Архив метки: Bitrix

Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM

1 комментарий

Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM. Записали новый эпизод с небольшим опозданием, но в усиленном составе:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику по просмотрам. Меньше 100 просмотров за неделю не набрали — печаль. 😔
02:33 Лев сходил на конференцию Норникеля "обратного типа", где ему подарили табличку, а также провёл бесплатную ПоИБэшечку
09:29 RCE и SQLi в F5 BIG-IP. "Не суй наружу свой TMUI"
12:34 Опрос "Что вы используете в качестве балансировщика нагрузки в вашей организации (в России)?"
19:13 Атаки на Госуслуги в Германии и России. У нас-то получше ситуация
20:23 Вайпилка для Con­flu­ence
25:35 RCE в Apache ActiveMQ
27:55 У Битрикс обнаружили 8 уязвимостей, в их числе RCE
31:14 Активность небезызвестного ботнета Mozzi ушла в небытие
32:34 Более 40 стран навсегда откажутся от уплаты выкупов хакерам-вымогателям
36:10 Мем недели: Решил выпускник ВУЗа выбрать, каким направлением ИБ он будет заниматься…
38:00 Аниме-новелла про Управление Уязвимостями? Обсуждаем, что бы это могла быть за игра, выбираем варианты на первом "скриншоте", приглашаем поучаствовать в разработке 😉
46:16 Скарлетт Йоханссон судится с разработчиками приложения, использовавшего ее голос без разрешения
49:50 Прощание от Максима Хараска и лучи добра для chaikae!

Подбил итоги сентября для англоязычного канала и блога

Добавить комментарий

Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tues­day: обратите внимание, что lib­webp CVE-2023–4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.

Hel­lo every­one! On the last day of Sep­tem­ber, I decid­ed to record anoth­er ret­ro­spec­tive episode on how my Vul­ner­a­bil­i­ty Man­age­ment month went.

Edu­ca­tion
00:09 BMSTU online cyber secu­ri­ty course
00:33 Pos­i­tive Tech­nolo­gies online Vul­ner­a­bil­i­ty Man­age­ment course
00:52 Bahasa Indone­sia

Russ­ian Pod­casts
01:20 Прожектор по ИБ ("Infor­ma­tion Secu­ri­ty Spot­light") pod­cast
01:47 КиберДуршлаг ("Cyber Colan­der") by Pos­i­tive Tech­nolo­gies

Main Job
01:57 Good­bye Tin­koff

Patch Tues­day
02:54 Sep­tem­ber Microsoft Patch Tues­day
03:11 Remote Code Exe­cu­tion – Microsoft Edge/libwebp (CVE-2023–4863), Mem­o­ry Cor­rup­tion – Microsoft Edge (CVE-2023–4352)
04:11 Remote Code Exe­cu­tion – Win­dows Themes (CVE-2023–38146) "The­me­Bleed"
04:48 Infor­ma­tion Dis­clo­sure (NTLM relay attack) – Microsoft Word (CVE-2023–36761)
05:19 Ele­va­tion of Priv­i­lege – Microsoft Stream­ing Ser­vice Proxy (CVE-2023–36802)
05:36 Remote Code Exe­cu­tions — Microsoft Exchange (CVE-2023–36744, CVE-2023–36745, CVE-2023–36756)

Oth­er Vul­ner­a­bil­i­ties
06:54 Bitrix CMS RCE (BDU:2023–05857)
07:32 RHEL/CentOS 7 can’t be detect­ed, can’t be fixed vul­ner­a­bil­i­ty (CVE-2022–1012)
08:09 Qualys TOP 20 vul­ner­a­bil­i­ties

Vul­ner­a­bil­i­ty Man­age­ment Mar­ket
09:06 For­rester and GigaOm VM Mar­ket reports
09:49 R‑Vision VM

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post

Прожектор по ИБ, выпуск №4 (24.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №4 (24.09.2023). Записали вчера очередной эпизод, состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

0:35 Как зашёл прошлый эпизод
2:08 Лев и Максим делятся впечатлениями от Kazan Dig­i­tal Week
7:06 На какие мероприятия по ИБ мы ходим
11:06 Приостановка сертификата ФСТЭК на Dr.Web Enter­prise Secu­ri­ty Suite
19:04 Cis­co покупает Splunk
25:59 Про RCE уязвимость BDU:2023–05857 в модулe land­ing CMS "1С-Битрикс: Управление сайтом".
30:02 Новые подробности инцидента с FDM и скрипт для детекта
32:21 Занятные моменты детектирования Lin­ux уязвимостей на примере CVE-2022–1012, RPM-based дистрибутивы и импортозамещение
44:02 Прощание от Mr. X

Про RCE уязвимость BDU:2023–05857 в модулe landing CMS "1С-Битрикс: Управление сайтом"

2 комментария

Про RCE уязвимость BDU:2023-05857 в модулe landing CMS 1С-Битрикс: Управление сайтом

Про RCE уязвимость BDU:2023–05857 в модулe land­ing CMS "1С-Битрикс: Управление сайтом".

1. СТРАШНО. Позволяет удаленному злоумышленнику "выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть". CVSS 10/10. Обновляйте модуль до 23.850.0 или отключайте.
2. В описании пишут "1С-Битрикс: Управление", без "сайтом". Видимо ошиблись. 🤷‍♂️ А коллеги из других каналов копипастят as is. 🙂
3. Где бюллетень вендора? Судя по другим уязвимостям, приводится ссылка только на страницу "История версий". В истории версий для модуля land­ing значится только "v23.850.0 2023-09-14 Критическое обновление безопасности, вносит улучшения в защиту модуля. Рекомендуется к немедленной установке". Если действительно так, то не круто. Бюллетени должны быть! Как и автоматическое обновление.
4. Часто начали говорить о БДУ-шках без ссылок на CVE, заметили? Идём к состоянию: у вас свои продукты/уязвимости, а у нас свои. Общее только open­source.

Невозможно автоматически обновлять CMSку! 😏

1 комментарий

Невозможно автоматически обновлять CMSку! 😏

Невозможно автоматически обновлять CMSку! 😏 Во всяком случае об этом пишет 1С-Битрикс в своём пресс-релизе.

"Не стоит повторять их путь — никто не обновит ваш сайт кроме вас. Вендор не может принудительно обновить сайт всех клиентов. Это невозможно. Ни технически, ни юридически. Доступ есть только у администратора на стороне владельца."

Ну не знаааю. Как я уже в прошлый раз писал, в том же Word­Press автоматические обновления работают вполне неплохо. 😉

Решения те же: либо выделяйте человека на обновления, либо пользуйтесь CMSкой, которая может сама безопасно обновляться (а значит вендор считает эту функциональность критичной и вкладывается в неё).

Про атаки на Битрикс и прочие CMS-ки

1 комментарий

Про атаки на Битрикс и прочие CMS-ки

Про атаки на Битрикс и прочие CMS-ки. Пошла волна обсуждений как же так получается, что сайты на Битриксе массово ломают, несмотря на доступность обновлений и бюллетени регуляторов. Основной проблемой видится отсутствие автоматического обновления CMS-ки или выделенного человека, который занимается обновлением.

Есть ли возможность автоматического обновления в CMS Битрикс? Я не пользователь Битрикса, поиском такую опцию не нашел. Нашел только запрос в разделе с идеями:

Автообновление сайта (08.11.2011). Сделать опциональную возможность автообновления сайта. Часть ошибок устраняются через обновления и хотелось бы чтобы при установке определенной опции производилось автоматическое обновление сайта.

Ответ (15.11.2011): Мы считаем что обновление — это достаточно ответственная процедура и требует контроля. Поэтому в ближайшее время вряд ли появится данный функционал.

Не знаю, может за 10+ лет что-то и поменялось. 🤷‍♂️ Если такую функциональность добавили, то нужно пользоваться.

Автообновление вещь хорошая, мой бложик периодически присылает мне сообщения на почту:

"Your site has updat­ed to Word­Press версия>. No fur­ther action is need­ed on your part".

Плагины также находятся в состоянии Auto-updates Enabled.

Конечно, это не защитит от уязвимости в плагине или в ядре, для которой ещё нет патча, но основную часть проблем с известными уязвимостями это закрывает.

А может что-то отъехать от обновлений? Может, но тут 2 момента:

1. Если сайт настолько критичный, что прекращение его работы приведет к серьезным последствиям, то может нужно отдельного человека выделить, который будет заниматься проверкой есть ли обновления, их тестированием и установкой?
2. Если вендор выпускает такие обновления, что при установке что-то регулярно отъезжает, может ну его нафиг такого вендора и его продукты?