Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Добавить комментарий

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга.

Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.

Всего выявили 191 дефект:

🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)

🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)

Исправления интегрировали в основные ветки проектов.

Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Добавить комментарий

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591). Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.

🔹 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.

🔹 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.

🔹 С 21 января на GitHub доступен публичный эксплойт.

🔹 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.

Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).

Должен ли VM-щик быть в курсе происходящего в даркнете?

Добавить комментарий

Должен ли VM-щик быть в курсе происходящего в даркнете?

Должен ли VM-щик быть в курсе происходящего в даркнете? Безусловно. Хотя бы в общих чертах. Иначе можно самому увериться в классическом "да кому мы нужны, чтобы нас атаковать". 😏

А реальность такова, что постоянно атакуют вообще всех. Это похоже на промысловый лов рыбы траулерами. Всё, что попало в сети, будет разобрано, оценено и выставлено на продажу. 🐟 В современном мире киберпреступности доступы в инфраструктуру организаций - это товар. 🏪 Такая же ситуация с уязвимостями, эксплоитами и готовыми малварями.

Группы злоумышленников специализируются:

🔻 одни исследуют уязвимости и пишут эксплоиты
🔻 другие встраивают их в малвари
🔻 третьи реализуют обход СЗИ
🔻 четвёртые получают первичные доступы
🔻 пятые доступы монетизируют 💰
🔻 шестые поддерживают работу торговых площадок

И насколько у всех этих ребят получится вынести вашу ООО "Ромашка", зависит от тебя, VM-щик. 😉

🟥 У PT на днях вышло большое исследование на эту тему и вебинар (доступна запись). 👍

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298)

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298). Уязвимость из январского Microsoft Patch Tuesday. OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.

В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. 🤷‍♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text.

20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 😉

Сообщений об атаках пока не было.

Устраните уязвимость в приоритетном порядке!

Собираюсь принять участие в форуме "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля

Добавить комментарий

Собираюсь принять участие в форуме ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ 3 апреля

Собираюсь принять участие в форуме "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля. Как и в прошлом году, основная фишка мероприятия 4 тематических трека-конференции на целый день: про бизнес, облака, безопасность подрядчиков и… Анализ защищённости. 😇 В работе этого трека я и приму участие.

🔻 Технологическая панель. А ты точно умеешь это детектировать? Правила детекта уязвимостей. Будем обсуждать "запретную тему" - качество детектирования. 😇 Здесь буду спикером.

🔻 Круглый стол. Управление уязвимостями изнутри. Будем обсуждать тонкости организации VM-процесса в организациях. Здесь буду модератором.

❗️ Состав участников согласовывается, если у кого есть желание поучаствовать, пишите в личку. 😉

Также в "PRO анализ защищённости" будут обсуждать пентесты, багбаунти, кибериспытания, OSINT, киберразведку и антифишинг.

📍 Hyatt Regency Moscow Petrovsky Park
🤝 Только оффлайн и без записи!
➡️ Регистрация на сайте

ТГ-канал @avleonovrus в информационных партнёрах. 😉

Про блокировку TikTok в США

Добавить комментарий

Про блокировку TikTok в США

Про блокировку TikTok в США. Из-за запрета Верховного суда сервис днём не работал. Но Трамп заявил, что отложит блокировку, и к вечеру TikTok снова заработал. 🤷‍♂️ Трамп написал сегодня в Truth Social:

"Я хотел бы, чтобы Соединенные Штаты имели 50%-ную долю собственности в совместном предприятии. Сделав это, мы спасем TikTok, сохраним его в надежных руках и позволим ему заявить о себе. Без одобрения США TikTok не существует. С нашим одобрением он стоит сотни миллиардов долларов — может быть, триллионы.

Поэтому моя первоначальная идея - совместное предприятие между нынешними владельцами и/или новыми владельцами, в котором США получает 50% акций в совместном предприятии, созданном между США и любой другой компанией, которую мы выберем."

Т.е. продолжают отжимать TikTok? Похоже. 🤔 Фактически говорят: "У вас, ребята, классный продукт. Но он слишком популярен у наших граждан, а мы вас не контролируем. Это риски. Продавайтесь или сворачивайтесь."

Best practice суверенной медиа-политики. 😉

Про кейс OpenText

Добавить комментарий

Про кейс OpenText

Про кейс OpenText. 16 января Генпрокуратура объявила OpenText Corporation нежелательной организацией в России. Интересно это тем, что OpenText-ам принадлежит вендор Micro Focus и SIEM-решение ArcSight (сейчас ряд продуктов под брендом OpenText).

Теперь покупку продуктов OpenText можно расценивать как "предоставление средств заведомо предназначенных для обеспечения деятельности нежелательной организации" (УК РФ 284.1 п.2). Срок до 5 лет + ограничение на должности/деятельность до 10 лет. Ещё до 4 лет за "участие в деятельности", но с этим сложнее.

А почему OpenText? Из текста новости:

🔻 сотрудничали с силовыми структурами США
🔻 участвовали в пропаганде против РФ
🔻 являются подрядчиком минобороны США и Пентагона
🔻 занимаются киберзащитой страны-противника

"OpenText" там можно заменить на практически любого западного вендора, начиная с Microsoft. 🤷‍♂️

Выглядит как тестирование механизма стимуляции импортозамещения во всех организациях страны, не только государственных и КИИ. 🤔