Тоже сделал мемчик с крутым Юсуфом Дикечем. 😅
🔹 Каждая существующая в инфраструктуре уязвимость должна быть продетектирована.
🔹 Для каждой продетектированной уязвимости должна быть заведена задача на исправление.
Это суровая база. А когда вам говорят, что этого можно не делать, потому что есть какой-то супер-современный инструмент оценки уязвимостей, к этому стоит относиться со скепсисом. 😉
По поводу прошедшего вчера мероприятия Qualys по Patch Management-у. В первую очередь хочу поблагодарить Дмитрия и Никиту за компанию, текстовая трансляция с обсуждением удалась. 🙂👍
Понравилось:
✅ Крутой доклад Eran Livne про Patch Management в Qualys. 👍 Особенно про создание связанных задач на патчинг (сначала на тестовом скоупе, а через неделю на полном скоупе) и про возможность изолировать хосты в качестве митигейшена (остаётся доступ только из облака Qualys). Про новый TruRisk Eliminate было тоже интересно.
✅ Adam Gray красиво обосновал необходимость обязательного патчинга (т.к. prevention толком не работает 🤷♂️).
Не понравилось:
❌ Большую часть времени докладчики говорили не про Patch Management, а про другие ИБ темы. Хотелось бы большего фокуса.
❌ Тезисы типа "вам не нужно патчить все уязвимости" не могу принять. 🤷♂️ Моя позиция: нужно патчить всё. А workaround-ы это хорошо, но это временные костыли ДО полноценной установки патча.
Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249). Благодаря используемым паролям по умолчанию, удалённый неаутентифицированный злоумышленник может получить доступ к серверу Acronis Cyber Infrastructure (ACI) и выполнить на нём произвольный код.
ACI - это гиперконвергентная платформа для хранения, бэкапирования, вычислений, виртуализации и сетевых функций.
🔻 Патчи, исправляющие эту уязвимость, вышли 30 октября 2023 (❗️) года.
🔻 Через 9-10 месяцев, 24 июля этого года, Acronis отметили в бюллетене, что для уязвимости появились признаки эксплуатации вживую. Пишут, что целью эксплуатации была установка криптомайнера. 29 июля уязвимость добавили в CISA KEV.
Ряд источников сообщает о 20 000 сервис-провайдеров, использующих ACI. Я не нашёл подтверждений этому. Возможно тут путаница с Acronis Cyber Protect. Однако, крупных компаний, использующих ACI, наверняка, довольно много. Если вы работаете в такой компании, обязательно обратите внимание.
Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510). Memory corruption позволяет обойти песочницу SAFER и выполнить произвольный код.
Ghostscript - это интерпретатор языка PostScript и PDF документов. Используется в ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS и д.р. Доступен для множества операционных систем.
🔻 Версия Ghostscript 10.03.1, исправляющая уязвимость, вышла 2 мая.
🔻 Через 2 месяца, 2 июля, эксперты Codean Labs опубликовали подробный разбор этой уязвимости и PoC. В видео демонстрации они запускают калькулятор, открывая специальный ps-файл утилитой ghostscript или специальный odt-файл в LibreOffice.
🔻 10 июля на GitHub появился функциональный эксплоит. А 19 июля, появился и модуль в Metasploit.
👾 СМИ пишут, что уязвимость эксплуатируется вживую. Правда все они ссылаются на единственный пост в микроблоге от какого-то разраба из Портленда. 🤷♂️ Думаю скоро появятся и более надёжные доказательства эксплуатации в атаках.
Qualys представляют TruRisk Eliminate для дополненного Patch Management-а. Не стали Qualys нагнетать интригу вплоть до мероприятия и опубликовали блог-пост с анонсом. Дело оказалось не в иммутабельной инфре, и не в виртуальном патчинге. Если одним словом - это workaround-ы.
На скриншоте TruRisk Eliminate видим отфильтрованный список уязвимостей на активах, критичность уязвимостей в виде QDS, колонки Remediations и Mitigations.
🔹 Remediations - это установка патча или установка патча с переконфигурированием.
🔹 Mitigations - это workaround-ы, нейтрализующие уязвимость без патчинга: изменение ключа реестра, изменение конфига, удаление приложения, блокировка порта, изоляция устройства и т.д.
И есть кнопка для выполнения действия на активе с помощью агента с выбором Remediations/Mitigations опции.
Логичное развитие. Раз дали возможность патчить, чего бы не дать возможность применять workaround-ы. Но сложностей с этим у Qualys будет - атас. 🫣
Про уязвимость Jetpack Navigation. В марте мои коллеги из PT SWARM выложили ресёрч по уязвимости Android Jetpack Navigation, которая позволяет открыть произвольный экран внутри приложения, в том числе в обход экрана аутентификации. 😨 Google уязвимость не признали (поэтому CVE нет 🤷♂️) и ограничились рекомендациями в документации. 😏
📃 Вчера команда экспертов из Стингрей презентовала на Хабре подробный обзор этой уязвимости с примерами и демонстрациями. 👍
📊 Кроме того, они проверили 1000 приложений разных категорий из публичных магазинов и выяснили, что 21% из них используют библиотеку Jetpack Navigation и могут быть уязвимы. Подробную статистику отдают на сайте.
Хороший повод поинтересоваться у ваших разрабов мобильных приложений под Android используют ли они Jetpack Navigation и знают ли об этой уязвимости. 😉
Заодно подпишитесь на ТГ канал Mobile AppSec World - лучший канал по мобильному аппесеку от Юры Шабалина и команды Стингрей.
"Загадка Дыры": Remote Code Execution - Internet Explorer (CVE-2012-4792). Вчера в CISA KEV добавили старую уязвимость "CDwnBindInfo" из 2012 года: пользователь открывает в MS Internet Explorer 6–8 зловредный вебсайт и злоумышленник получает RCE на его хосте. Уязвимость активно эксплуатировалась с конца 2012 года как 0day в watering hole атаках на организации США. В частности, зловредный код размещали на взломанном сайте Council on Foreign Relations (CFR).
Почему уязвимость добавили в CISA KEV только сейчас?
🔹 Обнаружили новые атаки с использованием этой уязвимости на legacy системы, для которых выпускали патчи (Win XP/Vista/7, WinServer 2003/2008)? 🤪 Вряд ли.
🔹 Для проформы: увидели уязвимость с подтверждёнными инцидентами, а в CISA KEV её нет, вот и добавили? Вероятнее, но почему только её? 🧐
🔹 В аудитах нашли уязвимые легаси-системы и не было формального предлога для их срочного обновления? Странновато. 🤷♂️
Будем наблюдать. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
