Архив метки: Barracuda

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Добавить комментарий

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies. В прошедшем году к трендовым отнесли 74 уязвимости (для сравнения масштабов - всего в NVD за 2024 год добавили чуть более 40000).

Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.

Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.

При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.

В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).

4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.

34 трендовых уязвимостей касаются продуктов Microsoft (45 %).

🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.

🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).

2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).

Другие группы уязвимостей

🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)

🗒️ Полный отчёт Vulristics

🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"

Добрался наконец до итогов 2023 года от Qualys Threat Research Unit

3 комментария

Добрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research Unit

Добрался наконец до итогов 2023 года от Qualys Threat Research Unit. Пост вышел 19 декабря и обновлен в последний раз 4 января.

1. Основная группа уязвимостей, о которой они рассказывают это "уязвимости с высоким риском и боевым (weaponized) эксплоитом". Таких уязвимостей они выделили в 2023 году 206.
🔹 Подчеркивают, что количество таких уязвимостей значительно меньше количества уязвимостей с PoC-ом (7033) и тем более общего количества CVE уязвимостей (26447).
🔹 Подчеркивают, что только примерно половина (109) таких уязвимостей была в CISA KEV. На другие 97 тоже необходимо обращать внимание. Причина понятна: тормоза в CISA KEV.
🔹 Утверждают, что 25% таких уязвимостей начали эксплуатировать вживую в первый день, а 75% за 19 дней. Поэтому фиксить такие уязвимости нужно не быстро, а очень быстро.

2. Все эти 206 уязвимостей не выкладывают. Поэтому к полноте или избыточности списка не прикопаешься. 😉
🔹 Указывают тот же ТОП-10 уязвимостей, что и в конце сентября:

CVE-2023-0669
CVE-2023-20887
CVE-2023-22952
CVE-2023-23397
CVE-2023-24880
CVE-2023-27350
CVE-2023-28252
CVE-2023-2868
CVE-2023-29059
CVE-2023-34362

Добавив к ним ещё 2:

CVE-2023-0699
CVE-2023-35036

Учитывая, что CVE-2023-0699 упоминается в контексте использования группировкой LockBit, а LockBit как раз использовали CVE-2023-0669, то выглядит это как ошибка-опечатка, но судить не берусь. 😉
🔹 Для уязвимостей указывают группы софтов:

Operating System (57)
Networking Infrastructure (40)
Other (23)
Continuous Integration Software (16)
Desktop Application (13)
Enterprise Software (10)
Web Browser (8)
Management Software (7)
Content Management System (5)

🔹 Также указывают типы уязвимостей: 

Security Feature Bypass
Remote Code Execution
Privilege Escalation
Input Validation and Parsing
Buffer Manipulation

Количество уязвимостей каждого типа можно оценить только по графику: 60 RCE-шек, остальных типов от 14 до 20.

3. Также они смапили эти 206 уязвимостей на MITRE ATT&CK Tactics & Techniques.

Exploitation of Remote Services T1210 (Enterprise)
Exploitation of Remote Services T0866 (ICS)
Exploit Public Facing Application T1190 (Enterprise)
Exploit Public Facing Application T0819 (ICS)
Exploitation for Privilege Escalation T1068/T1404 (Enterprise/Mobile)
Other T1499.004, T1133, T1189, T0890, T1204.001, T1428, T1203

Получили, что 70% касаются так или иначе эксплуатации сервисов (T1210, T0866, T1190, T0819). Ещё 12% подъема привилегий (T1068/T1404).

4. Основные тезисы в статье:
🔹 исправляйте критичные эксплуатабельные уязвимости как можно быстрее
🔹 детектируйте уязвимости не только на хостах с агентами, но также используйте активное сканирование и анализ трафика
🔹 используйте продвинутые способы приоритизации уязвимостей на нейронках (Qualys TruRisk), а если денег нет, то учитывайте CISA KEV, EPSS и наличие эксплоита

Анализ уязвимостей с помощью Vulristics

К сожалению, 206 заветных уязвимостей не показали, поэтому анализировать толком нечего. 🤷‍♂️ Но по 12 указанным CVE-шкам я выпустил отчёт Vulristics:

🗒 Qualys 2023 Threat Landscape Year in Review 12 CVEs

Похожи эти уязвимости на самые ТОП-овые уязвимости 2023 года?

Если говорить применительно к России, то лишь в самой небольшой части. Потому что в наших широтах PaperCut NG, GoAnywhere MFT, MOVEit Transfer, Barracuda ESG и SugarCRM распространены не особо. Но это имхо. 🙂

Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта

1 комментарий

Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продуктаКогда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта

Когда у IT (а особенно у ИБ) вендора вскрывается серьезная проблема с безопасностью продукта, обожаю зайти к ним на сайт и почитать маркетинговое описание этого продукта. 😏 На этот раз Barracuda ESG (Email Security Gateway).

"Шлюз безопасности электронной почты Barracuda защищает от входящих вредоносных программ, спама, фишинга и атак типа «отказ в обслуживании» и гарантирует, что атаки через систему электронной почты не повлияют на продуктивность бизнеса". 👍

🔹23 мая написали, что в апплаенсах Barracuda ESG нашли RCE уязвимость CVE-2023-2868 и применили патчи.
🔹30 мая написали, что там не просто уязвимость, а активные атаки и малвари. Об этом знали ещё 18 мая, но клиентам не написали. "Your trust is important to us", ага. 😄

🔹9 июня написали, что оказывается патчи проблему не решают. "Затронутые апплаенсы ESG должны быть немедленно заменены независимо от патч-левела". 🤷‍♂️😜

Rapid7 нашли в интернете по баннеру SMTP сервиса ~11,000 таких апплаенсов.