Безусловные регулярные обновления - путь реалиста

Безусловные регулярные обновления - путь реалиста

Безусловные регулярные обновления - путь реалиста. Ставшие публичными кейсы Silent Patching-а демонстрируют беспомощность Vulnerability Management-а перед реальностью, в которой мы знаем об уязвимостях продуктов только то, что нам по доброй воле сообщает вендор. Дал информацию вендор - мы разбираем CVE-шки и умничаем о приоритетах их устранения в конкретной инфре. Не дал - мы пребываем в сладких иллюзиях, что всё безопасно вплоть до начала массовых инцидентов. 🤷‍♂️

Можно сколько угодно ворчать, что вендор не должен иметь возможности скрывать инфу по уязвимостям в собственных продуктах. Но они скрывают! 🙂

Единственный вариант снизить риски - принять реальность такой, как она есть. Наши знания об уязвимостях ограничены. Видишь в инфре не обновленный до последней версии софт - обнови его! Семь бед - один apt-get update && apt-get upgrade! 😅 Может обновление не исправляет критичную уязвимость, а может исправляет. 😉 Достоверно нам об этом знать не дано. 🤷‍♂️

Про Silent Patching на примере кейса Аспро

Про Silent Patching на примере кейса Аспро

Про Silent Patching на примере кейса Аспро. Эта компания предлагает услуги по запуску и миграции сайтов с использованием своего решения на базе 1С-Битрикс.

14 октября 2024 года центр кибербезопасности белорусского хостинг-провайдера HosterBy сообщил об обнаружении цепочки взломов веб-сайтов на основе решения Аспро (по большей части интернет-магазинов). RCE уязвимость связана с использованием небезопасной PHP-функции unserialize. Уязвимы версии Аспро:Next до 1.9.9.

6 февраля 2025 в блоге Аспро вышел пост, в котором они презентовали бесплатный скрипт-патчер, исправляющий уязвимость. 👍 Но там же они пишут, что сами нашли и исправили эту уязвимость ещё в 2023 году, но "намеренно не афишировали детали".

✅ Те, кто платили Аспро за поддержку и обновлялись до последней версии, были в безопасности.

❌ А те, кто обновлялись только при детекте уязвимости - нет. Информации по уязвимости не было. Ни CVE, ни BDU. 😏

И вендор ответственности за сокрытие не несёт. 🤷‍♂️

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России. Продолжаю разбирать профильные вакансии.

Судя по перечню задач, в Почте России к анализу защищённости помимо VM-а (и контроля периметра) включают:

🔹 контроль конфигураций
🔹 проведение Pentest-ов
🔹 развёртывание Honeypot-ов

Последнее странновато, т.к. это скорее вотчина команды детекта атак.

"Агрегирование статистики и составление отчётов по итогам этапов процесса" предполагается делать в MS PowerBI. А импортозамес? 😏

Немало интригует фраза про управление VM-процессом "без прямого использования сканирований и результатов работы сканеров уязвимостей". То ли самому сканы запускать не придётся, то ли они вообще без сканов обходятся. 🤔

VM-процесс нужно будет выстраивать по "методологии ФСТЭК", а устранение уязвимостей контролировать "с учётом реалий инфраструктуры". 😉

🟥 Вакансия из PT Career Hub - проекта Positive Technologies по подбору сотрудников в дружественные компании.

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. 77 CVE, из которых 20 были добавлены в течение месяца. В этот раз целых 7 уязвимостей с признаками эксплуатации вживую:

🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить

Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:

🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)

Среди остальных можно выделить:

🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)

🗒 Полный отчёт Vulristics

Следующее мероприятие, на котором я планирую выступить - форум "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля

Следующее мероприятие, на котором я планирую выступить - форум ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ 3 апреля

Следующее мероприятие, на котором я планирую выступить - форум "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля. В рамках технологической панели "А ты точно умеешь это детектировать? Правила детекта уязвимостей" у меня будет 20-минутный доклад "Уровни сравнения качества детектирования уязвимостей".

О чём расскажу:

🔹 Зачем нужно заниматься оценкой качества детектирования уязвимостей и как это связано с БОСПУУ.

🔹 Примеры публичных сравнений качества детектирования. Спасибо Алексею Лукацкому за напоминание про сравнение Principled Technologies 2019 года. 👍 Оказывается у меня был про него содержательный пост в англоязычном канале. 😇 Ну и про сравнение PentestTools (2024) и Securin (2023) тоже добавлю.

🔹 Уровни сравнения: просто по CVE, по CVE с учётом метода детекта, практическое сравнение на стендах. Возможно какие-то ещё? 🤔

Если у кого есть что вкинуть по теме, пишите в личку - буду рад пообщаться. И до встречи на Территории Безопасности!

Не потеряемся!

Не потеряемся!

Не потеряемся! Тут я согласен с Сергеем Солдатовым, что пишущая ИБ-тусовочка даже в случае весьма вероятной блокировки тележеньки из виду не пропадёт. 🙂 Просмотры в ТГ обвалятся - это да. Ну, перекатимся куда-нибудь. Чай, оно не в первый раз. (с) 😉

С Алексеем Лукацким тоже согласен
, что перекатываться пока особенно и некуда. Удивительно, но при обилии разнообразных отечественных мессенджеров ни один из вендоров не озаботился скопировать механику каналов Телеграма. Чтобы подписки на каналы были (желательно с шарящимися папками), и поддержка картинок, и разметка текста, и возможность экспорта истории сообщений.

📣 Ау, вендоры мессенджеров! Если у вас это есть (или вы в эту сторону активно идёте), стукнитесь, пожалуйста, в личку. Я затестирую и если всё ок, буду активно топить за вашу платформу. 🙏

Но пока то, что я видел - малоюзабельно. 🤷‍♂️ Пока мой план на случай блокировки - сообщество в VK (подпишитесь плз, если вы есть в VK!) и зеркало на WordPress.

Начало блокировок Telegram в России

Начало блокировок Telegram в России

Начало блокировок Telegram в России. В середине августа прошлого года в посте "Последний год Телеграма в России?" я прогнозировал, что блокировкам быть, если администрация мессенджера не предоставит разумные механизмы контроля (особенно после Крокуса). Через 9 дней после этого Дуров зачем-то полетел ужинать в "нестранное место" с видом на Эйфелеву башню, где и остался под подпиской о невыезде. 😏 Был шанс, что команда ТГ, поглядев на такие расклады, рванёт на Родину. 🙂 Но Тележеньку просто сдали французам. 🤷‍♂️

13 декабря в России заблокировали Viber по схеме, позволяющей заблочить любой иностранный мессенджер.

И вот 8 марта прошла новость, что Telegram заблокировали в Дагестане и Чечне. Об этом сообщил министр цифрового развития Республики Дагестан Юрий Гамзатов. Повод - использование при организации беспорядков в аэропорту Махачкалы в октябре 2023 года.

Имхо, выглядит как обкатка механизма блокировки на двух регионах. Если пройдёт успешно, блокировки расширят.

C'est la vie.