Будет ли критичная RCE в Confluence (CVE-2023–22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках? Похоже на то. 🧐
🔻 К пятнице PT SWARM (Positive Technologies Offensive Team) успешно воспроизвели эту уязвимость
🔻 AttackerKB со ссылкой на TheDFIRReport пишут, что активная эксплуатация этой уязвимости уже началась
🔻 Сегодня опубликовали разбор уязвимости от ProjectDiscovery
Так что если у вас Confluence уязвимой версии, обновляйтесь ASAP! 👾
Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков. Записали очередной эпизод нашего еженедельного подкаста. В этот раз записывали таким составом:
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Иван Шубин
00:00 Здороваемся и смотрим статистику
02:29 Как Лев съездил на Цифротех
07:52 Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023–22518)
11:36 Специалисты из Check Point Research раскрыли уязвимость в Microsoft Access, которая может быть использована злоумышленниками для получения NTLM-токенов пользователя Windows
15:31 Парочка занимательных аномалий из National Vulnerability Database
18:27 Про возраст уязвимости и её трендовость
29:38 Ещё один экран Бесконечного VM‑a про сетевой периметр
40:05 Делюсь впечатлениями от покупки первого смартфона на Авроре для физиков
55:19 В преддверии Черной пятницы число веб-атак на ретейл России возросло на 50%
57:27 Минцифры России запускает второй этап программы bug bounty, распространив ее на все ресурсы и системы электронного правительства
01:00:47 В Южной Корее робот насмерть прижал мужчину
01:06:11 Иван рекомендует книгу "How vCISOs, MSPs and MSSPs Can Keep their Customers Safe from Gen AI Risks"
01:10:21 Прощание от Льва
Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023–22518). Как только эта уязвимость появилась, нам обещали, что злоумышленник никаких данных не получит, максимум повайпает (у вас же дампы есть — восстановите 😏).
"There is no impact to confidentiality as an attacker cannot exfiltrate any instance data."
В итоге через неделю оказалось, что с помощью этой уязвимости можно админа получить.
"This Improper Authorization vulnerability allows an unauthenticated attacker to reset Confluence and create a Confluence instance administrator account."
Упс. Ошибочка вышла. И выяснилось это, когда пошли реальные эксплуатации. 🤷♂️
Мораль: если видишь обновление безопасности в критичном софте, то не вчитывайся в описание, а тестируй и катай. Даже, если там про бла-бла-бла Memory Corruption, EoP или DoS. Не жди пока злоумышленники докрутят уязвимость до чего-то полезного. Целее будешь.
По поводу Improper Authorization уязвимости в Atlassian Confluence (CVE-2023–22518), которую я вчера упоминал. Для неё пока нет эксплоита и нет признака эксплуатации вживую. Технических деталей тоже почти нет. В описании уязвимости на NVD есть только упоминания, что
🔹 уязвимости подвержены все версии Confluence
🔹 уязвимость пока НЕ эксплуатируется вживую
🔹 уязвимость НЕ позволяет получить доступ к пользовательским данным
🔹 облачные инсталляции Confluence НЕ подвержены уязвимости
Однако бюллетень для этой уязвимости содержит сообщение от CISO Atlassian Bala Sathiamurthy. Он пишет, что клиенты могут потерять значительную часть данных, в случае эксплуатации этой уязвимости неаутентифицированным злоумышленником. Значит ли это, что скоро злоумышленники будут вайпить инсталляции Confluence, до которых смогут дотянуться? Похоже на то. 🧐
Уязвимость исправлена в версиях:
7.19.16 or later
8.3.4 or later
8.4.4 or later
8.5.3 or later
8.6.1 or later
Прожектор по ИБ, выпуск №7 (15.10.2023). Записали очередной эпизод. Из основного: посмотрели как развивалась история с уязвимостями Confluence и curl, обсудили НТТР/2 Rapid Reset DDoS Attack в разных проявлениях, прошлись по Microsoft Patch Tuesday, пофантазировали на тему Курскводоканала и запустили проект Linux Patch Wednesday.
Мы это:
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся и обсуждаем просмотры прошлого выпуска
02:49 Воспроизведенная EoP/AuthBypass уязвимость Confluence (CVE-2023–22515)
05:22 Rate limit‑ы в National Vulnerability Database и куда ситуация движется
11:21 НТТР/2 Rapid Reset DDoS Attack и NGINX
14:23 НТТР/2 Rapid Reset DDoS Attack и Google
15:11 Октябрьский Microsoft Patch Tuesday (и НТТР/2 Rapid Reset DDoS Attack)
21:56 Центр мониторинга и реагирования UserGate предупреждает о множественных уязвимостях в продукте Sangfor's Next Gen Application Firewall
24:18 Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid
28:06 В США кот случайно отключил государственную IT-систему
30:09 Обещанные уязвимости в CURL и libcurl вышли.
34:26 Хакеры оставили МУП «Курскводоканал» без данных по показаниям счетчиков
37:12 Запуск проекта Linux Patch Wednesday: что это и зачем нужно
42:57 Прощание от Mr. X
По поводу подозрительной EoP в Confluence (CVE-2023–22515), которая вышла на прошлой неделе, опасения подтвердились. Злоумышленнику действительно не требуется предварительно иметь пользователя в Confluence, чтобы получить администратора. Действительно имеет место обход аутентификации.
Коллеги из PT SWARM воспроизвели эту уязвимость и записали видео с демонстрацией. На видео они показывают, что пользователя в инсталляции Confluence нет, затем они запускают python скрипт с логином/паролем желаемого пользователя и тут же получают его в Confluence с правами админа. Magic. 🪄
Прожектор по ИБ, выпуск №6 (08.10.2023). Записали очередной эпизод. В основном мы говорили про уязвимости прошлой недели.
Мы это:
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, смотрим статистику по просмотрам предыдущего выпуска
02:18 Саша вышел на работу в Positive Technologies и чем же он там будет заниматься
04:50 RCE без аутентификации в почтовом сервере Exim (CVE-2023–42115)
08:16 SSRF/RCE в TorchServe (CVE-2023–43654, CVE-2022–1471), ShellTorch
12:05 В Cisco Emergency Responder нашли root-овые учётки с захардкоженными паролями (CVE-2023–20101)
16:44 Новый криптографический протокол аутентификации OpenPubkey
17:56 EoP или обход аутентификации в Atlassian Confluence (CVE-2023–22515)
23:42 Грядет опасная уязвимость cURL и libcurl (CVE-2023–38545)
27:07 Новая bug bounty программа Минцифры
30:32 Система бронирования "Леонардо" вновь подверглась DDOS-атаке из-за рубежа
35:22 Экосистема Xiaomi вышла из строя по всей России
36:38 Qualys‑ы наресерчили EoP/LPE уязвимость во всех Linux-дистрибах, а конкретно в glibc (CVE-2023–4911)
39:19 XSpider‑у 25 лет. Ровно как и всему современному Vulnerability Management‑у. Обсуждаем в какую сторону развивается VM.
46:42 Прощание от Mr. X