Архив рубрики: Уязвимость

С чего бы количеству новых уязвимостей уменьшаться, если код не становится лучше?

Добавить комментарий

С чего бы количеству новых уязвимостей уменьшаться, если код не становится лучше?

С чего бы количеству новых уязвимостей уменьшаться, если код не становится лучше? Даже Майкрософт с их образцовой системой выявления и исправления уязвимостей (без шуток, в этом они top-notch) и минимизацией использования чужого кода практически каждый месяц исправляет больше сотни уязвимостей в своих продуктах. Откуда-то ведь они берутся? Кто-то лепит эти баги, уходящие беспрепятственно в прод? Учитывая лаг в месяцы между тем как исследователь сообщает об уязвимости в Microsoft и, собственно, датой выхода фикса, известных незакрытых уязвимостей в бэклоге у MS должно быть очень и очень много.

Что уж говорить о компаниях попроще, продающих под видом своих продуктов сплошной суп из за… заимствованного опенсурсного кода. 🙂 Который зачастую разрабатывает полусумасшедший мейнтейнер-энтузиаст на пару с очередным фейковым Jia Tan-ом. 😈 Это они, должны требования по безопасной разработке выполнять, чтобы не допускать уязвимостей? Ну да, конечно, ждите-ждите. 😏

VM Dev Tasks: Разработка web-интерфейса для сканера уязвимостей

Добавить комментарий

VM Dev Tasks: Разработка web-интерфейса для сканера уязвимостей

VM Dev Tasks: Разработка web-интерфейса для сканера уязвимостей. Может ли сканер уязвимости быть коммерчески успешным и при этом не иметь графического интерфейса (желательно web)? Теоретический - да, но практически я таких прецедентов не припомню. 😉 Отсюда и заинтересованность в специалистах с таким опытом разработки со стороны Vulnerability Management и EASM вендоров.

В рамках практического проекта предлагается реализовать веб-интерфейс для готового консольного сканера уязвимости, например Nmap+Vulners, Nuclei или Scanvus.

Классической является компановка веб-интерфейса сканера уязвимостей Tenable Nessus:

🔹 параметры сканирования задаются в профиле
🔹 задачу на сканирование определяет профиль и таргет (IP или fqdn)
🔹 пользователь может запустить задачу на сканирование, отслеживать её статус и получить по ней результаты

Желательно максимально упростить добавление в приложение поддержки новых консольных сканеров.

25 лет CVE: кто базу CVEшек анализировал, тот в цирке не смеётся

Добавить комментарий

25 лет CVE: кто базу CVEшек анализировал, тот в цирке не смеётся

25 лет CVE: кто базу CVEшек анализировал, тот в цирке не смеётся. В январе 1999 года Дэвид Э. Манн и Стивен М. Кристи опубликовали статью "К единому перечислению уязвимостей" ("Towards a Common Enumeration of Vulnerabilities"), в которой предлагалось создать лист Common Vulnerability Enumeration, CVE (заметьте, в оригинале никаких "экспозиций" 😉), целью которого было бы:

🔻 нумеровать и различать все известные уязвимости
🔻 назначать стандартное уникальное имя каждой уязвимости
🔻 существовать независимо от множественных точек зрения на то, что такое уязвимость
🔻 являться публично "открытым", распространяемым без ограничений

В октябре 1999 года корпорация MITRE представила первый CVE лист, в котором была 321 запись. За 25 лет их количество перевалило за 250 000 идентификаторов (без Rejected). Количество новых CVE каждый год ставит рекорды, в этом году ожидается больше 35 000. В основном такой бешеный прирост обеспечивают организации со статусом CNA, которых уже 221. Они, получив заветный статус, могут заводить CVE на любую дичь. Хоть весь свой багтреккер пихать, как Linux Kernel. 😏

Во многом из-за такого прироста (ну и из-за приколов американской бюрократии) процесс по анализу уязвимостей в NIST NVD в 2024 году дал масштабный сбой, фактически остановился. Несмотря на все меры (включая финансовые), он так толком и не восстановился. NVD месяц от месяца анализирует значительно меньше CVE, чем получает от CVEorg. Бэклог на анализ растёт, и составляет 19 174 CVE. 🫣

Не такая беда, что база замусорена и не анализируется в должной степени. Настоящая беда в том, что она при этом ещё и неполна. Серьёзные уязвимости, обнаруженные российскими или китайскими исследователями могут не приниматься из-за каких-то геополитических соображений и они фиксируются только в национальных базах уязвимостей. 🤷‍♂️

Вот такой итог 25 лет. Вместо единой нейтральной базы пришли к стремительно растущему недоанализированному огороженному западному мусорному полигону. В котором приходится всем миром копаться, потому что ничего лучше всё равно нет. 🙄 Круто, чё. С юбилеем!

Отдельно разберу роадмап ScanFactory на 2025 год, озвученный на вебинаре

Добавить комментарий

Отдельно разберу роадмап ScanFactory на 2025 год, озвученный на вебинаре

Отдельно разберу роадмап ScanFactory на 2025 год, озвученный на вебинаре.

Threat Intelligence фичи не относятся напрямую к VM-у: агрегатор утечек почт, мониторинг фишинговых доменов, поиск связанных доменов организации.

Из VM-ных фич:

🔹 Поддержка SSO. Важно для любого энтерпрайзного продукта.

🔹 Сканер с сертификатом ФСТЭК. Добавят в решение сканер от российского вендора. Для комплаенса и сканирования отечественных продуктов.

🔹 Сканирование изолированных (не связанных) сегментов сети в едином ЛК. Имеется ввиду сканирование внутренних сетей разных компаний (подразделений, тенантов) из единого ЛК.

🔹 Авто-тестирование безопасности внутренней сети. Будут автоматизировать действия внутреннего нарушителя: проверки безопасности служб AD (включая AD CS), анализ конфигураций ACL, атаки на сетевые протоколы, проверка стойкости паролей и т.д.

🔹 AI для рекомендации по устранению уязвимостей. Будут приоритизировать уязвимости и генерить человеко-читаемые рекомендации в оффлайн режиме.

Набор тем для программных проектов, связанных с Управлением Уязвимостями

Добавить комментарий

Набор тем для программных проектов, связанных с Управлением Уязвимостями

Набор тем для программных проектов, связанных с Управлением Уязвимостями. Периодически меня просят порекомендовать VM-ную тему для курсовой, диплома, хакатона и т.п. Думаю будет полезно собрать эти рекомендации здесь в виде серии постов.

Имхо, чем больше студентов будут брать около-VMные темы для практических работ, тем лучше:

✅ Возможно кто-то превратит учебный проект в успешную опенсурсную и/или коммерческую историю.

✅ Возможно кто-то устроится работать в VM-вендора или в компанию-клиента уже с релевантным опытом и глубоким пониманием темы.

В любом случае VM-комьюнити в России получит дополнительное развитие. 👍

Буду постепенно накидывать темы, а коллег VM-щиков приглашаю присоединиться.

🔹 Web-интерфейс (лончер) сканера уязвимостей
🔹 Консольный сканер уязвимостей

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM

Добавить комментарий

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM. Было интересно. На паре слайдов были цитаты моих постов про VM без бюджета и розовые очки. 😇

Можно отметить:

🔻 Агрессивное позиционирование: утверждают, что у отечественных VM-вендоров проблемы с полнотой баз детектирования, им сложно работать с большим количеством результатов, низкий уровень автоматизации процесса. 🤷‍♂️ Якобы большинство российских вендоров тратит деньги на маркетинг, а не на экспертизу. Про прямых конкурентов: "у них там nmap".

🔻 Основная фишка ScanFactory VM - это конвейер из 21 сканеров, среди которых коммерческий "N-сканер", и платные источники данных по уязвимостям.

🔻 Как со сканированием российских продуктов? Битрикс - могут, российские ОС - пока нет. Планируют внедрить сертифицированный ФСТЭК сканер. 🤔 Своего сертификата ФСТЭК нет.

🔻 VM процесс реализуют интеграцией с SECURITM. Интересные фичи: оценки критичности по ФСТЭК, ссылки на бюллетени НКЦКИ, автоматизация реагирования (RPA).

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982)

Добавить комментарий

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982). XWiki - это бесплатная вики-платформа с открытым исходным кодом. Основная её особенность - простая расширяемость. XWiki часто используется в корпоративной среде как замена коммерческим Wiki-решениям (например, Atlassian Confluence).

Уязвимость с CVSS Base Score 10, опубликованная 10 апреля, позволяет злоумышленникам выполнять произвольный код через запрос в интерфейсе поиска по базе данных XWiki. Он доступен всем пользователям по умолчанию и дополняет обычный поиск по XWiki. Если он не нужен, его можно отключить, удалив страницу Main.DatabaseSearch. Уязвимость исправлена в версиях XWiki 14.10.20, 15.5.4 и 15.10RC1.

Пример эксплуатации содержится в самом бюллетене разработчиков. 🤷‍♂️ Работающие скрипты для эксплуатации уязвимости доступны на GitHub с 22 июня.

Если в вашей организации используется XWiki, обязательно обратите внимание.