Трендовые уязвимости июля по версии Positive Technologies.
Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех! Поверь мне, это так. Защищает он лучше всех От любых кибератак. Проактивный подход, Секретное оружие: Не справится хакер, Если ОСь не загружена!
Припев: Синий экран отражает атаки! No boot - No Hacker! No boot - No Hacker!
CrowdStrike работает по лучшей из схем, С которой не может быть никаких проблем! На ваших хостах Falcon сенсоры. Их привилегии максимальны. А CrowdStrike управляют ими из своих облаков. И это нормально! (Якобы…) Команда CrowdStrike даже ночью не спит, Автоматом заливает вам Rapid Response Content "at operational speed". (Когда захочет…)
И если вам кажется, что всё это как-то страшновато, Не переживайте: CrowdStrike пропускает контент через валидатор! (Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали… Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали… (Пока что…) За полтора часа сломать 8.5 миллионов хостов - задача нелегка… С таким не справится устаревший онпрем, для такого нужны облака…
А если серьёзно… В 22-ом CrowdStrike из России ушёл… И, как по мне, это очень, очень, ну просто ооочень хорошо!
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Трек про "regreSSHion" RCE от root-а в OpenSSH (CVE-2024-6387). 🙂 Трек сгенерировал в сервисе Suno.
(regreSSHion! regreSSHion!) В OpenSSH CVE-2024-6387. Удалённое выполнение произвольного кода без аутентификации от root-а - опасность понятна всем.
Это не шутка, Звучит достаточно жутко. (regreSSHion! regreSSHion!)
Уязвимость нашли эксперты компании Qualys. И написали подробный write-up, как они на эту уязвимость напоролись.
Эта уязвимость - регресс старой уязвимости CVE-2006-5051 ранее исправленной. Для неё признаков эксплуатации вживую и эксплоитов так и не было представлено.
Регресс произошёл в октябре, 2020 год, Когда случился на версию OpenSSH 8.5p1 переход.
Уязвимы "glibc-based Linux systems" в конфигурации по умолчанию, А OpenBSD не подвержена, согласно описанию.
Насколько это критично? Расклад таков: В Интернете 14 миллионов потенциально уязвимых хостов.
Это не шутка, Звучит достаточно жутко. (Regression! Regression!)
Qualys обещают exploit не публиковать ибо Злоумышленники начнут атаки - и на том спасибо!
Но весьма вероятно, что эксплоит напишут другие нахрапом. Им хватит и публичного подробного write-up-а.
Но возможно, что атак не будет, а всё это просто пиар: 6-8 часов занимает атака на 32-битную Linux систему с ASLR.
Upd. Судя по реакциям, трек получился неоднозначный. 😅 Согласен, с первого раза на слух воспринимается тяжело. Учту на будущее, что рифмовать нужно тщательнее и грайм не очень подходит для подобных треков, лучше что-то поспокойнее. Но сам трек пусть остаётся, если отслеживать текст в видяшке, то вроде вполне норм. 😉
Не удержался, побаловался с Suno - встречайте трек "Непреодолимые силы". 😅 В стиле "happy hardcore, rave, techno, house, trance". Все персонажи и события вымышлены, любые совпадения случайны. 😉
Мы выполнили все требования действующего законодательства по обеспечению кибербезопасности Все требования действующего законодательства. Мы их честно выполнили.
Мы имеем соответствующие лицензии и сертификаты. Все лицензии и все сертификаты. И лицензии, и сертификаты. Они всем соответствуют. И мы их имеем.
Но тут…
[припев]
Вопреки всем принятым мерам безопасности Злоумышленники получили неправомерный доступ. Неправомерный доступ. Вопреки всему. Они получили. Вопреки лицензиям. И сертификатам.
Такие вот…
[припев]
Они зашифровали собственным программным обеспечением всю имеющуюся информацию. Своим собственным программным обеспечением. Они принесли его сами. Какие нахалы! И данные клиентов пошифровали в наших облаках.
Мы тут ни при чём!
[припев]
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
