Лютикову, за терпение к высказанным критическим моментам и интересные комментарии.

Также отдельно хотелось бы поблагодарить Алексея Викторовича Лукацкого за идею проведения дискуссии, большую помощь в организации и возможность попробовать себя в новой роли модератора.

Запись трансляции ищется на Youtube по "Государство 24 мая Positive Hack Days Fest 2". Чуть позже перезалью ролики на свой канал и перемонтирую выступление, чтобы слайды было лучше видно.

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика

2 комментария

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика. Надеюсь, что больше изменений не будет, но если что, отпишу в канал. 🙂 Также можете уточнять в интерактивной программе мероприятия (выделил фильтрами день и трек "Государство").

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

1 комментарий

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика. На сайте PHDays уже доступно расписание.

В рамках доклада рассмотрим:

🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.

Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).

upd. 22.05 Обновил время начала

На сайте ФСТЭК выложили финальную версию "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

1 комментарий

На сайте ФСТЭК выложили финальную версию "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Что изменилось по сравнению с драфтом в части Управления Уязвимостями?

🔻 Поправили опечатку "их сети Интернет".
🔻 В обоих пунктах появилась приписка "или в отношении таких уязвимостей реализованы компенсирующие меры".

Понятно почему появилась приписка про компенсирующие меры - не всегда уязвимости можно исправить обновлением. Но есть опасность, что этим будут злоупотреблять, т.к. не указано какие меры можно считать компенсирующими. Возможно толкование, что компенсирующие меры могут выбираться произвольно. В духе "на десктопе есть EDR, значит все уязвимости на нём скомпенсированы". 🤪 Но даже если меры будут браться строго от вендора или из БДУ непонятно как контролировать, то что они были корректно применены, а главное, что эти меры действительно препятствуют эксплуатации уязвимости. На практике это будет выглядеть так: сканер детектирует уязвимости, а IT/ИБ с покерфейсом говорят "а у нас всё скомпенсировано". 😐 Так что моё мнение - без приписки было лучше, не нужно было создавать такую лазейку.

Также остался вопрос с "датой публикации обновления (компенсирующих мер по устранению)". Такой даты нет в БДУ (равно как и в других базах уязвимостей). Непонятно откуда её массово забирать, чтобы автоматически отслеживать, что организация укладывается в сроки. Вряд ли источник с датами появится, так что видимо на практике в VM-решениях будут использовать какую-то другую дату (например дату заведения уязвимости). А в случае инцидента это будет повод для лишних разбирательств. Имхо, зря это сразу не прояснили.

На эту же тему может быть интересная ситуация: допустим выходит обновление в котором вендор втихую исправляет уязвимость критического уровня опасности. А о существовании этой уязвимости становится известно, допустим, через полгода. В момент публикации данных об этой уязвимости у организации сразу получается просрочка. 🤷‍♂️ Просто потому, что используется дата, привязанная к обновлению, а не к уязвимости. Надумана ли такая ситуация? Да нет, "silent patches" проблема достаточно распространенная.

В этом, правда, есть и позитивный момент. Чтобы не попасть в такую ситуацию организации придётся выстраивать Patch Management процесс независящий от уязвимостей. И с неплохими требованиями регулярности обновлений: 30 дней для хостов на периметре, 90 дней для десктопов и серверов. 😏

PS: Также pdf-документ выпустили как-то странно, так что по нему не работает поиск. По odt-документу поиск работает нормально.

Выступление и дискуссия на PHDays 2024

2 комментария

Выступление и дискуссия на PHDays 2024. В этом году я заявил на CFP рассказ про кризис в NVD (честно говоря, я предполагал, что к маю он закончится, но куда там 🌝) и развитие ресёрча уникальных уязвимостей БДУ. 👨‍💻

Но тема получила развитие и помимо доклада будет ещё и дискуссия по поводу национальных баз уязвимостей, которую сегодня упомянул у себя Алексей Лукацкий. 🎤

Планируем собрать представителей от БДУ, VM-вендоров, IT-вендоров, клиентов и обсудить:

🔹 Как нам жить в дивном мире, где американцы сначала политизировали ведение главной мировой базы уязвимостей, а теперь, как оказалось, вообще это не тянут? 🤷‍♂️

🔹 Чего нам не хватает в нашей российской базе БДУ? Как сделать её ещё полнее, а работу с ней ещё эффективнее? Как мы (каждый со своей стороны) можем этому способствовать?

🔹 Качество детектирования известных уязвимостей VM-продуктами. Удовлетворительно ли оно сейчас и как можно его улучшить?

В общем, приходите, должно получиться интересно. 🙂

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Добавить комментарий

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday. За прошедший месяц Linux-вендоры начали выпускать исправления для рекордного количества уязвимостей - 348. Есть признаки эксплуатации вживую для 7 уязвимостей (данные об инцидентах из БДУ ФСТЭК). Ещё для 165 есть ссылка на эксплоит или признак наличия публичного/приватного эксплоита.

Начнём с 7 уязвимостей с признаком активной эксплуатации вживую и эксплоитами:

🔻 В ТОП-е, внезапно, январская трендовая уязвимость Authentication Bypass - Jenkins (CVE-2024-23897). Насколько я понимаю, обычно Linux-дистрибутивы не включают пакеты Jenkins в официальные репозитарии и, соответственно, не добавляют детекты уязвимостей Jenkins в свой OVAL-контент. В отличие от отечественного RedOS. Поэтому самый ранний таймстемп исправления этой уязвимости именно у RedOS.

🔻 2 RCE уязвимости. Самая интересная это Remote Code Execution - Exim (CVE-2023-42118). Когда я выпускал отчёт, я специально не учитывал описание уязвимости и продукты из БДУ (флаги --bdu-use-product-names-flag, --bdu-use-vulnerability-descriptions-flag). Иначе это привело бы к тому, что часть отчёта была бы на английском, а часть на русском. Но оказалось, что для этой уязвимости адекватное описание есть пока только в БДУ. 🤷‍♂️ К этой уязвимости нужно присмотреться, т.к. Exim является достаточно популярным почтовым сервером. Вторая RCE уязвимость браузерная, Remote Code Execution - Safari (CVE-2023-42950).

🔻 2 DoS уязвимости. Denial of Service - nghttp2/Apache HTTP Server (CVE-2024-27316) и Denial of Service - Apache Traffic Server (CVE-2024-31309). Последняя в отчёте классифицируется как Security Feature Bypass, но это из-за некорректного CWE в NVD (CWE-20 - Improper Input Validation)

🔻 2 браузерные Security Feature Bypass - Chromium (CVE-2024-2628, CVE-2024-2630)

Из уязвимостей, для которых пока есть только признак наличия эксплоита, можно обратить внимания на следующее:

🔸 Большое количество RCE уязвимостей (71). Большая часть из них в продукте gtkwave. Это программа просмотра файлов VCD (Value Change Dump, дамп изменения значения), которые обычно создаются симуляторами цифровых схем. Выглядят опасными уязвимости Remote Code Execution - Cacti (CVE-2023-49084, CVE-2023-49085), это решения для мониторинга серверов и сетевых устройств.

🔸 Security Feature Bypass - Sendmail (CVE-2023-51765). Позволяет внедрить сообщения электронной почты с поддельным адресом MAIL FROM.

🔸 Пачка Cross Site Scripting в MediaWiki, Cacti, Grafana, Nextcloud.

В общем, в этот раз аж глаза разбегаются. 🤩

🗒 Апрельский Linux Patch Wednesday

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Добавить комментарий

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Linux Олегом Кочетовым по поводу кейса из вчерашнего поста.

🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").

🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.

Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"

Александр В. Леонов

Управление Уязвимостями и прочее