И о важном: вышло второе DLC к Atomic Heart. 🙂 Начал фоном смотреть прохождение Куплинова. Первое DLC, на мой вкус довольно нудное и малоинформативное, было продолжением короткой концовки. Второе DLC является продолжением длинной концовки. Пока это какой-то странный платформер с пряничными человечками - Нечаев путешествует по лимбо. Но встретилась прикольная отсылка к Вавилон 5, которую я никак не мог проигнорировать: "Варлон табута-чок!". 😅 Олды помнят.
Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах? Мельком упомянули эту тему в последнем Прожекторе в связи с отключением продуктов Avast. Также на днях была рекомендация НКЦКИ по использованию антивирусной защиты на всех узлах сети. Но если не смотреть только на регуляторные требования, как считаете антивирус на Linux хостах это необходимость или излишество?
Предлагаю пройти опрос: На ваш взгляд, Антивирус/Endpoint Protection нужен на Linux хостах с т.з. повышения уровня реальной защищенности?
🔻 Нужен
🔻 Нужен, но только на серверах
🔻 Нужен, но только на десктопах
🔻 В организации нужен, дома не нужен
🔻 Зависит от конкретного дистрибутива: где-то нужен, а где-то достаточно встроенных средств защиты
🔻 Не нужен
🔻 Не знаю/Другое
НКЦКИ отреагировали на взлом AnyDesk, выпустив рекомендации по использованию средств удалённого доступа.
"1. Ограничьте удаленный доступ ко всем сервисам и устройствам в ИТС, кроме безусловно необходимых.
2. Обратите особое внимание на учетные записи, применяемые для удаленного подключения как своих работников, так и специалистов подрядных организаций, в том числе выполняющих задачи по технической поддержке.
3. Убедитесь, что средства антивирусной защиты и межсетевого экранирования надлежащим образом настроены и функционируют на всех узлах ИТС.
4. Проверьте обновление всех сервисов и оборудования, которые используются для удаленного доступа (VPN, устройства сетевой инфраструктуры).
5. Используйте удаленный доступ в сеть организации строго с двухфакторной авторизацией.
6. Запретите использовать сторонние средства удаленного доступа в корпоративную сеть, которые подключаются через промежуточные сервера и самостоятельно проводят авторизацию и аутентификацию."
В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО. 🙂 Пошли массовые атаки. Этому поспособствовала публикация PoC-а исследователями из Rapid7. 🤷♂️ Shadowserver сообщает о 170 засветившихся атакующих IP.
Требование CISA от 31 января поотключать эти инстансы в двухдневный срок выглядит теперь более чем мудро. Правда они рекомендовали отключить их для полного ресета, обновления и возврата в эксплуатацию, а надо было бы отключить совсем. Потому что проклятье Ivanti однозначно есть. 🧙♀️
С интересом наблюдаю за развитием событий. 🙂🍿
Злоумышленники поломали компанию AnyDesk - вендора решения для удалённого доступа к десктопам. Компания сообщает, что у нее 170 000 клиентов, включая 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS и ООН.
🔻 Стало известно, что злоумышленники украли исходный код и сертификаты подписи кода.
🔻 Сертификаты отозвали, скомпрометированные продакшн-системы пофиксили или заменили.
🔻 AnyDesk заявляют, что никакие токены аутентификации не были украдены ("Наши системы не предназначены для хранения закрытых ключей, токенов безопасности или паролей, которые могут быть использованы для подключения к устройствам конечных пользователей"), но пароли к веб-порталу рекомендуют сменить.
🔻 Пишут, что данные пользователей AnyDesk (18 317 акков) начали продавать в дарквебе.
Вендор рекомендует обновить решение AnyDesk до новой версии. Имхо, ещё лучше перейти на аналогичные отечественные решения.
Отпраздновали сегодня день рождения доченьки 😊
Прожектор по ИБ, выпуск №21 (03.02.2024): LEXXus Якубовича
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, радуемся хорошим просмотрам прошлого эпизода, разгоняем про Поле Чудес и Якубовича
02:42 Обсуждаем большое количество мероприятий по ИБ в начале февраля, вспоминаем финку НКВД от кизлярских мастеров
06:12 Qualys нашли очередные EoP уязвимости GNU C / glibc (CVE-2023-6246, CVE-2023-6779 и CVE-2023-6780), позволяющие непривилегированному пользователю получать root-доступ
08:46 Arbitrary File Write уязвимость в GitLab (CVE-2024-0402)
09:41 Обход аутентификации + EoP в Ivanti Connect Secure, Policy Secure VPN и Ivanti Neurons for ZTA (CVE-2024-21893, CVE-2024-21888)
13:21 В доменной зоне .ru сломался DNSSEC
17:16 Слив данных из Cloudflare
21:05 Мемчик 🤡: Lazarus использует новую малварь
22:31 Avast полностью ушёл из России
25:05 В Бразилии мошенники развели одну из поклонниц сэра Льюиса Хэмилтона на деньги. Внезапно вспоминаем и про сэра Элтона Джона.
28:19 Подозреваемого в убийстве по ошибке выпустили из тюрьмы после киберинцидента, прямо как в первой серии LEXX-а (Yo Way Yo Home Va Ya Ray… 🙂🪲)
31:29 Обсуждаем пост Алексея Лукацкого про сурдопереводчицу-мошенницу и показатели квалификации нанимаемого на работу ИБшника
49:59 В Москве арестовали хакера за DDoS-атаки на объекты критической информационной инфраструктуры. Я там зачитываю из 274.1 УК РФ, но из первой части, а не из четвертой, так что не до 5 лет, а до 8. #
54:09 Mr. X посмотрел новую Мастер и Маргариту и прощается с вами
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.