Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

К нам сегодня приезжали ребята из Хабра

Добавить комментарий

К нам сегодня приезжали ребята из Хабра

К нам сегодня приезжали ребята из Хабра. Рассказывали как писать хорошие посты и не писать плохие. Сыграли с нами в обучающую карточную игру на определение паттернов и анти-паттернов при написании статей (как делать заголовки, лиды, иллюстрации и т.д.). Игру в нашей тройке участников вёл сам Алексей Boomburum Шевелёв! 😉 Легенда того самого Хабра начала 2010-х, который я, естественно, активно читал. Очень рад был пообщаться в реале. Выиграл лимитированного чёрного мозгового слизня (дочка уже отобрала 🙂). Ещё сегодня позитивную хабра-худи подарили. Приятненько. 😇

Узнал про формат "постов" на Хабре, которые ограничены 1500 символами (upd. уже расширили до 4000!). Очень похоже на посты в Телеграм-каналах. Это к вопросу о том, куда бежать, если телегу начнут блочить. Вполне себе вариант. Прямо все-все посты из канала кросспостить на Хабр, наверное, опрометчиво, но некоторые новостные и технические дублировать там должно быть вполне неплохо. 🤔

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе

Добавить комментарий

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе. В канале Positive Technologies выложили прикольные картинки по мотивам моего поста про технику саботажа VM-процесса "докажи-покажи". Приглашаю их заценить. 😇🦇

➡️ Также приглашаю поделиться в комментариях возражениями (от IT-шников, овнеров систем, бизнеса и т.д.), с которыми вы сталкиваетесь в процессе Управления Уязвимостями. За самые интересные отговорки Positive Technologies вручит призы. 😉🎁

Совместными усилиями мы соберём базу возможных возражений и научимся эффективно с ними работать. 😏

Ноябрьский Linux Patch Wednesday

Добавить комментарий

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday. Только я обрадовался в октябре, что количество уязвимостей постепенно снижается до приемлемого уровня, как снова получил пик. Всего 803 уязвимостей. Из них 567 в Linux Kernel. Какое-то безумие. 😱

2 уязвимости в Chromium с признаками эксплуатации вживую:

🔻 Security Feature Bypass - Chromium (CVE-2024-10229)
🔻 Memory Corruption - Chromium (CVE-2024-10230, CVE-2024-10231)

Для 27 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них я бы обратил внимание на:

🔸 Remote Code Execution - PyTorch (CVE-2024-48063)
🔸 Remote Code Execution - OpenRefine Butterfly (CVE-2024-47883) - "web application framework"
🔸 Code Injection - OpenRefine tool (CVE-2024-47881)
🔸 Command Injection - Eclipse Jetty (CVE-2024-6763)
🔸 Memory Corruption - pure-ftpd (CVE-2024-48208)

🗒 Отчёт Vulristics по ноябрьскому Linux Patch Wednesday

В понедельник провёл закрытый вебинар по Управлению Уязвимостями в рамках Бауманского курса профессиональной переподготовки по Управлению ИБ, онлайн-контент для которого я записывал в прошлом году

Добавить комментарий

В понедельник провёл закрытый вебинар по Управлению Уязвимостями в рамках Бауманского курса профессиональной переподготовки по Управлению ИБ, онлайн-контент для которого я записывал в прошлом году

В понедельник провёл закрытый вебинар по Управлению Уязвимостями в рамках Бауманского курса профессиональной переподготовки по Управлению ИБ, онлайн-контент для которого я записывал в прошлом году. Вебинар прошёл живенько, разобрали с Олесей Томах много интересных вопросов. Кое-что, думаю, достойно отдельных постов в канале. 😉

📊 Кроме прочего, там был и опрос по состоянию процесса Управления Уязвимостями в организациях. Статистика не особо радужная. Но, с другой стороны, 15% со зрелым процессом и 15% с нормальными сканами - это очень круто. 👍

➡️ Хотелось бы повторить замеры на большей аудитории, приглашаю поучаствовать в опросе. 😉

Про уязвимость Remote Code Execution - FortiManager "FortiJump" (CVE-2024-47575)

Добавить комментарий

Про уязвимость Remote Code Execution - FortiManager FortiJump (CVE-2024-47575)

Про уязвимость Remote Code Execution - FortiManager "FortiJump" (CVE-2024-47575). FortiManager - решение для централизованного конфигурирования, применение политик, обновление и мониторинга сетевых устройств Fortinet.

🔻 Уязвимость вышла 23 октября. Отсутствие аутентификации для критической функции в демоне fgfmd (FortiGate-to-FortiManager) на устройствах FortiManager позволяет удалённому злоумышленнику выполнять произвольный код или команды с помощью специальных запросов. Сразу были признаки эксплуатации вживую и уязвимость добавили в CISA KEV.

🔻 15 ноября WatchTowr Labs опубликовали пост об этой уязвимости, которую они назвали "FortiJump". В посте есть видео эксплуатации и ссылка на PoC эксплоита. Исследователи указали, что индикаторы компрометации из бюллетеня Fortinet можно обходить. А сам патч оказался неполным. На пропатченном устройстве можно повышать привилегии, эксплуатируя уязвимость, которую watchTowr Labs назвали "FortiJump Higher".

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями

Добавить комментарий

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:

🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)

Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂

Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅

Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.

В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.