Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а

1 комментарий

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а. 🤩 Рубрика "В тренде VM" начинается с 16:05. 🎞

По контенту это февральский дайджест трендовых уязвимостей, но поданный в более живом формате: простыми фразами, со всякими прикольными перебивками, мемасиками, шутейками и прочим. Как это сейчас принято в эдьютейнменте. 😏 Уровень продакшена у команды SecLab News, конечно, потрясный. Круче я пока не видел. Очень профессиональные ребята, работать одно удовольствие. 🔥

В общем, пробный шар пущен - дальнейшая судьба рубрики (а может и не только рубрики 😉) зависит от вас.

➡️ Перейдите, пожалуйста, по ссылке, посмотрите выпуск, поставьте лайк, оставьте комментарий по поводу рубрики. Что понравилось, что можно было бы и получше сделать.

Прям очень ждём ваш фидбек. 🫠

CheckPoint-ы выпустили отчёт о группировке Magnet Goblin, которая отметилась оперативной эксплуатацией уязвимостей в сервисах доступных из Интернет

Добавить комментарий

CheckPoint-ы выпустили отчёт о группировке Magnet Goblin, которая отметилась оперативной эксплуатацией уязвимостей в сервисах доступных из Интернет. На момент эксплуатации для этих уязвимостей уже есть патчи (поэтому они 1-day, а не 0-day). Но так как компании, как правило, обновляются не очень оперативно, злоумышленники из Magnet Goblin успешно проводят свои атаки. 🤷‍♂️

В отчёте упоминаются следующие уязвимости, эксплуатируемые Magnet Goblin:

🔻 Magento (опенсурсная e-commerce платформа) – CVE-2022-24086
🔻 Qlik Sense (решение для анализа данных) – CVE-2023-41265, CVE-2023-41266, и CVE-2023-48365
🔻 Ivanti Connect Secure (средство для удаленного доступа к инфраструктуре) – CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 и CVE-2024-21893.
🔻 Apache ActiveMQ (брокер сообщений) - CheckPoint пишут, что "возможно" и не указывают CVE, но вероятно это речь о CVE-2023-46604.

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика"

Добавить комментарий

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика". По теоретической части всё понятно: есть документированный API; он один и для интеграций, и для вебгуя. 🙂

По практической части показали:

🔻 Как использовать MaxPatrol API в REST-клиенте Nightingale (файл с примерами на гитхабе).
🔻 Неофициальный PTVM SDK. Небольшой Python скрипт с одним классом для работы с MaxPatrol API.
🔻 Консольный интерфейс Positive CLI для MaxPatrol API. Автоматизацию можно делать и просто shell-скриптами дергающими CLI! 😇 Гораздо более функциональный проект, чем SDK, и тоже на Python. На скринах вывод уязвимостей с критичностью рассчитанной по методологии ФСТЭК и трендовые уязвимости с эксплоитом.
🔻 Как использовать MaxPatrol API в low-code инструменте n8n (на примере отправки результатов запроса в Telegram).

Ссылки на проекты добавляются на страницу addons.

Покажите коллегам, которые работают с MaxPatrol VM. 😉

Пока праздники залип в одну из самых любимых игрушек - "Третий Рим: Борьба за престол" (1997)

Добавить комментарий

Пока праздники залип в одну из самых любимых игрушек - "Третий Рим: Борьба за престол" (1997). Я вообще очень редко играю, но если уж играю, то взахлёб. 😅 В этот раз прошёл компании за Рязанское княжество и за Тевтонский орден. Каждый раз нахожу в этой игре что-то новенькое. В этот раз отметил следующее:

🔹 Рецепт успеха - не спешить с прохождением миссий, там где нет ограничения по времени, а притормозить на последнем шаге и, когда враги уже не докучают, прокачивать экономику городов. Строительство Дворца и Караван-сарая порождает такой автоматический обмен караванами между городами, что проблемы с деньгами перестают быть критичными. У прибалтийских городов аналогичный эффект даёт Замок Ордена.
🔹 Нужно стараться перекупать дружины варягов. Для взятия городов они очень эффективны. Армии кочевников послабже, но зато очень быстрые.
🔹 Полностью укомплектованный гарнизон не гарантирует, что город не будет взят. В критичных городах нужно держать армии князей, лучше несколько.

Чем прикольна игрушка:

🔻 Реалистичные бои. Юниты не стоят до последнего, а драпают, когда снижается мораль. 🤷‍♂️
🔻 Если сам нападаешь на армию или город, то можно предложить откупиться или перейти на твою сторону без боя. Если есть перевес в силе это частенько работает.
🔻 Когда открыта основная карта, игра идёт в реальном времени, которое очень ценно. Нужно постоянно что-то решать с войсками, экономикой. Особенно впечатляюще это выглядет в последней миссии, где вся карта центральной России уже открыта и на ней одновременно действуют несколько княжеств, тевтонский орден и кочевники.
🔻 Озвучка божественная. Названия городов проговариваются. Юниты в режиме боя говорят на своих языках.

В общем, игрушка замечательная. Жаль, что была единственной в серии и полный потенциал её остался не раскрыт. С удовольствием бы поиграл, например, на карте западной Европы или Китая на том же движке. Компания-разработчик Перун (судя по всему это их единственный проект 😢) и компания-издатель Doka Media большие молодцы.

Периодически хочется переписать эту игрушку на свободный движок. Но тут столько труда положено, что это, конечно, не особо реалистично. 🙂

Поздравляю всех подписчиц канала "Управление Уязвимостями и прочее" с Международным Женским Днём!

Добавить комментарий

Поздравляю всех подписчиц канала "Управление Уязвимостями и прочее" с Международным Женским Днём!

Желаю счастья, благополучия, реализации творческого потенциала, равных прав и справедливой оплаты труда! 👩‍💻

VulnCheck выложили диаграмму по проблемам описания CWE в NVD

Добавить комментарий

VulnCheck выложили диаграмму по проблемам описания CWE в NVD. Я 7 лет назад тоже делал что-то подобное, но тут за прошлый год и в контексте топовых CNA (CVE Numbering Authorities). Выглядит прикольно. В чём суть: CNA часто не запариваются формальным описанием типа уязвимости (а CWE, Common Weakness Enumeration, это по сути он и есть) и либо оставляют это поле пустым, либо лепят туда "мало данных", "другое". 🤷‍♂️

Причём я подозреваю, что там, где CWE выставлены это, в основном, что-то неконкретное типа CWE-119 Buffer Errors (во всяком случае это был самый популярный CWE идентификатор 7 лет назад). Даже если на основании описания можно предположить и более конкретный тип уязвимости. Выглядит как направление для дальнейшего анализа и тыкания уважаемых CNA палочкой. 🤔😉

Ну и интересно, а как с этим дела в нашей БДУ.

Посмотрел выпуск Application Security Weekly с Emily Fox про Vulnerability Management

2 комментария

Посмотрел выпуск Application Security Weekly с Emily Fox про Vulnerability Management. Как это сейчас модно, ведущие и гостья накидывали в ту сторону, что известных уязвимостей сейчас слишком много, реально эксплуатируются из них 3-4%, а поэтому исправлять нужно не все уязвимости. А чтобы понимать, что именно не нужно исправлять, требуется

🔹 Учитывать слои безопасности препятствующие эксплуатации уязвимости.
🔹 Учитывать зависимость риска эксплуатации от типа уязвимого актива.
🔹 Оценивать вероятность эксплуатации в контексте конкретной организации.

Тут как бы слова-то все хорошие, и я даже с ними бы согласился. Но только откуда возьмутся надёжные знания (об уязвимостях, инфраструктуре, механизмах безопасности) и инструменты для их обработки, чтобы это всё работало надёжно?

Чтобы можно было бы дать руку на отсечение, что вот эту уязвимость исправлять 100% не нужно и эта уязвимость никогда не будет активно эксплуатироваться в атаках. 🙋‍♂️ И проделывать это не для одной уязвимости, а массово. Есть такие смельчаки с лишними руками? Имхо, если ты не готов так делать, то не должен и утверждать, что какие-то уязвимости можно оставить без исправления.

Если уязвимость (даже потенциально) есть и она может быть исправлена обновлением, то она ДОЛЖНА быть исправлена обновлением. Планово или быстрее, чем планово. Но исправлять нужно всё. При этом отказ от уязвимых активов, софтов, компонентов, образов это вполне себе хороший способ исправления. Чем меньше поверхность атаки, тем лучше. Если обновляться по каким-то причинам сложно и больно, то в первую очередь нужно решать с этим вопрос. А почему это сложно и больно? Что не так с базовыми процессами организации, что мы не можем обновляться? Может в сторону более правильной архитектуры нужно посмотреть?

Это лучше, чем делать ненадежные предположения, что возможно эта уязвимость не настолько критичная, чтобы её исправлять. Потому что, как правило, об этих уязвимостях мы практически ничего не знаем: сегодня она неэксплуатабельная, а завтра станет эксплуатабельной, а послезавтра её будут эксплуатировать все скрипткидисы. Возможно, что эту уязвимость уже несколько лет как активно используют в таргетированных атаках. Кто может сказать, что это не так?

Весьма симптоматично, кстати, что в этом эфире рекомендовали использовать EPSS для выборки наиболее потенциально опасных уязвимостей. 🤦‍♂️ Инструмент, который, к моему глубокому сожалению, просто не работает и показывает низкие значения вероятности появления эксплоита для активно эксплуатирующихся уязвимостей и высокие значения для тех уязвимостей, эксплоиты для которых не появляются годами. 🤷‍♂️

Посмотрите например в моём отчёте Vulristics для Февральского Microsoft Patch Tuesday. Elevation of Privilege - Windows Kernel (CVE-2024-21338) в CISA KEV, а значения EPSS у неё низкие (EPSS Probability is 0.00079, EPSS Percentile is 0.32236). 🤡 С тем же успехом можно на кофейной гуще гадать, может даже эффективнее будет. Поэтому и остальная "магия триажа" также вызывает скепсис.

Ещё раз:

🔻 Исправлять нужно все продетектированные уязвимости в соответствии с рекомендациями вендора.
🔻 В первую очередь нужно исправлять то, что реально эксплуатируется в атаках или будет эксплуатироваться в ближайшее время (трендовые уязвимости).