CheckPoint-ы выпустили отчёт о группировке Magnet Goblin, которая отметилась оперативной эксплуатацией уязвимостей в сервисах доступных из Интернет. На момент эксплуатации для этих уязвимостей уже есть патчи (поэтому они 1-day, а не 0-day). Но так как компании, как правило, обновляются не очень оперативно, злоумышленники из Magnet Goblin успешно проводят свои атаки. 🤷♂️
В отчёте упоминаются следующие уязвимости, эксплуатируемые Magnet Goblin:
🔻 Magento (опенсурсная e-commerce платформа) – CVE-2022-24086 🔻 Qlik Sense (решение для анализа данных) – CVE-2023-41265, CVE-2023-41266, и CVE-2023-48365 🔻 Ivanti Connect Secure (средство для удаленного доступа к инфраструктуре) – CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 и CVE-2024-21893. 🔻 Apache ActiveMQ (брокер сообщений) - CheckPoint пишут, что "возможно" и не указывают CVE, но вероятно это речь о CVE-2023-46604.
После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.
Из занимательного:
🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏 🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈
Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.
———
November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review
Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.
Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.
New Vulristics Features 00:32 Vulristics JSON input and output 02:37 CPE-based vulnerable product names detection 04:16 CWE-based vulnerability type detection
3 Months of Vulnerabilities 07:03 Linux Patch Wednesday 11:22 Microsoft Patch Tuesdays 13:59 Other Vulnerabilities
16:14 About the results of 2023 18:45 What about 2024?
Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM. Записали новый эпизод с небольшим опозданием, но в усиленном составе:
00:00 Здороваемся и смотрим статистику по просмотрам. Меньше 100 просмотров за неделю не набрали - печаль. 😔 02:33 Лев сходил на конференцию Норникеля "обратного типа", где ему подарили табличку, а также провёл бесплатную ПоИБэшечку 09:29 RCE и SQLi в F5 BIG-IP. "Не суй наружу свой TMUI" 12:34Опрос "Что вы используете в качестве балансировщика нагрузки в вашей организации (в России)?" 19:13 Атаки на Госуслуги в Германии и России. У нас-то получше ситуация 20:23Вайпилка для Confluence 25:35 RCE в Apache ActiveMQ 27:55 У Битрикс обнаружили 8 уязвимостей, в их числе RCE 31:14 Активность небезызвестного ботнета Mozzi ушла в небытие 32:34 Более 40 стран навсегда откажутся от уплаты выкупов хакерам-вымогателям 36:10 Мем недели: Решил выпускник ВУЗа выбрать, каким направлением ИБ он будет заниматься… 38:00Аниме-новелла про Управление Уязвимостями? Обсуждаем, что бы это могла быть за игра, выбираем варианты на первом "скриншоте", приглашаем поучаствовать в разработке 😉 46:16 Скарлетт Йоханссон судится с разработчиками приложения, использовавшего ее голос без разрешения 49:50 Прощание от Максима Хараска и лучи добра для chaikae!
Вот это, похоже, громкая тема будет - RCE в Apache ActiveMQ (CVE-2023-46604). Что это вообще такое?
Apache ActiveMQ — брокер сообщений с открытым исходным кодом (распространяется под лицензией Apache 2.0), реализующий спецификацию JMS (Java Message Service) 1.1. Среди возможностей — кластеризация, возможность использовать для хранения сообщений различные СУБД, кэширование, ведение журналов.
Никогда раньше не сталкивался. 🤷♂️ Но вот у джавистов, похоже, достаточно популярная штука. Пишут, что 7к в Интернет торчат, 3к уязвимы. 🌝
Согласно описанию на NVD, уязвимость позволяет злоумышленнику с сетевым доступом выполнять произвольные shell команды. CVSS Base Score 10/10. Есть публичный PoC и рассказ Rapid7 о том, что уязвимость уже используется шифровальщиками. Причём там пошифровали Windows хосты. 🧐 Хороший повод поискать это у себя в инфре (если не на периметре 😉).
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.