Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США

1 комментарий

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и СШАЕсли верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США. В Германии их чуть меньше, но вместе с тем Германия абсолютный лидер по числу серверов потенциально уязвимых для активно эксплуатирующейся уязвимости прошлой недели Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). 🤔

Тут два варианта: либо дисциплинированные немцы не такие дисциплинированные, когда дело доходит до исправления критичных уязвимостей, либо со статистикой Shadowserver какие-то проблемы.

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

2 комментария

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub. Автор PoC-а Alexander Hagenah из швейцарской компании SIX Group. В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл. Красиво. 🙂

Ждём возвращения для этой уязвимости галки "эксплуатируется вживую". 🙃

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

Добавить комментарий

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"

00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)

Хочется немного поиграться с непосредственным детектом уязвимостей - проект Vuldetta

1 комментарий

Хочется немного поиграться с непосредственным детектом уязвимостей - проект Vuldetta

Хочется немного поиграться с непосредственным детектом уязвимостей - проект Vuldetta. С 2021 года я работаю над открытым проектом сканера уязвимостей Scanvus для Linux хостов и docker-образов. И с ним всё отлично, кроме того, что он сам уязвимости не детектирует. 😅 Он собирает пакеты и версию дистриба, но для детектирования использует внешние коммерческие API-шки: Vulners Linux API или VulnsIO API. А оно стоит денег и это, естественно, снижает привлекательность утилиты. 🤷‍♂️

Можно ли сделать так, чтобы Scanvus работал без использования коммерческих API? Можно. И тут видятся 2 пути:

🔹 Первый путь - это добавить детектирование уязвимостей непосредственно в Scanvus. Мне это не очень нравится. Мне нравится концепция такого "безмозглого" нейтрального сканера, который может использовать различную внешнюю экспертизу в зависимости от потребностей.

🔹 Второй путь - это сделать некоторый аналог Vulners Linux API или VulnsIO API, который можно было бы развернуть локально в организации и использовать для детекта уязвимостей хотя бы для некоторых Linux дистрибутивов. Понимая, безусловно, что коммерческий сервис будет, скорее всего, поддерживать большее количество дистрибутивов и, возможно, будет даже лучше детектировать. Но от бесплатной свободной альтернативы хуже не будет.

Собственно второй путь и есть Vuldetta. Взять готовые формализованные правила детекта (после возни с OVAL-контентом для Debian я смотрю теперь в сторону OVAL-контента для Ubuntu), разобрать их во что-нибудь простое и удобное для работы (Bulletin|CVE_Number|Distribution_Version|Package_Name|Package_Version), сделать API-шку-сравнивалку версии на хосте с безопасными версиями из OVAL-контента.

Вроде выглядит как изян. А на выходе может получиться штука, которую как минимум можно будет использовать для валидации качества детектирования коммерческих сканеров уязвимостей, а как максимум возможно даже в проде где-то использовать. А так как лицензия будет MIT, то это даже можно будет встроить куда-нибудь как альтернативу жуткому фолсящему Trivy. 😅 И будет на чём тестовый контент для Vulremi генерить опять же. 🙂

Вчера канал перевалил за 4000 подписчиков

Добавить комментарий

Вчера канал перевалил за 4000 подписчиков
Вчера канал перевалил за 4000 подписчиковВчера канал перевалил за 4000 подписчиков

Вчера канал перевалил за 4000 подписчиков. 🎉 Ощутимая величина! 😇 Спасибо за доверие! Буду продолжать делиться с вами всяким разным про VM. 🌝

Немного статистики:

🔻 +1000 подписчиков с ноября.
🔻 С момента появления инструмента "Similar Channels" он даёт хороший устойчивый прирост. Спасибо Дурову за фичу и за то, что он пока её не монетизирует. 😏
🔻 Хороший буст дают репосты в каналы и группы - за репосты всем большое спасибо! Пик 9 января - уязвимость GitLab.
🔻 Шарящиеся папки с каналами дают очень хороший прирост, но кратковременный. И потом многие отписываются или не читают. Возможно потому, что каналы подбираются с несколько разной тематикой. Можно подумать в сторону папки чисто про уязвимости, раз в несколько месяцев её обновлять и синхронно репостить в участвующие каналы. 🤔
🔻 У подавляющего числа подписчиков выставлена русская локаль. Есть и с английской (ни о чём не говорит - у меня тоже английская). А вот ненулевое количество читателей с другими локалями любопытно.

Если вы поставляете продукт клиентам в виде апплаенса, не забывайте его проверять и обновлять, а то может получиться стыдновато (на примере Ivanti Connect Secure)

1 комментарий

Если вы поставляете продукт клиентам в виде апплаенса, не забывайте его проверять и обновлять, а то может получиться стыдновато (на примере Ivanti Connect Secure)

Если вы поставляете продукт клиентам в виде апплаенса, не забывайте его проверять и обновлять, а то может получиться стыдновато (на примере Ivanti Connect Secure). 😏 Вчера в блоге компании Eclypsium вышло исследование апплаенса Ivanti:

🔸 Ivanti применяют шифрование образа прошивки, но от реверса это не защитило. Исследователи изучили прошивку Ivanti Connect Secure ICS-9.1.18.2-24467.1 с установкой на аппаратный апплаенс. Доступ получили через эксплуатацию известной уязвимости.
🔸 В качестве ОС в апплаенсе используется CentOS 6.4 (EOL c 30 ноября 2020 года).
🔸 Исследователи применили анализатор безопасности прошивок EMBA и обнаружили следующие устаревшие компоненты:

Ядро Linux 2.6.32 (EOL в феврале 2016 г.)
OpenSSL 1.0.2n (декабрь 2017 г.)
Python 2.6.6 (август 2010 г.)
Perl v5.6.1, для i386-linux (не x64, апрель 2001 г.)
Bash 4.1.2, который, как ни странно, пропатчен для Shellshock.
Ряд устаревших библиотек с известными CVE и эксплойтами

🔸 Большая часть графического интерфейса Pulse Secure написана на Perl, что создает огромную поверхность атаки.
🔸 Ivanti удалили доступ к административной оболочке, поэтому исследователи не нашли захардкоженные креды или бэкдор-аккаунты. Но не значит, что их там нет. 😉
🔸 Исследователи продолжат ковырять обнаруженные бинари и shell-скрипты, вполне возможно что-то ещё нароют.
🔸 Исследователи изучили Ivanti "Integrity Checking Tool" (ICT). Утилита исключает из сканирования более десятка каталогов, а это означает, что злоумышленник теоретически может оставить свои постоянные C2 (Command-and-control) имплантаты в одном из этих путей, и устройство все равно пройдет проверку целостности. 🤷‍♂️ Исследователи пишут, что между разными версиями ICT разница в том, что в исключения добавлялось всё больше каталогов - видимо вендор боролся так с фолсами.

Вендорам имеет смысл привести в порядок свои апплаенсы до того как туда залезут исследователи. А клиентам стоит иметь в виду, что в апплаенсе может быть тот ещё адок и вендоры тоже могут жить по принципу "работает - не трогай".

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

2 комментария

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года. В работе над которым я принимал участие. 😇 Это наш первый опыт в таком формате, планируем выпускать подобные дайджесты ежемесячно и возможно не только текстом. 😉

За январь в трендовые добавили 6 уязвимостей.

🔻 По двум эксплуатация вживую указана прям в CISA KEV: RCE в Confluence (CVE-2023-22527) и RCE в vCenter (CVE-2023-34048).
🔺 По двум есть эксплоиты и эксплуатация вживую скорее всего есть, но формально она пока не зафиксирована: AuthBypass в GitLab (CVE-2023-7028), Arbitrary File Reading в Jenkins CLI (CVE-2024-23897).
🔸 По двум есть признаки, что эксплуатация вживую может скоро начаться: RCE в Junos OS (CVE-2024-21591), Information Disclosure в Outlook (CVE-2023-35636).

По каждой уязвимости наши Cyber Analytics подготовили подробное описание: что за уязвимость, случаи эксплуатации, эксплоиты, потенциальные жертвы, способы устранения.

🟥 Пост в канале PT