Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT.
🔻 Уязвимость 2022 года. На NVD она в статусе "Rejected", хотя эксплуатабельность её подтверждена. 🤷♂️ В чём суть. CMS Bitrix можно развернуть из вендорского образа "1C-Битрикс: Виртуальная машина". После включения виртуалки нужно без аутентификации зайти на вебинтерфейс и провести настройку. На определённом шаге есть опция "Загрузка резервной копии". Вместо резервной копии туда можно подсунуть веб-шелл, который успешно установится. 🫠
🔻 И какой риск? Не будут же интерфейс первоначальной настройки в Интернет выставлять? 🤔 А вот выставляют, ищется гуглдорком. 😏
🔻 Так произошло и в кейсе с дефейсом сайта Jet CSIRT. В ноябре 2023 интерфейс настройки был выставлен в Интернет на 3 дня. Злоумышленники его нашли и залили шелл. 🤷♂️
Jet-ы пишут, что Bitrix-ы такое поведение настройщика уязвимостью не считают. Так что рекомендация одна: не выставлять его в Интернет. 😅🤡
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Потрясающее видео из "Вкусно – и точка". Среди бела дня какой-то левый мужик вскрывает терминал самообслуживания и устанавливает туда аппаратную закладку "малинку". При этом работники ресторана несколько раз проходят мимо и никак не реагируют.
Напомнило советскую комедию "Старики разбойники", в которой герои Никулина и Евстигнеева выносят из музея картину Рембрандта. Но в фильме похитители были одеты в рабочие халаты. Здесь же мужик в обычной одежде. 🤪
А если бы на нём был комбинезон с большими буквами "СЕРВИСНАЯ СЛУЖБА" и папка-планшет с какими-нибудь бумажками в руках? Он бы не то, что в терминал залез, он бы по всем техническим помещениям ходил беспрепятственно. 😏
Отличная демонстрация необходимости в организациях Human Vulnerability Management-а. Чтобы не боялись лишний раз задать вопрос "ты вообще кто такой?", не придерживали и не открывали двери перед незнакомцем с коробкой, знали что делать в подозрительной ситуации и т.д.
В целом, речь, конечно, не идёт ни о каком достижении 100% защиты, а об избежании стопроцентного решета, которое возникает, если Vulnerability Management-ом (и информационной безопасностью вообще) не заниматься. 🤷♂️
🔹 Упростил работу с данными об эксплоитах. Теперь все Data Sources приносят эти данные в едином формате и они обрабатываются единообразно. В том числе признаки наличия эксплоита в Microsoft CVSS Temporal Vector (отношу их к приватным эксплоитам). Сначала смотрю наличие публичных эксплоитов, если их нет, то приватных эксплоитов.
🔹 Поправил багу из-за которой не получалось принудительно выставлять тип уязвимости из Custom Data Source.
🔹 При упрощённом детектировании наименования продуктов для генерённых описаний уязвимостей Microsoft описание продуктов теперь подтягивается и по alternative_names.
🔹 Исправил багу с падением Vulristics при генерации отчёта Microsoft Patch Tuesday во время поиска обзора MSPT от Qualys. Теперь падать не будет, просто отчёт Qualys не будет учитываться. Чтобы учитывался, нужно прописать ссылку в файле comments_links. Пример описания добавил в help и README.
Да можно. 🙄 Я вообще мало знаю людей, кто этим заморачивается. К сожалению, большинство относится формально. Принимают всё на веру, VM-вендоров лишний раз не стимулируют. 🤷♂️
К чему это приводит? Маркетинг VM-вендоров решает, что детекты это коммодити, качество их никому не интересно и продажи не улучшает. Разработчики в VM-вендорах расслабляются. Главное же, чтобы на полностью обновлённой системе всё зелёненькое было, а на необновлённой красненькое. Остальное не так и важно, правда? 😏 VM-продукты деградируют.
EASM и CAASM - это просто сценарии применения сканера безопасности? Рубрика "занудно реагируем на мемасики". 🙂 У меня был пост по классам решений, включая EASM и CAASM.
EASM - это действительно сервис на основе сканера уязвимостей, который работает в режиме Pentest (без аутентификации). Так что выражение, отчасти, правда. Однако, EASM подразумевает функциональность по самостоятельному определению периметра организации (например, отталкиваясь от доменного имени) и фокус на контроле и учёте активов. Также этот сканер должен быть заточен под проблемы специфичные для периметра, например, искать админки. EASM может быть отправной точкой вендора к развитию полноценного инфраструктурного VM-а. И наоборот, VM-вендор может реализовать EASM модуль.
CAASMфокусируется на интеграции через API с другими системами, содержащими информацию об активах. Если там сканер и используется, то это побочная функциональность. Я бы не стал относить CAASM к "сценариям применения сканера безопасности".
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
