Архив рубрики: Уязвимости

В середине июля я принял участие в записи подкаста ЛК "Смени пароль!"

Добавить комментарий

В середине июля я принял участие в записи подкаста ЛК Смени пароль!

В середине июля я принял участие в записи подкаста ЛК "Смени пароль!".

"Сколько проработает импортное «железо» без обновлений? Как выявлять вредоносные закладки в софте? Что нужней для создания безопасного кода – хакерские конкурсы или научное проектирование? Продолжаем обсуждать главные проблемы года с ИБ-экспертами из разных компаний. В этом выпуске свои истории рассказывают Алексей Лукацкий (Positive Technologies), Александр Леонов («Тинькофф»), Алексей Марков («Эшелон»), Николай Клендар (Home Credit Bank), Александр Бондаренко (R-Vision) и Пётр Девянин («Русбитех-Астра»)."

Я рассказывал про оценку стабильности вендоров, исправление уязвимостей в продуктах нестабильных вендоров и алгоритм НКЦКИ, про зачастую разный mindset у безопасников и админов. С 14:50. За 3 месяца тренд на вынос западных решений только усилился и есть надежда, что возврат к нормальному VM-процессу с доверием используемым вендорам совершится несколько раньше, чем можно было предполагать.

Что касается уязвимостей OpenSSL, которые многие так ждали 1 ноября

Добавить комментарий

Что касается уязвимостей OpenSSL, которые многие так ждали 1 ноября. Обе уязвимости "переполнение буфера" (CVE-2022-3786, CVE-2022-3602).

Лучше всего процитировать блог Rapid7:

"Другими словами, возможности эксплуатации значительно ограничены:

- В случае, когда целью является сервер (веб-сервер, сервер базы данных, почтовый сервер и т.д.): сервер должен сначала запросить аутентификацию клиента как часть взаимной аутентификации. Такую конфигурацию распространенной не назовешь, но в особо критичных системах встречается.
- В случае, когда целью является клиент (веб-браузер, программа для чтения электронной почты, коннектор для базы данных и т.д.): злоумышленнику необходимо сначала заставить уязвимого клиента подключиться к вредоносному серверу. Можно выдать себя за другое лицо (MitM, захват существующего ресурса и т.д.) или убедить человека щелкнуть ссылку (через фишинг, "атаку на водопое" и т.д.).

В обоих сценариях такие атаки вряд ли будут широко использоваться злоумышленниками".

Те кто последнюю видяшку посмотрели, могли заметить, что качество картинки стало получше

1 комментарий

Те кто последнюю видяшку посмотрели, могли заметить, что качество картинки стало получше. Особенно если 1440р выбрать. Это потому, что я поправил техпроцесс. В первую очередь отказался от OpenShot, который непонятно почему портил качество скриншотов. Сами скриншоты я делаю в Firefox в довольно высоком разрешении ~ 8424x4384 пикселей. Поэтому получать в итоговой видяшке мыло было очень обидно. Перепробовал несколько альтернативных редакторов. Ничего не понравилось. Тяжеловесные, глючные, ориентированные на ручное редактирование. Явно не оптимальный инструмент для моих задач.

В итоге вообще отказался от каких-либо видео-редакторов, а сделал свою обвязку из ffmpeg и ImageMagick.

Видео генерится из такого описания:

00:00:00.000|Screen Shot 2022-10-29 at 00.41.17.png|Intro
00:00:12.673|Screen Shot 2022-10-29 at 00.41.43.png|Vulristics
00:00:17.578|Screen Shot 2022-10-29 at 00.42.00.png|Vulristics script output
00:00:21.839|Screen Shot 2022-10-29 at 00.42.15.png|Vulnerability statistics
00:00:28.362|Screen Shot 2022-10-29 at 00.43.11.png|RCE Exchange blog
00:00:35.737|Screen Shot 2022-10-29 at 00.44.34.png|RCE Exchange First RCE Vulristics report
00:00:40.379|Screen Shot 2022-10-29 at 00.44.22.png|RCE Exchange Second RCE Vulristics report

Первая колонка это таймстемп, когда начинает показываться картинка из второй колонки. Третья колонка это просто коммент для удобства. Таймстемпы с точностью до миллисекунды смотрю в аудиодорожке в Audacity.

Основное время уходит на конвертацию скриншотов под нужный размер ImageMagick-ом. Сейчас подгоняю под 2560X1440. 22 скриншота обрабатываются на моем ноуте минут 5. Непосредственная сборка видео из скриншотов и совмещение с аудиодорожкой занимает буквально секунды. Пятиминутный ролик в 1440р занимает всего 25 мб. Для сравнения OpenShot генерил такой же по времени ролик минут 15-20, получается файл в 350 мб ещё и в худшем качестве.

Пробовал генерить и в 3840X2160, и 7680X4320. Тоже вполне реально, только предобработка скриншотов занимает подольше. Но такие ролики уже некорректно отображаются у меня медиаплеером на ноуте, поэтому пока остановился на 2560X1440. 😅

Как считаете, есть смысл причесать и оформить код и выложить как опенсурсный проект? Или и так все понятно и тривиально? Полайкайте плз, если оно надо.

Выпустил отчет по октябрьскому Microsoft Patch Tuesday

Добавить комментарий

Выпустил отчет по октябрьскому Microsoft Patch Tuesday. В календарные сроки уложился. 😅

На самом деле не особо интересный месяц. По #ProxyNotShell Remote Code Execution – Microsoft Exchange (CVE-2022-41040, CVE-2022-41082) все ещё ждем патчей. Общевиндовая Elevation of Privilege - Windows COM+ Event System Service (CVE-2022-41033) вроде активно эксплуатируется, но пока не ясно кем и как именно. Остальное всё такое себе, средненькое. Подробнее в блогпосте.

Классная была задумка в NVD добавлять лейблы к ссылкам

Добавить комментарий

Классная была задумка в NVD добавлять лейблы к ссылкам

Классная была задумка в NVD добавлять лейблы к ссылкам. Чтобы сразу было видно на какой объект ссылаются: почтовая рассылка, бюллетень вендора, бюллетень третьих лиц, патч, а самое ценное - эксплоит. То есть можно было бы только на основе NVD делать достаточно неплохую приоритизацию уязвимостей. Но реальность, к сожалению, грустнее:

1. На простановку лейблов всем так-то пофигу. На скриншоте log4shell. Для части ссылок на packetstorm проставлено, что это эксплоиты. Для части нет. Может это на самом деле не эксплоиты? Да нет, все верно, я обкликал и проверил. Просто ошибка операциониста, который ссылку добавлял.
2. Заинтересован ли кто-то быстро добавить в NVD ссылку на эксплоит, когда он появляется в паблике? Да видимо не особо. Разве что для очень громких уязвимостей.
3. Это общая беда, но в описании CVE могут писать про один тип уязвимости, допустим RCE, а эксплоит будет демонстрировать другую уязвимость, допустим DoS.

Выводы? Спасибо, что хотя бы так и бесплатно. 🙂 Но исключительно на данные из NVD лучше не полагаться.

Новая потенциально горячая уязвимость CVE-2022-42889 (9.8 CVSS) в версиях Apache Commons Text с 1.5 до 1.9

Добавить комментарий

Новая потенциально горячая уязвимость CVE-2022-42889 (9.8 CVSS) в версиях Apache Commons Text с 1.5 до 1.9. Proof-of-concept эксплоит в паблике, но про атаки вживую пока не пишут. Проблема может развиться в "Log4Shell а миниатюре".

Joint advisory AA22-279A (4/4)

Добавить комментарий

Joint advisory AA22-279A (4/4)

3. Продетектированные типы уязвимостей.

Remote Code Execution
Command Injection
Arbitrary File Reading
Authentication Bypass
Path Traversal

Как видим все уязвимости очевидно критичные за исключением одного "Path Traversal":

Path Traversal - Citrix Application Delivery Controller (CVE-2019-19781)

Описание уязвимости не оставляет никаких возможностей для детектирования другого типа:

"An issue was discovered in Citrix Application Delivery Controller (ADC) and Gateway 10.5, 11.1, 12.0, 12.1, and 13.0. They allow Directory Traversal".

Этот же тип указывается в отчете AA22-279A: Citrix ADC CVE-2019-19781 Path Traversal

И только в описании эксплоита мы можем видеть, что это по факту RCE: "This tool exploits a directory traversal bug within Citrix ADC (NetScalers) which calls a perl script that is used to append files in an XML format to the victim machine. This in turn allows for remote code execution."

Что ж, это очередное напоминание о том, что жестко фильтроваться по типу уязвимости нельзя и доверять описанию из nvd тоже нельзя. Тип уязвимости может уточняться со временем, а изменения в NVD никто не вносит.

В части случаев Vulristics может помочь более точно определить тип уязвимости:

AA22-279A: Apache HTTP Server CVE-2021-41773 Path Traversal
Vulristics: Remote Code Execution - Apache HTTP Server (CVE-2021-41773)

Почему? Потому что в описании "If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution."

Но конечно Vulristics это не серебряная пуля и кроме ручного разбора публикаций об уязвимостях и эксплоитах тут ничего не придумаешь.

Также не могу не указать, что ещё для части уязвимостей Vulrisitcs определил типы уязвимостей более корректно в соответствии с описанием:

AA22-279A: GitLab CE/EE CVE-2021-22205 Remote Code Execution
Vulristics: Command Injection - GitLab (CVE-2021-22205) - Urgent [947]
"… which resulted in a remote command execution."

AA22-279A: Sitecore XP CVE-2021-42237 Remote Code Execution
Vulristics: Sitecore Experience Platform (XP) (CVE-2021-42237)
"… it is possible to achieve remote command execution on the machine."

AA22-279A: VMware vCenter Server CVE-2021-22005 Arbitrary File Upload
Vulristics: Remote Code Execution - VMware vCenter (CVE-2021-22005)
"…may exploit this issue to execute code on vCenter Server by uploading a specially crafted file."

AA22-279A: F5 Big-IP CVE-2022-1388 Remote Code Execution
Vulristics: Authentication Bypass - BIG-IP (CVE-2022-1388)
… undisclosed requests may bypass iControl REST authentication"

AA22-279A: Apache HTTP Server CVE-2021-41773 Path Traversal
Vulristics: Remote Code Execution - Apache HTTP Server (CVE-2021-41773)
"… this could allow for remote code execution."

AA22-279A: Apache CVE-2022-24112 Authentication Bypass by Spoofing
Vulristics: Remote Code Execution - Apache APISIX (CVE-2022-24112)
"… is vulnerable to remote code execution."

AA22-279A: Buffalo WSR CVE-2021-20090 Relative Path Traversal
Vulristics: Authentication Bypass - Buffalo WSR (CVE-2021-20090)
"… allow unauthenticated remote attackers to bypass authentication."

Поэтому не спешите доверять типу уязвимости из CISA Known Exploited Vulnerabilities Catalog и учитывать его при приоритизации.