Архив рубрики: Уязвимость

Расширенный поиск по web-уязвимостям в Vulners

Расширенный поиск по web-уязвимостям в Vulners

Расширенный поиск по web-уязвимостям в Vulners.

🔻 Vulners теперь размечает значимые параметры в описании CVE уязвимостей и эксплоитов. 🤖 Например, по описанию "Code injection vulnerability in config/config_invt1.php due to improper handling of the PASSOx parameter" он автоматически определяет, что это веб-уязвимость и выделяет parameter запроса "PASSOx", url "config/config_invt1.php", position "request body" и cwe "CWE-94" (Code Injection). Эти параметры видны на странице описания уязвимости и в JSON (блок webApplicability).

🔻 По этим параметрам можно искать уязвимости в поисковом интерфейсе Vulners (бесплатно 🆓) и через API. Например, все вебные уязвимости или уязвимости с "php" в урле.

А зачем это может понадобиться?

🔹 Если у вас есть список урлов (путей), найденных краулером, можно поискать по ним потенциальные уязвимости.

И наоборот

🔹 Для размеченных уязвимостей Vulners можно проверить не доступны ли их пути в сервисах на вашем периметре.

В общем, прикольная фича. 😉👍🔥

Обновление хостов с прикладом: альтернативное мнение

Обновление хостов с прикладом: альтернативное мнение

Обновление хостов с прикладом: альтернативное мнение. Пришёл комментарий от подписчика к VM-ной задачке про 2 подразделения и обновление хостов с развёрнутыми приложениями. С любезного разрешения выкладываю текст полностью. 🙂

"Имея опыт работы с обоих сторон ("общей инфры" и админа приклада — как раз того самого Postgres), хотел бы заметить следующее. Всё же обновлением ОС должна заниматься команда, которая заведует ОС и обще-инфраструктурными сервисами, крутящимися на хостах. А админы прикладного ПО — должны следить за своим ПО.

Но все вместе они — должны согласовывать свои действия.

На хосте, помимо условного постгреса, может крутиться много всякого другого. О чём "прикладные админы" могут знать, но не факт, что могут этим грамотно управлять и правильно оценить последствия обновления пакетов. Пример навскидку — на хосте наверняка будут установлены агенты систем мониторинга — как ИТ-шного, так и ИБ-шного. И передать на админов условного постгреса ответственность за обновление хоста со всем этим набором… А "прикладники" точно должны этим заниматься? 😊 Тогда как мимо линуксовых админов установка, настройка и эксплуатация всех этих дополнительных сервисов на хостах с прикладом точно не пройдёт.

По опыту банка, в котором я работал — хосты обновляли линуксовые админы, а "прикладные" — только тот приклад, который в их зоне ответственности. Пакеты, относящиеся к прикладу, ставились на hold сразу при установке приклада, и их обновление было невозможно при обновлении хоста.

Ну и само собой, обновления сначала выполнялись на тестовых средах, чтобы понять, не приедут ли какие-то обновы зависимостей, которые могут сломать приклад. Если не приедут — хост смело обновлялся отдельно, а приклад — отдельно. Если зависимости ломали приклад — либо пакеты зависимостей дополнительно замораживались, либо, если это ломало остальное обновление — обновление откладывалось до ̶л̶у̶ч̶ш̶и̶х̶ ̶в̶р̶е̶м̶ё̶н̶ тех пор, пока приклад не сможет это поддержать. В тестировании, само собой, участвовали обе команды — и "хостовая" и "прикладная". Но на проде, при использовании этой схемы, их работы по обновлению, по большей части происходили независимо."

У такой схемы, безусловно, есть свои преимущества. И она весьма удобна админам, т.к. они занимаются профильными задачками, а непонятной им фигнёй не заморачиваются. Но вот VM-щику такая совместная работа и размытие ответственности невыгодны, т.к. ему придётся частенько "тыкать палочкой" две (а возможно и более) команды, которые будут показывать друг на друга. 😑 Критичные уязвимости не будут устраняться с формулировкой "обновление отложено". А кто будет нести ответственность в случае, если уязвимость будет проэксплуатирована в течение этого "отложенного" периода непонятно. Видимо предполагается, что нести ответственность будет сам VM-щик. 😏 Так что VM-щикам топить за такую схему я бы не советовал.

Но если в организации такая схема устоялась и успешно работает, то рушить её, естественно, тоже не следует. Следует аккуратненько описывать регламенты решения спорных вопросов, чтобы всегда был однозначный крайний, на которого будет направлен пушинг. Ну и кары в случае инцидента.

В любом случае, главное, чтобы обновления ставились и уязвимости устранялись (желательно с соблюдением SLA). А как именно это происходит и чьими силами не так уж важно. 😉

Посмотрел лонч PT Dephaze

Посмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT Dephaze

Посмотрел лонч PT Dephaze. На что делали акценты:

🔻 Безопасность работы решения для бизнес-процессов компании. За счёт настройки границ, параметров агрессивности и исключения (ручного согласования) техник.

🔻 Атаки и построение цепочек атак. В первую очередь реализуют "низко висящие фрукты": перехват и подделка трафика, извлечение и восстановление учетных данных, перечисление учетных записей, повышение привилегий и боковое перемещение.

🕹 Продукт продемонстрировали на тестовой инфраструктуре на основе GOAD с тремя доменами, в которых есть сервера и десктопы (включая Linux-десктоп в домене). Показали NTLM relay нa SMB, ESC15 (CVE-2024-49019), получение доступа к GitLab и прочее.

📋 Обещают улучшать отчёты, валидацию исправлений, аудит паролей, добавлять новые атаки, хакерские инструменты и поддержку типовых инфраструктур.

💳 Лицензируется по атакуемым активам. Есть мобильным модуль (на ноут) для изолированных сред.

➡️ Запустили пилоты 😉

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108). PAN-OS - операционная система, используемая во всех NGFW от Palo Alto Network. Уязвимость позволяет неаутентифицированному злоумышленнику получить доступ к веб-интерфейсу управления PAN-OS. После чего он может "выполнять некоторые PHP-скрипты", что негативно влияет на целостность и конфиденциальность данных в PAN-OS. 😏

🔹 Бюллетень вендора вышел 12 февраля. В тот же день Assetnote выложили write-up по уязвимости. А на следующий день на GitHub появился PoC эксплоита.

🔹 18 февраля GreyNoise сообщили о зафиксированных попытках эксплуатации уязвимости. По данным Palo Alto, уязвимость эксплуатируют совместно с уязвимостями EoP CVE-2024-9474 и Authenticated File Read CVE-2025-0111. В результате злоумышленник получает возможность выполнять Linux-овые команды на устройстве от root-а. 😱

Установите обновления и ограничьте доступ к административным веб-интерфейсам! 😉

Настоящий Automated Pentest

Настоящий Automated Pentest

Настоящий Automated Pentest. 7 лет назад меня пригласили выступить на митапе в московском офисе израильского фонда PRYTEK.

Мероприятие проводили для продвижения ИБ-стартапа Cronus (сейчас уже дохлого 🤷‍♂️). Я рассказывал про недостатки VM-решений (во многом тезисы ещё актуальны). А спикеры от Cronus преподносили свой продукт как Automated Pentest. Видимо, по задумке организаторов я должен был начать этот продукт яростно нахваливать. Но я выдал такое:

"Да какой же это пентест, если вы не эксплуатируете никакие уязвимости, а только делаете выводы о возможных атаках на основе описания уязвимостей, информации об эксплоитах и сетевой связности! Это Breach and Attack Simulation обычный".

И в прочие недостатки решения тоже палочкой потыкал. 😇 Больше меня на мероприятия PRYTEK почему-то не звали. 😅

🟥 А вот настоящий автоматический пентест с реальной эксплуатацией уязвимостей - это PT Dephaze. И послезавтра в 14:00 этот продукт официально запустят.

Выступил сегодня на конференции "INFOSTART TEAMLEAD & CIO EVENT 2025"

Выступил сегодня на конференции INFOSTART TEAMLEAD & CIO EVENT 2025

Выступил сегодня на конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Очень необычный опыт. 🙂 Вроде родные стены ЦМТ, но при этом вообще никого из знакомых. Народ что-то обсуждает на 1C-ном. Незнакомые названия систем и технологий. Очень интересно, но ничего не понятно. 😅

Территорию ЦМТ тоже использовали оригинально: залы первого этажа отвели под обеденную зону, а на втором этаже сделали большую зону коворкинга. 👨‍💻 Щедро! 👍

Само выступление прошло не без приключений: кликер перестал работать и на небольшой экран-подсказчика выводились сразу 2 полноразмерных слайда (с моим зрением было нечитабельно 😑). Пришлось импровизировать. 😅🕺 Но вышло живенько и в тайминг я уложился. 🙂 После выступления продуктивно пообщался с ребятами 1C-никами про уязвимости, откуда они берутся, о важности обновлений и т.п. Про инциденты посплетничали - куда ж без этого. 😏

В общем, понравилось. 👍 Стоит практиковать такие выходы за пределы ИБ-шной тусовки почаще. 😉

Западные IT/ИБ-вендоры вернутся в Россию?

Западные IT/ИБ-вендоры вернутся в Россию?

Западные IT/ИБ-вендоры вернутся в Россию? Имхо, присутствие западных вендоров в России в обозримом будущем вернётся к уровню начала 2022 года. И это базовый сценарий. Просто потому, что непартнёрам такой расклад гораздо выгоднее, т.к. позволяет

🔻 "душить в зародыше" все попытки нашего самостоятельного развития
🔻 распространять в наши инфраструктуры бэкдоры под видом уязвимостей в поставляемых продуктах
🔻 пылесосить специалистов в свои R&D офисы
🔻 неплохо зарабатывать в процессе

Гораздо лучше и эффективнее, чем просто "ограничивать доступ к технологиям", так ведь? 😏 Наверняка новая администрация США это понимает и постарается вернуть всё как было.

Рассчитывать же на то, что российские клиенты САМИ больше не будут покупать продукты западных вендоров, которые один раз их уже кинули, довольно наивно. Разумеется, будут. Вопрос только в фичах и цене. 😉