Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Добавить комментарий

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383). Roundcube - клиент для работы с электронной почтой с веб-интерфейсом, сравнимый по функциональным возможностям с настольными почтовыми клиентами, такими как Outlook Express или Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Жертва открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код.

В сентябре 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносное письмо с признаками эксплуатации этой уязвимости, направленное на электронную почту одного из государственных органов стран СНГ.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.

Обновляйтесь своевременно!

Solar купили Digital Security

Добавить комментарий

Solar купили Digital Security

Solar купили Digital Security. Пишут, что для развития своего пентест-направления.

С теплотой вспоминаю пикировки ПТшников и Дсеков конца нелевых и начала десятых. 😇 И мощный старт ERPScan и Embedi. А ZeroNights! Какое значимое мероприятие было. Судя по сайту, крайний раз проводили в 2021 году.

В общем, ушла эпоха, совсем ушла…

Поздравляю всех участников сделки и желаю успешного завершения acquisition-а. 🙂

F

Малышарики и Управление Уязвимостями на опенсурсе

Добавить комментарий

Малышарики и Управление Уязвимостями на опенсурсе

Малышарики и Управление Уязвимостями на опенсурсе. Ходили вчера в кино на "Малышарики. День рождения". Прикольный милый фильм про родительство. По сюжету Хабенский покупает на день рождения дочки набор игрушек малышариков, приносит их в квартиру. Ожившие игрушки вылезают из коробки и путешествуют по квартире в поисках домика. С перерывами на песенки типа "у кота 4 лапы и усы как у Френка Заппы". 😅

Они забираются на стол и видят праздничный торт. Рассудив, что "крыша есть, стены есть, похоже на домик", они начинают дербанить несчастный десерт с помощью "палки-прорубалки". Через некоторое время им приходит озарение: "стойте, это же не домик, это торт". 😲😏🤷‍♂️

Частенько наблюдал в организациях похожие порывы замутить VM-решение на основе бесплатного опенсурсного проекта. С таким же результатом. Потратив кучу времени и сил на допиливание, инициаторы признавали, что довести ЭТО до юзабельного состояния невозможно и лучше выбить бюджет на коммерческое решение. 🙃

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Добавить комментарий

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.

CSAM от Positive Technologies

Добавить комментарий

CSAM от Positive Technologies

CSAM от Positive Technologies. Посмотрел 2 выступления про Asset Management с PSDay. Если совсем коротко, то было сказано много очень правильных слов про то, что Asset Management это основа практически всех IT-шных и ИБшных процессов (включая управление уязвимостями и инцидентами). Непрерывное детектирование, инвентаризация и классификация разнообразных активов (не только сетевых хостов) это сама по себе важная работа. Главные моменты выступлений, на мой взгляд это то, что:

🔻 Анонсировали новое направление по управлению активами. Выделили команду. Отстраиваются от класса CSAM (CyberSecurity Asset Management). Продукт такого класса есть у одного западного VM-вендора, что +- даёт представление на что это может быть в итоге похоже.

🔻 Представили ранний драфт интерфейса. На нём показана некоторая таблица активов: ОС, скоринг актива, теги, группы, в которые он входит, инструменты безопасности на данном активе и т.д.

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

Добавить комментарий

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷‍♂️

Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.

"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."

🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.

Карта, Территория и Управление Уязвимостями

Добавить комментарий

Карта, Территория и Управление Уязвимостями

Карта, Территория и Управление Уязвимостями. Известное выражение "Карта не есть территория" можно интерпретировать как то, что описание реальности не является самой реальностью.

В контексте VM-а реальность (территория) это всё множество существующих в настоящий момент уязвимостей во всём множестве программных и аппаратных средств. А базы уязвимостей, включая NVD и БДУ, это попытка эту реальность в какой-то мере отобразить (составить карту).

Эта карта неполная и искажённая. Но она позволяет хоть как-то выполнять полезную работу - детектировать и устранять уязвимости. 👨‍💻

В эту карту даже можно натыкать красных флажков, обозначив самые критичные уязвимости. 🚩 И ничего в этом плохого нет.

Плохое начинается, когда натыканные в сомнительную карту флажки выдаются за истину в последней инстанции: "устраняйте только эти 2% уязвимостей и будете в безопасности". Это то ли невероятная гордыня, то ли невежество. 🤷‍♂️ Осуждаю.

Приоритизируйте устранение уязвимостей, но устраняйте их все.