Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте?

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте?

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте? Я думаю так:

🔻 Eсли есть простой способ отдавать такую информацию в IT, то нужно это делать. Например, если такие рекомендации выдаёт сканер уязвимостей.

🔻 Если же это требует трудоёмкого ресёрча, то заниматься этим не следует. Иначе это превратится в очередное "докажи-покажи". И вместо построения VM-процесса для повышения безопасности всей организации вы будете выяснять какая уязвимость какой KB-шкой закрывается. Такое себе. 😏

Важно не забывать, что если уязвимость детектируется на хосте, то это уже косяк IT. В идеале всё должно фикситься в рамках процесса безусловного регулярного патчинга. А сканы на уязвимости должны лишь подтверждать, что всё действительно регулярно обновляется. 🟢👍 Если IT внедрять такой процесс не готовы, то пусть возятся с исправлением конкретных продетектированных уязвимостей, включая поиск нужных патчей. 😉

Про уязвимость Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)

Про уязвимость Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)

Про уязвимость Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Для эксплуатации уязвимости, аутентифицированный злоумышленник запускает на целевой системе специальное приложение. Атака может быть произведена из AppContainer - ограниченной среды, в которой приложения получают доступ только к специально предоставленным ресурсам. Однако, с помощью этой уязвимости, злоумышленник может поднять свои права до уровня Medium Integrity и получить возможность выполнять функции RPC, доступные только привилегированным учётным записям.

ESET сообщают, что с помощью этой уязвимости злоумышленники из RomCom исполняли зловредный код вне песочницы Firefox, а затем запускали скрытые PowerShell процессы для скачивания и запуска зловредного ПО с C&C серверов.

👾 На GitHub есть код бэкдора, эксплуатирующего эту уязвимость.

В следующий вторник Securitm проводит вебинар по выстраиванию вендоро-независимого Vulnerability Management процесса

В следующий вторник Securitm проводит вебинар по выстраиванию вендоро-независимого Vulnerability Management процесса

В следующий вторник Securitm проводит вебинар по выстраиванию вендоро-независимого Vulnerability Management процесса. Начало в 11:00. Собираюсь посмотреть и покомментировать. Судя по описанию, будут говорить про многосканерность:

"Какой выбрать сканер - подороже или сэкономить, нужно использовать один сканер или несколько?"

Мне кажется ответ на этот вопрос неразрывно связан с темой эффективной оценки реализованных в сканере методов детектирования уязвимостей. Очень интересно как коллеги из Securitm эту тему будут раскрывать.

Ещё один интересный для меня вопрос:

"Нужно ли разносить в отдельные процессы управление уязвимостями инфраструктуры, периметра, облачных сред и приложений компании?"

Тут у меня нет однозначного ответа. Я обычно говорю, что это сильно зависит от конкретной организации. Возможно коллеги смогут доказать, что всё это хорошо уживается в рамках единого процесса автоматизированного с помощью Securitm. Посмотрим. 😉

➡️ 10.12.24 11:00 Регистрация

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990). 19 ноября Qualys выпустили бюллетень безопасности про 5 уязвимостей повышения привилегий в утилите needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003), используемой по умолчанию в Ubuntu Server, начиная с версии 21.04.

Утилита needrestart запускается автоматически после операций пакетного менеджера APT, таких как установка, обновление или удаление пакетов. Она определяет требуется ли перезагрузка для системы или ее служб. Таким образом гарантируется, что службы используют последние версии библиотек, без снижения аптайма.

Все 5 уязвимостей позволяют обычному пользователю стать root-ом. Для всех у Qualys есть приватные эксплоиты. Публичный эксплоит есть пока только для одной, связанной с переменной окружения PYTHONPATH. ⚡️ Он доступен на Github с 20 ноября.

Обновляйте needrestart до версии 3.8 или отключайте "interpreter scanning" в needrestart.conf.

5 моментов про отечественные Linux-дистрибутивы

5 моментов про отечественные Linux-дистрибутивы

5 моментов про отечественные Linux-дистрибутивы. Каждый раз, когда появляется новость про российский Linux-дистрибутив в комментарии приходят хейтеры с криками "Bolgenos!". Типа это ненастоящий дистрибутив. Вот есть какие-то настоящие, а этот нет. Имею сказать следующее:

1. Даже тот самый мемный BolgenOS Дениса Попова по прошествии лет выглядит как вещь, которая вполне имела право на существование в качестве учебного проекта несколько странноватого, но вполне безобидного 16летнего парня. 🤷‍♂️ Ну сделал он сборку Ubuntu с нескучными обоями и переименованными приложениями (где-то вроде даже копирайты затер 😱). Ну сняли про него дурацкий репортаж на региональном ТВ. Это был повод для травли, вот серьёзно?

2. Если какие-то люди собрали очередной Linux-дистрибутив, допустим, на основе Debian, используют его сами и собираются его кому-то продавать, то они в своём праве. Даже если они (о ужас!) не собирают сами пакеты, а продают ванильный Debian с налепленным своим логотипом. Вот даже тогда. Насколько мне известно, ничто сейчас не запрещает это делать. Ни российское законодательство, ни требования регуляторов, ни даже опенсурсные лицензии.

3. Если с этим Linux-дистрибутивом можно комфортно и относительно безопасно (в смысле оперативного исправления уязвимостей, отсутствия явных закладок, обновления с российских серверов) работать, то в общем-то и норм. Если вдруг почему-то нельзя, то это хорошая тема для предметного обсуждения. Ну ещё неплохо бы бюллетени безопасности в формате OVAL, чтобы уязвимости было удобно детектировать. 😇

4. Если маркетинг компании, которая выпустила Linux-дистрибутив, позволяет себе в официальной коммуникации писать, что это какая-то уникальная отечественная ОС, разработанная с нуля, то это, имхо, скверно и достойно порицания. Но на сам дистрибутив это никак не влияет.

5. Я не верю в какие-то прям "хорошие Linux-дистрибутивы". Это ВСЕГДА переупакованный ЧУЖОЙ код от апстримов. В этом отношении прилетела ли ко мне программная закладка непосредственно от разработчика (например, XZ Utils или самого Торвальдса) или от Debian-ов мне, как потребителю, как-то пофигу. В возможности всерьёз контролировать апстрим я не верю. Если вы так здорово закладки можете выявлять, почему вы тогда Linux-овые уязвимости не выявляете? Сотни Linux-овых уязвимостей исправляются каждый месяц, что же вы их не выявляете сами раньше разработчиков? 😏 Использование Linux и опенсурсного софта это всегда некоторый компромисс функциональных возможностей и безопасности. Лучше бы, конечно, своё ядро. Лучше бы, конечно, чтобы и системные компоненты свои. И прикладной софт свой. А раз этого всего нет и не ожидается, то и чего щёки надувать, что вы принципиально лучше тех самых "болгеносов"? 😏

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее"

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее". Снимали на PHDays в этот раз по-богатому. На несколько камер. Даже летающая камера на кране была. А профессиональная команда в реальном времени сводила это всё в очень красивую картинку. Казалось бы, всё круто. Но при этом переключений на слайды почему-то не было вообще. 🤷‍♂️ Ни разу. Только съёмки экрана за моей спиной на общих планах. 🤦‍♂️ Формат съёмки был явно не для технических докладов.

Я выкачал видяшку, чуть подрезал, добавил слайды поверху и стало гораздо смотрибельнее. ✂️👨‍🎨

🎞 Выложил на VK Видео, Rutube и YouTube.

Удивительно, но с мая месяца доклад не сильно устарел. Кризис NVD не спешит заканчиваться, а команда NIST-а продолжает выкладывать странные послания и демонстрировать свою беспомощность. 🧐

Содержание:

00:00 Приветствие и кто я вообще такой
00:35 О чём будем говорить?
01:02 Как связаны базы NIST NVD и MITRE CVE, почему они растут с ускорением и при этом неполны?
06:44 Как ретроспективно развивался кризис NVD 2024 года?
08:12 В чём важность контента в NVD?
10:42 Чем объясняли кризис NVD в NIST?
12:38 Как реагировало сообщество безопасников на кризис в NVD и чем отвечали на это в NIST?
16:10 Какие меры предлагались сообществом и CISA для уменьшения зависимости от NVD?
18:00 NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
19:11 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты; также про использование Vulristics для анализа уязвимостей БДУ
27:32 Выводы
31:11 Вопрос про статусы CVE уязвимостей DISPUTED и REJECTED
32:14 Вопрос про VM продукт для частного использования
34:16 Вопрос про достоверность оценки угроз от ФСТЭК
35:48 Вопрос про проверку причин отсутствия ссылок на CVE в БДУ

Про SberOS

Про SberOS

Про SberOS. 27 ноября в реестр отечественного ПО Минцифры добавили два Debain-based Linux дистрибутива от Сбера. InterOS - специализированный дистриб для банкоматов. SberOS - десктопный дистрибутив, который используется в Сбере для замены Windows.

Судя по описанию, SberOS - дистрибутив на основе Debian Testing с архитектурой обновлений rolling-update. Там должны быть последние версии софта, а значит самые быстрые фиксы уязвимостей. 😇 Ядро будет из стабильной ветки. Дефолтный рабочий стол GNOME.

Это почти то, что я ждал:

🔹 Linux дистрибутив с понятным и относительно нейтральным аппстримом от крупной отечественный окологосударственной IT-компании, у которой есть ресурсы хоть как-то апстрим контролировать.

🔹 Компания не является специализированным Linux вендором, поэтому выживать на деньги от продажи лицензий, экономя на качестве, им не потребуется.

Подробностей по стоимости для персонального и коммерческого использования пока нет, ждём-следим.