Архив рубрики: Уязвимость

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287). WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.

⚙️ Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.

🛠 С 18 октября на GitHub доступен публичный эксплойт.

⚙️ 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).

👾 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору

Добавить комментарий

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору. Об этом сообщает РБК:

"Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление."

Как я понимаю, под "владельцем ПО" понимается его вендор. Таким образом это НЕ централизованный репортинг уязвимостей, когда решение о том, сообщать ли об уязвимости вендру принимает сам регулятор, а скорее параллельный репортинг, когда вендор и регулятор узнают об уязвимости одновременно.

Но и такой вариант, имхо, гораздо лучше нерегулируемого репортинга уязвимости, как есть сейчас. 👍

А есть ли инновация в Qualys TruConfirm?

Добавить комментарий

А есть ли инновация в Qualys TruConfirm?

А есть ли инновация в Qualys TruConfirm? По поводу этой функциональности можно сказать: "Ну и что? Это ж просто переупакованные детекты сейфчеками! Им же 100 лет в обед! Чем это отличается от Nmap-плагинов или шаблонов Nuclei?!"

И действительно, если соглашаться с Qualys-ами, что "TruConfirm - это прорыв" (в посте "Game Changer"), то в основном маркетинговый. Впервые за долгое время лидирующий мировой VM-вендор обратил внимание на ключевую функциональность своего продукта - качественное детектирование уязвимостей. 😏

И, как по мне, это здорово. Давно пора нести в массы идею: детекты уязвимостей различаются по принципам работы, достоверности и информативности вывода.

Качественные детекты на базе эксплоитов делать сложно и дорого. Не грех это всячески подчёркивать и придумывать способы получения дополнительного финансирования для развития этой функциональности в VM-продукте. В том числе через переупаковку в премиальную фичу аналогичную Qualys TruConfirm. 😉

От детектирования уязвимостей к валидации экспозиций

Добавить комментарий

От детектирования уязвимостей к валидации экспозицийОт детектирования уязвимостей к валидации экспозиций

От детектирования уязвимостей к валидации экспозиций. На прошлой неделе Qualys представили новую функциональность TruConfirm класса Automated Exposure Validation. Их платформа Qualys ETM позволяет производить оценку критичности и приоритизацию уязвимостей в инфраструктуре. Причём уязвимости не обязательно должны быть продетектированы с помощью Qualys (на скриншоте в источниках уязвимостей видны Nessus и MS Defender for Endpoint). Независимо от способа детектирования, TruConfirm может определить является ли уязвимость (в широком смысле слова - экспозиция) эксплуатабельной на конкретном хосте. Если эксплуатабельность подтверждается, это является фактором приоритизации. Если нет, Qualys обещает показывать какие именно СЗИ блокируют эксплуатацию.

Технически эта функциональность работает через выполнение safecheck-ов на основе эксплоитов. Пока непонятно, это только "пентестовые" сейфчеки или эксплуатабельность EoP на хосте тоже могут проверить. 🤔 Но заход интересный. 👍

Интересным образом развивается кейс с компрометацией американского IT/ИБ-вендора F5

Добавить комментарий

Интересным образом развивается кейс с компрометацией американского IT/ИБ-вендора F5

Интересным образом развивается кейс с компрометацией американского IT/ИБ-вендора F5. Раньше недопустимыми при атаке на вендора считались события, дающие злоумышленнику непосредственный доступ в инфраструктуру клиентов. Например, через добавление зловредной функциональности в дистрибутивы или обновления продуктов.

В данном случае, несмотря на длительное присутствие атакующих в инфраструктуре F5 (почти 2 года!), об этом пока не сообщают. 😏 Зато на Западе наконец-то обратили внимание на то, что раньше не считалось особенно критичным: злоумышленники получили доступ к открытым задачам на устранение уязвимостей в продуктах F5, наверняка вместе с PoC-ами. 🤦‍♂️🎰 Злодеи, безусловно, используют эту информацию по зиродеям в атаках на инсталляции F5 по всему миру (269 тысяч IP-адресов!). 😱🤷‍♂️

Конечно, F5 выпустили экстренные патчи для 44 уязвимостей, но, наверняка, исправили далеко не всё. К тому же, злоумышленники получили доступ и к исходному коду F5, что облегчит им поиск новых уязвимостей. 😉

Обратил внимание на оценки параметра TTE (Time-to-Exploit) для уязвимостей в свежем пресс-релизе BIZONE и Сбера

Добавить комментарий

Обратил внимание на оценки параметра TTE (Time-to-Exploit) для уязвимостей в свежем пресс-релизе BIZONE и Сбера

Обратил внимание на оценки параметра TTE (Time-to-Exploit) для уязвимостей в свежем пресс-релизе BIZONE и Сбера.

Утверждается, что:
🔻 "За последние 2,5 года показатель Time-to-Exploit стал равен менее 40 дней"
🔻 "За последние пять лет Time-to-Exploit сократился в 20 раз"
🔻 "Более 60% уязвимостей хакеры начинают эксплуатировать в течение первых дней после публикации, а иногда и после нескольких часов"

Учитывая, что сейчас добавляется более 40к+ новых CVE в год и для большей части из них эксплоиты не появляются никогда, эти утверждения должны касаться не всех уязвимостей, а некоторой выборки. 😉

Поэтому я уточнил у коллег из SBER X-TI методику расчёта.

Для всех уязвимостей брали:
👾 De - дату начала эксплуатации в атаках из CISA KEV и собственной аналитики
📰 Dp - дату публикации из MITRE
Считали TTE = De - Dp

При расчёте среднего TTE учитывали только CVE, попадающие под фильтры:
🔍 рассматриваемый год содержится в CVE-ID
✂️ TTE = 365
✂️ Год De >= Год Dp

Октябрьский Linux Patch Wednesday

Добавить комментарий

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday. В октябре Linux вендоры начали устранять 801 уязвимость, чуть больше, чем в сентябре. Из них 546 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:

🔻 EoP - VMware Tools (CVE-2025-41244). Уязвимость эксплуатируется с октября 2024 года и для неё доступны публичные эксплоиты. Согласно описанию, для эксплуатации требуется VMware Aria Operations.

Ещё для 39 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Redis (CVE-2025-49844 - RediShell, CVE-2025-46817), OpenSSH (CVE-2025-61984), 7-Zip (CVE-2025-11001, CVE-2025-11002)
🔸 EoP - FreeIPA (CVE-2025-7493), Asterisk (CVE-2025-1131)
🔸 SQLi - MapServer (CVE-2025-59431)
🔸 SFB - authlib (CVE-2025-59420)
🔸 MemCor - Binutils (CVE-2025-11082 и ещё 7), Open Babel (CVE-2025-10995 и ещё 6)

🗒 Полный отчёт Vulristics