Архив рубрики: Уязвимость

Сравнение сканеров уязвимостей по качеству детектирования - важная тема

Сравнение сканеров уязвимостей по качеству детектирования - важная тема

Сравнение сканеров уязвимостей по качеству детектирования - важная тема. Несмотря на довольно очевидные проблемы методологий конкретных сравнений, они хоть в какой-то мере побуждают клиентов снять розовые очки.

"Получается можно купить дорогое VM-решение и НЕ получить надёжный поток продетектированных уязвимостей? Даже критичных и эксплуатабельных?" 😯

Вот представьте себе! 🤷‍♂️ VM-вендор может

🔹 вообще не поддерживать какие-то софты
🔹 не детектировать какие-то CVE для каких-то софтов
🔹 только декларировать, что детектирует какие-то CVE, а на самом деле детекты будут отрабатывать некорректно; или будут отрабатывать корректно только в определённых режимах (например, с аутентификацией)

Я не понимаю, когда говорят, что сканер детектирует слишком много уязвимостей в инфраструктуре и исправлять нужно 2%. Как по мне, беда в обратном - уязвимостей детектируется слишком мало, они детектируются не все. И среди недотектируемых могут быть самые опасные.

Upd. переформулировал

В августе этого года Pentest Tools выпустили сравнение сканеров уязвимостей по качеству детектирования

В августе этого года Pentest Tools выпустили сравнение сканеров уязвимостей по качеству детектирования

В августе этого года Pentest Tools выпустили сравнение сканеров уязвимостей по качеству детектирования. Очень круто, когда VM-вендор делает ставку на качество детектов. 👍 Но к методологии сравнения есть вопросы. 🤷‍♂️

Таргеты для сканирования взяли на vulhub. Этот репозиторий docker-compose файлов позволяет запускать Docker-контейнеры с сервисами, содержащими известные уязвимости. Далее эти сервисы проверяли разными сканерами в black-box pentest-режиме (без аутентификации) и делали выводы о возможностях детектирования.

Т.е. сравнение сканеров свели к сравнению их пентест-режимов. Уязвимости, для детектирования и эксплуатации которых требуется доступ к хосту (тот же PwnKit), - мимо. 😏

Кроме того, сравнение провели на очень небольшом скоупе уязвимых софтов (167 уязвимых сред). Это опенсурсные софты, которые свободно распространяются в виде Docker-образов. Т.е. там нет Exchange или Bitrix. Но есть, например, Gogs - Git-сервис популярный, в основном, в Китае. 🤷‍♂️

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday. Всего 248 уязвимостей. Из них 92 в Linux Kernel.

5 уязвимостей с признаками эксплуатации вживую:

🔻 Remote Code Execution - CUPS (CVE-2024-47176) и ещё 4 уязвимости CUPS, которые могут использоваться также для усиления DoS-атак
🔻 Remote Code Execution - Mozilla Firefox (CVE-2024-9680)

Для 10 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них можно выделить:

🔸 Remote Code Execution - Cacti (CVE-2024-43363)
🔸 Elevation of Privilege - Linux Kernel (CVE-2024-46848)
🔸 Arbitrary File Reading - Jenkins (CVE-2024-43044)
🔸 Denial of Service - CUPS (CVE-2024-47850)
🔸 Cross Site Scripting - Rollup JavaScript module (CVE-2024-47068)

🗒 Отчёт Vulristics по октябрьскому Linux Patch Wednesday

CVE-идентификаторы с пробелом в OVAL-контенте RedOS

CVE-идентификаторы с пробелом в OVAL-контенте RedOS

CVE-идентификаторы с пробелом в OVAL-контенте RedOS. В ходе подготовки отчёта по октябрьскому Linux Patch Wednesday обнаружил, что у меня откуда-то лезут невалидные CVE-идентификаторы с пробелом в конце. Источником оказался OVAL-контент RedOS (7.6 мб). По находится 115 таких проблемных ссылок на CVE. Вряд ли это ошибки при ручном заполнении, видимо ошибка в последних версиях генератора OVAL-контента.

Если вы используете OVAL-контент RedOS, обратите внимание, что такое может быть и потенциально может аффектить Vulnerability Management процесс.

Просьба коллегам из РЕД СОФТ пофиксить проблему и накрутить тесты, что используемые CVE-идентификаторы матчатся регуляркой.

Upd. Коллеги из РЕД СОФТ быстро отреагировали и проблему исправили. 🙂👍

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383). Roundcube - клиент для работы с электронной почтой с веб-интерфейсом, сравнимый по функциональным возможностям с настольными почтовыми клиентами, такими как Outlook Express или Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Жертва открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код.

В сентябре 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносное письмо с признаками эксплуатации этой уязвимости, направленное на электронную почту одного из государственных органов стран СНГ.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.

Обновляйтесь своевременно!

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.