Мастер-класс по росписи ёлочных игрушек прошёл успешно. 👍 Сказали, что можно рисовать всё что угодно. 😏 Нарисовал Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086). 😅
Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM). Модуль будет доступен в Q4 2024 в рамках платформы Enterprise TruRisk.
Заявленные фичи:
🔹 Обнаружение и мониторинг AI инфраструктуры организаций. Чтобы не было "shadow LLM".
🔹 Vulnerability Management с фокусом на угрозы AI. Делают акцент на противодействии воровству (извлечению) данных и моделей. Будут предлагать разнообразные способы исправления уязвимостей.
🔹 Специализированное сканирование LLM с упором на prompt injection, воровство модели и раскрытие конфиденциальной информации.
🔹 Compliance Management и управление рисками. Делают акцент на утечках данных. Упоминают GDPR, PCI, CCPA.
Есть скриншот интерфейса со статистикой по моделям и их угрозам. Также там угрозы для связанных активов и занимательные информеры для AI Workloads, AI Software и GPU.
Перезалил "В Тренде VM" за 5 месяцев. Я тут затих в последние дни, потому что всё свободное время на это уходило. Вырезать, подправлять, размечать, оформлять и описывать ролики было довольно муторно, но результатом я доволен. 🙂
Теперь "В Тренде VM" это не только рубрика внутри новостных выпусков SecLab-а, но и отдельные ролики на моём канале с таймкодами по конкретным уязвимостям и описаниями. 😊 Т.е. теперь для каждой трендовой уязвимости, начиная с февраля, есть краткое видео-обоснование почему мы считаем её трендовой. Надеюсь, что и индексироваться это будет неплохо.
По договоренности новые ролики буду добавлять через неделю после выхода рубрики "В Тренде VM" в видео-новостях SecLab-а.
В моменте выкладываю только в плейлист моего канала на YouTube. Иронично, что руки дошли этим заняться аккурат к завершению работы платформы в России. 🙂
Upd. Залил ролики в плейлисты "В Тренде VM" на российские площадки:
🔹 RuTube
🔹 VK Видео
В прошлую пятницу прошла церемония награждения Pentest Award 2024 от Awillix. Есть видео и отчёт на хабре.
Первые места по номинациям:
🥇 Пробив WEB - shin0_by "Multiple Take Over". Изменение логина и пароля через перебор значения cookie.
"Bypass Restrict User Registration → Bypass EDR → RCE WebApp → RCE SQL Server"
🥇 Пробив Инфраструктуры - Im10n "FreeIPA". Анализ инфраструктуры на базе FreeIPA. Уязвимость, позволяющая сделать перебор заведена как CVE-2024-3183.
"Initial Access to FreeIPA → TGT Request → Salt Extraction → TGS Brute-forcing → Domain Admin Password Retrieval → DC Compromise"
🥇 Девайс - N0um3n0n "SMS Heap Overflow". Выполнение произвольного кода на модеме путем отправки специально сформированных SMS.
"SMS Heap Overflow → Controlled Memory Read → Primitives for Memory Write → Execution of Arbitrary Code → Memory Unlocking → Deployment of Custom Driver → Persistent Application Installation"
🥇 Hack The Logic - only4u2day "From Bot to Admin". Получение прав администратора для бота в Mattermost .
"Bot Creation → Privilege Escalation with Admin Roles → Bot-to-User Conversion → Full Admin Panel Access".
🥇 Раз bypass, два bypass - snovvcrash "SafetyNDump". Обход AV для создания дампа процесса LSASS с повышенными привилегиями.
"Impersonation via TokenDuplicator → Elevated Handle with NanoDump → LSASS Dump Creation → MiniDump Parsing"
🥇 Ловись рыбка - X0red "Advanced Rogue RDP". Фишинговое письмо с RDP-файлом, который автоматически подключается к внешнему серверу и создаёт прокси-туннель.
"Phishing Email with Rogue RDP → User Connects to Rogue RDP Server → Proxy Tunnel Establishment → Network Scanning → Exploitation of Internal Services"
Про остальных победителей читайте в отчёте на хабре. В отчёте упоминается эксплуатация известных уязвимостей:
🔻 AuthBypass - Hikvision Wi-Fi IP camera (CVE-2017-14953)
🔻 RCE - Hikvision IP camera/NVR (CVE-2021-36260)
🔻 RCE - D-Link DNS-320 (CVE-2019-16057)
🔻 Spoofing - Windows LSA "PetitPotam" (CVE-2021-36942)
Ожидаемый вопрос: а где же подробности и пруфы? 😏 Особых деталей ждать не приходится, так как работа пентестеров обычно проходит под NDA. Статьи тех, кто согласиться поделиться подробностями, выйдут в журнале Xakep.
Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей.
🔹 Количество CVE уязвимостей растёт с большим ускорением; считается, что на одну зарегистрированную уязвимость есть 3 незарегистрированных.
🔹 Исходя из статистики, устранение уязвимостей осуществляется гораздо позже, чем эти уязвимости начинают использовать атакующие.
🔹 Отсутствие выстроенного процесса приоритизации уязвимостей - одна из причин задержек в их устранении.
🔹 Единственного правильного метода приоритизации уязвимостей нет: у каждого свои преимущества, недостатки и область применения.
🔹 Выбор у корпоративных пользователей небогат: довериться методам приоритизации VM-вендора, либо пилить свой процесс (собирая temporal и environmental данные самостоятельно).
🔹 Можно попробовать разработать собственную методику, однако всё равно нужно где-то брать исходные данные. Большинство компаний берут за основу CVSS Base Score + временные метрики (EPSS, Coalition ESS, AI Score, CVE Shield, CISA KEV и т.п.). Каверзные вопросы. Что делать с новыми уязвимостями, по которым еще нет данных? И что делать с уязвимостями, для которых нет, и возможно, не будет данных в CVE (например, с уязвимостями в российских продуктах)? 🤔 Информации по их эксплуатабельности в западных источниках не будет. 😏
🔹 "Уникальная и революционная система приоритизации уязвимостей" = учёт информации о наличии эксплойта, использовании уязвимости в реальных атаках, активности обсуждения в СМИ и соцсетях и т.д. + обработка ML-ем.
🔹 Упрощённые критерии принятия решений (НКЦКИ, SSPP, CISA) всё равно требуют автоматизации и источника информации об активности эксплуатации уязвимостей вживую.
Сидим в кафе за столиком с прикольным видом на рыбок. Смотрю на них и думаю: вот и в Vulnerability Management-е также. Масса мелких уязвимостей-рыбёшек. Ты с ними возишься, исправляешь по мере сил. А потом в произвольный момент флегматично из-за поворота выплывает супер-мега-критикал акула. 😱 Только в VM-е прикольнее, т.к. маленькая рыбка мгновенно в акулу не превратится, а с уязвимостями такое сплошь и рядом случается. 😏
Есть бородатый анекдот, когда студентам разных специальностей показывают кирпич и спрашивают о чём каждый из них в этот момент думает. Архитектор о том, какой дом можно построить из таких кирпичей, математик о свойствах параллелепипеда и т.д. А курсант военного ВУЗа думает о женщинах. Почему? А он всегда о них думает. 🤷♂️😉
На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого. Нашлось там место и для предложенной мной альтернативы CVSS под названием ОСОКА ("Общая Система Оценки Критичности Автоматизируемая"), а также там упоминается моя утилита для приоритизации уязвимостей Vulristics. Видимо действительно пора доводить ОСОКу от разрозненных заметок до спецификации, делать калькулятор и интегрировать её в Vulristics. 🤔
Рассматриваемые в статье методы разбиты на 3 группы:
🔹Зарубежные: CVSS, EPSS, CISA SSVC, CISA KEV, CVEShield (CVE Crowd, CVETrends), CMU SSVC, CVE Prioritizer, Vulners AI Score, Zoom VISS, SSPP
🔹 Российские: методика ФСТЭК, алгоритм НКЦКИ, трендовые уязвимости Positive Technologies, ОСОКА
🔹Проприетарные / закрытые: Coalition ESS, Tenable VPR, Qualys TruRisk, MVSF, PRIOn. Здесь же упоминаются внедряемые технологии приоритизации (VPT): Vulnera VSCORE, Outpost24 VPT, Vulcan, Ridge RidgeBot
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
