В Новый Год на ёлочке огоньки горят. В этот день подарку каждый будет рад. Что же нам достанется? Непростой вопрос, Ведь сюрприз готовит нам не только Дед Мороз!
В мрачной тёмной комнате у компа сидит В худи и наушниках асоциальный тип. Ему не нужен праздник, весёлый шум и гам. Write up-ы он читает и ревёрсит патчи сам.
Как от уязвимости разраб избавил код Этот тип асоциальный обязательно поймёт. Эксплоит разработает, добавит его в малварь, Тем расширив свой зловредный инвентарь.
Чтобы этот тип не нанёс тебе вреда, Обновляй свои системы своевременно!
Всех с Новым Годом! С праздником, друзья! Счастья, здоровья, удачи во всём! 🎉
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех! Поверь мне, это так. Защищает он лучше всех От любых кибератак. Проактивный подход, Секретное оружие: Не справится хакер, Если ОСь не загружена!
Припев: Синий экран отражает атаки! No boot - No Hacker! No boot - No Hacker!
CrowdStrike работает по лучшей из схем, С которой не может быть никаких проблем! На ваших хостах Falcon сенсоры. Их привилегии максимальны. А CrowdStrike управляют ими из своих облаков. И это нормально! (Якобы…) Команда CrowdStrike даже ночью не спит, Автоматом заливает вам Rapid Response Content "at operational speed". (Когда захочет…)
И если вам кажется, что всё это как-то страшновато, Не переживайте: CrowdStrike пропускает контент через валидатор! (Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали… Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали… (Пока что…) За полтора часа сломать 8.5 миллионов хостов - задача нелегка… С таким не справится устаревший онпрем, для такого нужны облака…
А если серьёзно… В 22-ом CrowdStrike из России ушёл… И, как по мне, это очень, очень, ну просто ооочень хорошо!
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Трек про "regreSSHion" RCE от root-а в OpenSSH (CVE-2024-6387). 🙂 Трек сгенерировал в сервисе Suno.
(regreSSHion! regreSSHion!) В OpenSSH CVE-2024-6387. Удалённое выполнение произвольного кода без аутентификации от root-а - опасность понятна всем.
Это не шутка, Звучит достаточно жутко. (regreSSHion! regreSSHion!)
Уязвимость нашли эксперты компании Qualys. И написали подробный write-up, как они на эту уязвимость напоролись.
Эта уязвимость - регресс старой уязвимости CVE-2006-5051 ранее исправленной. Для неё признаков эксплуатации вживую и эксплоитов так и не было представлено.
Регресс произошёл в октябре, 2020 год, Когда случился на версию OpenSSH 8.5p1 переход.
Уязвимы "glibc-based Linux systems" в конфигурации по умолчанию, А OpenBSD не подвержена, согласно описанию.
Насколько это критично? Расклад таков: В Интернете 14 миллионов потенциально уязвимых хостов.
Это не шутка, Звучит достаточно жутко. (Regression! Regression!)
Qualys обещают exploit не публиковать ибо Злоумышленники начнут атаки - и на том спасибо!
Но весьма вероятно, что эксплоит напишут другие нахрапом. Им хватит и публичного подробного write-up-а.
Но возможно, что атак не будет, а всё это просто пиар: 6-8 часов занимает атака на 32-битную Linux систему с ASLR.
Upd. Судя по реакциям, трек получился неоднозначный. 😅 Согласен, с первого раза на слух воспринимается тяжело. Учту на будущее, что рифмовать нужно тщательнее и грайм не очень подходит для подобных треков, лучше что-то поспокойнее. Но сам трек пусть остаётся, если отслеживать текст в видяшке, то вроде вполне норм. 😉
Не удержался, побаловался с Suno - встречайте трек "Непреодолимые силы". 😅 В стиле "happy hardcore, rave, techno, house, trance". Все персонажи и события вымышлены, любые совпадения случайны. 😉
Мы выполнили все требования действующего законодательства по обеспечению кибербезопасности Все требования действующего законодательства. Мы их честно выполнили.
Мы имеем соответствующие лицензии и сертификаты. Все лицензии и все сертификаты. И лицензии, и сертификаты. Они всем соответствуют. И мы их имеем.
Но тут…
[припев]
Вопреки всем принятым мерам безопасности Злоумышленники получили неправомерный доступ. Неправомерный доступ. Вопреки всему. Они получили. Вопреки лицензиям. И сертификатам.
Такие вот…
[припев]
Они зашифровали собственным программным обеспечением всю имеющуюся информацию. Своим собственным программным обеспечением. Они принесли его сами. Какие нахалы! И данные клиентов пошифровали в наших облаках.
Никогда не думал, что буду готов Выступать перед зрителями на арене Лужников. И я не про спорт или музыку, вовсе нет: Мы вещаем со сцены ИБэшный контент.
Второй кибер-фестиваль зажигает огни… Это PHDays 2, позитивные дни! Позитивные дни! Позитивные дни! То самое место, где мы не одни. Это PHDays 2, позитивные дни! Позитивные дни! Позитивные дни!
Мы снова здесь все вместе без деления на нации Излучаем в пространство позитивные вибрации. Мы здесь всем миром развиваем ИБ культуру, Чтоб не было жестоко к нам Mirabile Futurum
Второй кибер-фестиваль зажигает огни… Это PHDays 2, позитивные дни! Позитивные дни! Позитивные дни! То самое место, где мы не одни. Конец мая, Москва, позитивные дни! Позитивные дни! Позитивные дни!
Докажи - покажи! Сгенерил трек в Suno про популярный способ саботажа Vulnerability Management процесса. Который в итоге приводит к утечкам данных и пошифрованной инфре. 🤷♂️ В этот раз схалтурил, так что без рифм. 🙂 Кидайте вашим IT-шникам, если заметили, что они с вами в докажи-покажи начали играть. 😉
Мы уже исправили уязвимость, это сканер наверное фолсит. Да мы уже запатчили всё. Это сканер наверное фолсит… Мы уверены в том, что ваш сканер всё время фолсит. А тыыыы…
ОК, уязвимость действительно есть. Да, похоже, уязвимость действительно есть. Но она не эксплуатабельна! Точно, она не эксплуатабельна! Сто пудов не эксплуатабельна! А тыыыы…
Ок, в нашей инфре эксплуатабельна. Доказали, и в нашей инфре эксплуатабельна. Но это некритичный хост! Даже если сломают - не страшно! Мы точно считаем - не страшно! А тыыыы…
Ладно - ладно, сломают - будет плохо. Потратил кучу времени и сил, и нам доказал, будет плохо. Ты молодец, мы уязвимость эту исправим. Конкретно эту уязвимость исправим. А в остальном ваш сканер наверное фолсит… Так что даваай!
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
