Невозможно автоматически обновлять CMSку! 😏

1 комментарий

Невозможно автоматически обновлять CMSку! 😏

Невозможно автоматически обновлять CMSку! 😏 Во всяком случае об этом пишет 1С-Битрикс в своём пресс-релизе.

"Не стоит повторять их путь — никто не обновит ваш сайт кроме вас. Вендор не может принудительно обновить сайт всех клиентов. Это невозможно. Ни технически, ни юридически. Доступ есть только у администратора на стороне владельца."

Ну не знаааю. Как я уже в прошлый раз писал, в том же WordPress автоматические обновления работают вполне неплохо. 😉

Решения те же: либо выделяйте человека на обновления, либо пользуйтесь CMSкой, которая может сама безопасно обновляться (а значит вендор считает эту функциональность критичной и вкладывается в неё).

Первые впечатления от июньского Microsoft Patch Tuesday

3 комментария

Первые впечатления от июньского Microsoft Patch Tuesday

Первые впечатления от июньского Microsoft Patch Tuesday. Вроде ничего интересного. 100 CVE с учетом набежавших за месяц. При этом практически нет уязвимостей в активной эксплуатации или с публичным эксплоитом. Поэтому в ТОП отчета Vulristics вылез всякий трэш.

1. Memory Corruption - Microsoft Edge (CVE-2023-3079). Потому что есть активная эксплуатация, содержится в CISA KEV.
2. Remote Code Execution - GitHub (CVE-2023-29007). GitHub, конечно, запатчили разово и всё, критична уязвимость самого git-а, т.к. эксплоит в паблике.
3. Remote Code Execution - .NET (CVE-2023-33128, CVE-2023-29331). Только потому что в CVSS Temporal есть Proof-of-Concept Exploit.

Просто нечего подсвечивать. 🤷‍♂️ Среди остального есть более интересные уязвимости, но пока это всё очень потенциальное:

1. Remote Code Execution - Microsoft Exchange (CVE-2023-32031, CVE-2023-28310). Требуется аутентификация!
2. Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
3. Elevation of Privilege - Microsoft SharePoint (CVE-2023-29357)

🗒 Полный отчёт Vulristics

С Днём России! 🇷🇺

Добавить комментарий

С Днём России! 🇷🇺

С Днём России! 🇷🇺 Этот праздник учредили в день принятия декларации о государственном суверенитете. А государственный суверенитет немыслим без суверенитета технологического, в том числе в IT. Неплохой повод задуматься о том, а всё ли возможное мы делаем для того, чтобы как можно быстрее избавиться от западных IT и ИБ решений в инфраструктурах российских компаний. Убеждён, что мы, VM-щики, должны топить за это всеми возможными способами, т.к. только отказ от недоверенных (в первую очередь западных) решений может позволить нам отказаться от крайне затруднительных проверок безопасности обновлений и процессов принятия решения какой риск больше: от уязвимости или от обновления. Если вы этим не заморачиваетесь, то очень зря, т.к. если в результате дальнейшей эскалации риск зловредного обновления реализуется, то угадайте кто окажется крайним и будет иметь бледный вид. 😉 Поэтому только последовательная девестернизация российского IT, товарищи! 🧹

FYI, пример как выпустить отчет для одной уязвимости в

Добавить комментарий

FYI, пример как выпустить отчет для одной уязвимости в

FYI, пример как выпустить отчет для одной уязвимости в Vulristics

$ echo "CVE-2023-29336" > analyze_cve_list.txt
$ echo "" > analyze_cve_comments.txt
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "CVE-2023-29336" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
                      /$$           /$$             /$$     /$$                    
                     | $$          |__/            | $$    |__/                    
 /$$    /$$ /$$   /$$| $$  /$$$$$$  /$$  /$$$$$$$ /$$$$$$   /$$  /$$$$$$$  /$$$$$$$
|  $$  /$$/| $$  | $$| $$ /$$__  $$| $$ /$$_____/|_  $$_/  | $$ /$$_____/ /$$_____/
 \  $$/$$/ | $$  | $$| $$| $$  \__/| $$|  $$$$$$   | $$    | $$| $$      |  $$$$$$ 
  \  $$$/  | $$  | $$| $$| $$      | $$ \____  $$  | $$ /$$| $$| $$       \____  $$
   \  $/   |  $$$$$$/| $$| $$      | $$ /$$$$$$$/  |  $$$$/| $$|  $$$$$$$ /$$$$$$$/
    \_/     \______/ |__/|__/      |__/|_______/    \___/  |__/ \_______/|_______/ 
Reading existing Patch Tuesday profile...
Exclude CVEs: 0
No specified products to analyze set in profile, reporting everything
All CVEs: 1
Counting CVE scores...
Collecting MS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Microsoft website
Collecting NVD CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from NVD website
Collecting EPSS CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from epss website
Collecting AttackerKB CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from AttackerKB website WITHOUT authorization key
Collecting Vulners CVE data...
1/1 - CVE-2023-29336
Requesting CVE-2023-29336 from Vulners website WITH authorization key
Combining CVE data...
1/1 CVE-2023-29336
Counting CVE scores...
Making vulnerability reports for each reports config...
Report config: with_comments_ext_img
Report generated: reports/cve-2023-29336_report_with_comments_ext_img.html

Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит

Добавить комментарий

Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоитДля EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит

Для EoP уязвимости CVE-2023-29336 из майского Patch Tuesday теперь есть подробный анализ и публичный эксплоит. На картинках изменение критичности в отчёте Vulristics от High к Critical. EPSS продолжает показывать для этой уязвимости что-то абсолютно неадекватное, ну да и ладно. 🫠

8 июня прошло и появились подробности по CVSS 4.0 (PUBLIC PREVIEW)

3 комментария

8 июня прошло и появились подробности по CVSS 4.0 (PUBLIC PREVIEW)
8 июня прошло и появились подробности по CVSS 4.0 (PUBLIC PREVIEW)8 июня прошло и появились подробности по CVSS 4.0 (PUBLIC PREVIEW)

8 июня прошло и появились подробности по CVSS 4.0 (PUBLIC PREVIEW). На картинках сравнение с v3, полный вид калькулятора. Уже доступно много чтива, для тех, кому интересно разобраться в деталях. 🧐

Calculator
📔 Specification
📓 User Guide

Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта

1 комментарий

Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продуктаКогда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта

Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта. 😏 На этот раз Barracuda ESG (Email Security Gateway).

"Шлюз безопасности электронной почты Barracuda защищает от входящих вредоносных программ, спама, фишинга и атак типа «отказ в обслуживании» и гарантирует, что атаки через систему электронной почты не повлияют на продуктивность бизнеса". 👍

🔹23 мая написали, что в апплаенсах Barracuda ESG нашли RCE уязвимость CVE-2023-2868 и применили патчи.
🔹30 мая написали, что там не просто уязвимость, а активные атаки и малвари. Об этом знали ещё 18 мая, но клиентам не написали. "Your trust is important to us", ага. 😄

🔹9 июня написали, что оказывается патчи проблему не решают. "Затронутые апплаенсы ESG должны быть немедленно заменены независимо от патч-левела". 🤷‍♂️😜

Rapid7 нашли в интернете по баннеру SMTP сервиса ~11,000 таких апплаенсов.