Архив рубрики: Уязвимость

Что за зверь "Vulnerability Operation Center"?

Добавить комментарий

Что за зверь Vulnerability Operation Center?

Что за зверь "Vulnerability Operation Center"? VOC - не самый распространённый термин, но на западе встречается. Одни компании (небольшие вендоры, такие как Hackuity, Patrowl, YOGOSHA) определяют его как платформу или утилиту для управления уязвимостями, которая имеет преимущества перед "традиционными VM-решениями". Другие (сервис-провайдеры, такие как Orange Cyberdefense и Davidson), определяют VOC как структурные подразделения организаций.

Между VOC и VM примерно такая же смысловая неразбериха, как была межу SOC и SIEM. 🙂 И я склонен разрешать её аналогичным образом. VOС - структурное подразделение организации, специалисты которого реализуют VM-процесс, используя одно или несколько VM-решений для детектирования, приоритизации и устранения уязвимостей (с одним решением удобнее 🙂). VM-процесс может быть выстроен, например, в соответствии с "Руководством по организации процесса управления уязвимостями в органе (организации)" ФСТЭК и расширен с учётом БОСПУУ. 😉

О сертификации VM-продуктов по качеству детектирования

Добавить комментарий

О сертификации VM-продуктов по качеству детектирования

О сертификации VM-продуктов по качеству детектирования. Моё мнение - такая сертификация должна быть. Добровольная или обязательная, государственная или негосударственная. Но хоть какая-то должна быть. Это ненормально, когда вендор может начать продавать буквально любой треш, а задача оценки качества детектирования уязвимостей (равно как и ответственность в случае инцидента) целиком ложится на клиента. 🤷‍♂️ Рыночек тут не порешает.

Такая сертификация должна гарантировать приемлемый уровень качества детектирования уязвимостей для типичной IT-инфраструктуры российской организации.

И тут встают очень интересные вопросы:

🔹 Какая инфраструктура типичная? Кто это может решить? У кого есть такая статистика?

🔹 Результаты работы какого средства детектирования (с каким движком и контентом) должны браться за эталон?

🔹 Как будут решаться спорные вопросы?

Если с этим определиться, то создание автоматических тестов становится делом техники.

Мартовский Linux Patch Wednesday

Добавить комментарий

Мартовский Linux Patch Wednesday

Мартовский Linux Patch Wednesday. Всего уязвимостей: 1083. 😱 879 в Linux Kernel. 🤦‍♂️ Для двух уязвимостей есть признаки эксплуатации вживую:

🔻 Code Injection - GLPI (CVE-2022-35914). Старая уязвимость из CISA KEV, но впервые была исправлена 3 марта в Linux репозитории RedOS.
🔻 Memory Corruption - Safari (CVE-2025-24201). В Linux репозиториях исправляется в пакетах WebKitGTK.

19 уязвимостей с признаками наличия публичного эксплоита. Из них можно выделить:

🔸 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔸 Command Injection - SPIP (CVE-2024-8517)
🔸 Memory Corruption - Assimp (CVE-2025-2152)
🔸 Memory Corruption - libxml2 (CVE-2025-27113)

Для уязвимости Elevation of Privilege - Linux Kernel (CVE-2022-49264), своего эксплоита пока нет, но в описании обращают внимание на то, что уязвимость напоминает известный PwnKit (CVE-2021-4034).

🗒 Полный отчёт Vulristics

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Добавить комментарий

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071). Уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up по этой уязвимости и PoC эксплоита. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.

В чём суть. Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, побрутить его или использовать в атаках pass-the-hash.

Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно.

Супер-эффективно для фишинга. 😱

Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336)

Добавить комментарий

Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336)

Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336). SINAMICS S200 - система сервоприводов для высокодинамического управления движением, разработанная компанией Siemens. Эта система может использоваться, например, для работы с деталями: их позиционирования в процессе сборки, перемещения в конвейерных системах, высокоточной обработки.

Суть уязвимости в том, что загрузчик устройства разблокирован (unlocked bootloader), что позволяет проводить инъекцию вредоносного кода и устанавливать недоверенную (и вредоносную) прошивку. Эксплуатируя уязвимость, злодеи могут реализовывать разнообразные диверсии.

Siemens патчи (пока?) не выпустили. Рекомендуют "защищать сетевой доступ к устройствам с помощью соответствующих механизмов". 😉

Признаков эксплуатации вживую и готовых эксплоитов пока нет. Уязвимость подсветили в бюллетене CISA и добавили в БДУ ФСТЭК (может косвенно свидетельствовать об использовании SINAMICS S200, на российских предприятиях).

О сравнении VM-продуктов

Добавить комментарий

О сравнении VM-продуктов

О сравнении VM-продуктов. Имхо, сравнение VM-продуктов по опросникам, а-ля Cyber Media, это, конечно, лучше, чем ничего, но не сказать, что особенно полезно. 🤷‍♂️

🔻 В таких сравнениях обычно уделяют мало внимания тому, уязвимости в каких системах умеет детектировать VM-решение (а это самое главное!).

🔻 Но даже если представить, что мы вынесем в опросник все поддерживаемые системы и аккуратненько сопоставим декларируемые возможности каждого VM-решения, то и этого будет недостаточно. Декларировать можно всё что угодно, а ты поди проверь качество реализации. 😏

Имхо, при проведении сравнений необходимо выполнять практическое тестирование хотя бы на минимальном количестве стендов:

🔹 Типичный Windows десктоп и сервер
🔹 Типичный Linux десктоп и сервер
🔹 Типичное сетевое устройство (на Cisco IOS?)

Провести их сканирование в режиме с аутентификацией разными VM-продуктами, сопоставить результаты и предложить VM-вендорам объяснить расхождения. Это будет уже хоть что-то. 😉

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Добавить комментарий

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!