Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно. Исследователи могут и молчать. 😉 В продолжение темы про недоисследованные уязвимости хочется обратить внимание на последний кейс с XSS уязвимостями в MDaemon и Zimbra. Эти уязвимости были устранены в ноябре и феврале 2024 года. У них были "средний" CVSS: 5.3 и 6.1. Тип уязвимости XSS также не является супер-критичным. Не было никаких причин приоритизировать исправление этих уязвимостей.

ПРИ ЭТОМ исследователи ESET ещё в 2024 году знали, что эти уязвимости эксплуатируются в атаках. Они сами наблюдали эту эксплуатацию. И они просто МОЛЧАЛИ до 15 мая 2025 года. Как минимум 5,5 месяцев они не выдавали информацию, которая могла бы повысить приоритет устранения этих уязвимостей и защитить пользователей от атак. Ни вендорам не сообщали, ни в CISA KEV. 🤷‍♂️

Так что не ждите сообщений об атаках - обновляйтесь при первой возможности!

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)

Добавить комментарий

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443). Zimbra Collaboration - пакет ПО для совместной работы, включающий сервер электронной почты и веб-клиент. Злоумышленник может отправить электронное письмо, содержащее специально созданный заголовок календаря со встроенной полезной нагрузкой. Если пользователь откроет письмо в классическом веб-интерфейсе Zimbra, зловредный JavaScript-код выполнится в контексте окна веб-браузера.

Уязвимость была исправлена вендором 28 февраля 2024 года. Как и в случае с уязвимостью MDaemon, об эксплуатации уязвимости в атаках сообщили исследователи ESET (операция "RoundPress"). О дате обнаружения атак сообщили, что это было в 2024 году и уже после выпуска патча. Зловредный код позволял злоумышленникам красть учетные данные, извлекать контакты и настройки, получать доступ к сообщениям электронной почты.

Информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷‍♂️ С 19 мая уязвимость в CISA KEV.

Впечатление от модуля аналитики в RedCheck

Добавить комментарий

Впечатление от модуля аналитики в RedCheck.

🔹 Это большой шаг вперёд. 👍 Раньше, чтобы решать проблемы со сканами и анализировать уязвимости/мисконфигурации в масштабе инфраструктуры необходимо было стороннее решение (коммерческое или самописное), которое бы работало с RedCheck через API и/или на уровне базы. Теперь эти задачи в значительной мере можно решать прямо из интерфейса.

🔹 Радует внимание к обнаружению проблем в сканировании активов. 🔥 Следует также отслеживать для каких активов нет детектов уязвимостей (и прочее по первой колонке БОСПУУ), но с этим сложнее. 🤷‍♂️

🔹 Реализованные инструменты низкоуровневые. Они помогут понять, что уязвимости не исправляются и харденинг не проводится. Но почему и что с этим делать? Это за рамками.

🔹 Постоянно вручную делать фильтрации через формы - так себе удовольствие. Нужны хотя бы сохраняемые запросы с выводом на дашборды и в алерты. Возможно это будет в VM от Altx Soft, который обещают представить в 26 году.

Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck

Добавить комментарий

Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck. Модуль доступен в RedCheck 2.8 (вышел в декабре 2024 года) для вариантов Expert и Enterprise. Содержит формы:

🔹 "Актуальность сканирования" показывает почему нет результатов сканирования: ошибки или недоступность хоста, нет задания на сканирование хоста или задание на сканирование не запускалось.

🔹 "Недоступность хостов" показывает детали по причинам недоступности: ошибки сетевого доступа, тайм-ауты, некорректные учётки, ошибки прав доступа, нарушение целостности агента/сканера и т.д.

🔹 "Анализ уязвимости" позволяет фильтровать уязвимости на хостах по критичности, наличию эксплоитов, присутствию в бюллетенях НКЦКИ и БДУ ФСТЭК.

🔹 "Контроль устранения уязвимостей" позволяет выделять новые, устранённые и неустранённые уязвимости на хостах.

🔹 "Анализ конфигураций" позволяет отслеживать соответствие хостов стандартам безопасной настройки, в том числе по конкретным требованиям.

🎞 Демо с разбором кейсов

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)

Добавить комментарий

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182). Злоумышленник может отправить электронное письмо в формате HTML со зловредным JavaScript-кодом в теге img. Если пользователь откроет письмо в веб-интерфейсе почтового сервера MDaemon, зловредный JavaScript-код выполнится в контексте окна веб-браузера. Это позволяет злоумышленнику украсть учётные данные, обойти 2FA, получить доступ к контактам и почтовым сообщениям.

1 ноября 2024 года исследователи компании ESET обнаружили эксплуатацию уязвимости в реальных атаках. Они связали эксплуатацию этой, а также нескольких других уязвимостей в веб-интерфейсах почтовых серверов (Roundcube: CVE‑2023‑43770, CVE-2020-35730; Zimbra: CVE-2024-27443; Horde) в общую операцию "RoundPress".

Версия MDaemon 24.5.1, устраняющая уязвимость, вышла 14 ноября 2024 года. Однако информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷‍♂️ С 19 мая уязвимость в CISA KEV.

Про обновление third-party приложений через платформу оркестрации Windows Update

Добавить комментарий

Про обновление third-party приложений через платформу оркестрации Windows Update. Все мы знаем, что системные обновления Windows накатываются удобным и централизованным образом. А вот с обновлением прикладного ПО под Windows от разных вендоров - тут кто во что горазд. 🤪 Приложение могут самообновляться в фоне, могут показывать разнообразные нотификации. Могут ничего не показывать, оставляя отслеживание обновлений пользователям (или админам/VM-щикам организации). 😏

Microsoft решили поменять ситуацию, предложив разработчикам ПО инструмент, через который они могут описывать обновления своих продуктов и требования по их установке: скрипты для скачивания и установки, скрипт для завершения процессов перед установкой, необходимость перезагрузки и т.п. Такие обновления будут предлагаться пользователям к установке так же как и системные обновления Windows.

Концепция выглядит интересно. Другим вендорам ОС, в том числе отечественным, стоит присмотреться. 😉

Не гугли утилиту, не совершай ошибку

Добавить комментарий

Не гугли утилиту, не совершай ошибку. Устанавливать утилиту из репозитория Linux-вендора (если она там есть 😏), как правило, оказывается безопаснее, чем гуглить утилиту по названию, а затем скачивать и устанавливать её с официального сайта. Так как в общем случае непонятно, а какой именно сайт официальный. 🤪

Свежий пример. Есть такой проект Zenmap - GUI для сканера nmap. Злодеи сделали сайт zenmap.(трехбуквенный домен) и SEO-методами подняли его в поисковике по релевантным запросам. Если просто перейти на сайт по URL-у, то открывается безобидный блог с генерёнными статьями. А если перейти по ссылке из поисковика, то открывается копия официального сайта, с затрояненной версией утилиты. 🤷‍♂️ Фейковый сайт всё ещё работает, урл есть на Bleeping Computer.

Ну, допустим, с Zenmap у вас насмотренности хватит, чтобы понять, что это неофициальный сайт. А с более редкой утилитой, о которой вы толком ничего не знаете? И которая, зачастую ещё и запуск от рута требует. Вот то-то же. 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)

Впечатление от модуля аналитики в RedCheck

Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)

Про обновление third-party приложений через платформу оркестрации Windows Update

Не гугли утилиту, не совершай ошибку