Архив метки: Chromium

Linux Patch Wednesday: вот где этот майский пик!

Linux Patch Wednesday: вот где этот майский пик!

Lin­ux Patch Wednes­day: вот где этот майский пик! 🤦‍♂️ Также об июньском Lin­ux Patch Wednes­day. Помните, я в посте про майский Lin­ux Patch Wednes­day радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Lin­ux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024–1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json: "CVE-2024-1086": [
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vul­ris­tics отчёт для него только с использованием 2 источников: Vul­ners и БДУ. И даже из Vul­ners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–42013), я не буду подробно их разбирать — кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day (31.3 мб.)

Что касается июньского Lin­ux Patch Wedne­day, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Lin­ux Ker­nel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021–47489 с NVD Pub­lished Date 05/22/2024. 🤔 Что-то странное творит CNA Lin­ux Ker­nel.

🔻 С признаками эксплуатации вживую опять Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947), как и Microsoft Patch Tues­day. Судя по данным БДУ, Remote Code Exe­cu­tion — Libarchive (CVE-2024–26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Exe­cu­tion — Cac­ti (CVE-2024–25641) и Remote Code Exe­cu­tion — onnx/onnx frame­work (CVE-2024–5187).

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day (4.4 мб.)

upd. 30.06 Обновил отчёт.

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tues­day. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tues­day. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (MSMQ) (CVE-2024–30080). У этой уязвимости большой CVSS Score — 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Win­dows серверов с включенным MSMQ. Очень похоже на прошлогоднюю Queue­Jumper (CVE-2023–21554).
🔸 Denial of Ser­vice — DNSSEC (CVE-2023–50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tues­day такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2024–30091), Win­dows Ker­nel (CVE-2024–30088, CVE-2024–30099) и Win­dows Cloud Files Mini Fil­ter Dri­ver (CVE-2024–30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Con­cept эксплоиты.
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30101). Это уязвимость Microsoft Out­look. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Out­look, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Pre­view Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race con­di­tion.
🔸 Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–30103). Панель предварительного просмотра (Pre­view Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Wi-Fi Dri­ver (CVE-2024–30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Pre­view Pane) НЕ является вектором атаки.

🗒 Отчёт Vul­ris­tics по июньскому Microsoft Patch Tues­day

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday
Майский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch Wednesday

Майский Lin­ux Patch Wednes­day. В прошлом месяце мы совместно решили, что стоит ввести правило по Unknown датам с мая 2024. Что я, собственно, и реализовал. Теперь, если я вижу oval def­i­n­i­tion, для которого нет даты публикации (даты появления исправлений для соответствующих уязвимостей), то я номинально присваиваю сегодняшнюю дату. Таким образом 32406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15. Можно было бы предположить, что мы получим огромный пик для уязвимостей, которые "начали исправляться в мае" исходя из номинальной даты. А как вышло на самом деле?

На самом деле пик получился не очень большой. В майском Lin­ux Patch Wednes­day 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024–05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.

Как обычно, я сгенерировал отчёт Vul­ris­tics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Lin­ux Ker­nel. Это следствие того, что Lin­uх Ker­nel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.

На первом месте уязвимость из CISA KEV.

🔻Path Tra­ver­sal — Open­fire (CVE-2023–32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Lin­ux дистрибутивах её не фиксили? Похоже, что нет. В Vul­ners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Open­fire отсутствуют.

На втором месте уязвимость с признаком активной эксплуатации по Attack­erKB.

🔻 Path Tra­ver­sal — aio­http (CVE-2024–23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.

По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.

🔻 Mem­o­ry Cor­rup­tion — nghttp2 (CVE-2024–27983)
🔻 Mem­o­ry Cor­rup­tion — Chromi­um (CVE-2024–3832, CVE-2024–3833, CVE-2024–3834, CVE-2024–4671)
🔻 Mem­o­ry Cor­rup­tion — FreeRDP (CVE-2024–32041, CVE-2024–32458, CVE-2024–32459, CVE-2024–32460)
🔻 Mem­o­ry Cor­rup­tion — Mozil­la Fire­fox (CVE-2024–3855, CVE-2024–3856)
🔻 Secu­ri­ty Fea­ture Bypass — bluetooth_core_specification (CVE-2023–24023)
🔻 Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–3838)
🔻 Denial of Ser­vice — HTTP/2 (CVE-2023–45288)
🔻 Denial of Ser­vice — nghttp2 (CVE-2024–28182)
🔻 Incor­rect Cal­cu­la­tion — FreeRDP (CVE-2024–32040)

Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:

🔸 Secu­ri­ty Fea­ture Bypass — put­ty (CVE-2024–31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Exe­cu­tion — GNU C Library (CVE-2014–9984)
🔸 Remote Code Exe­cu­tion — Flat­pak (CVE-2024–32462)
🔸 Com­mand Injec­tion — aio­http (CVE-2024–23829)
🔸 Secu­ri­ty Fea­ture Bypass — FreeIPA (CVE-2024–1481)

Думаю, что в качестве улучшения в отчёте Vul­ris­tics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024–4671)

В новостях разгоняют про новую уязвимость в Chromium (CVE-2024-4671)

В новостях разгоняют про новую уязвимость в Chromi­um (CVE-2024–4671). Насколько я понимаю, в основном из-за строчки в бюллетене безопасности, в котором Google пишут, что им известно о существовании эксплоита для этой уязвимости ("exists in the wild"). Из этого делают вывод, что раз эксплоит есть, то видимо и уязвимость в атаках используется. Имхо, лучше всё же подождать подтвержденных инцидентов или попыток эксплуатации.

Тип уязвимости "use after free". Уязвимость нашли в компоненте Visu­als, который отвечает за рендеринг и отображение контента. То, что уязвимость может приводить к RCE вендор НЕ сообщает, но CIS и Hive Pro утверждают, что это возможно. 🤷‍♂️

Обновления для Chromium/Chrome:

🔹 124.0.6367.201/.202 (Mac/Windows)
🔹 124.0.6367.201 (Lin­ux)

Также стоит ждать обновлений для всех Chromi­um-based браузеров: Microsoft Edge, Vival­di, Brave, Opera, Yan­dex Brows­er и т.д. И лучше ставить в настройках галку автообновления (если вы доверяете вендору).

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday
Сгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Сгенерил отчёт Vul­ris­tics по апрельскому Lin­ux Patch Wednes­day. За прошедший месяц Lin­ux-вендоры начали выпускать исправления для рекордного количества уязвимостей — 348. Есть признаки эксплуатации вживую для 7 уязвимостей (данные об инцидентах из БДУ ФСТЭК). Ещё для 165 есть ссылка на эксплоит или признак наличия публичного/приватного эксплоита.

Начнём с 7 уязвимостей с признаком активной эксплуатации вживую и эксплоитами:

🔻 В ТОП‑е, внезапно, январская трендовая уязвимость Authen­ti­ca­tion Bypass — Jenk­ins (CVE-2024–23897). Насколько я понимаю, обычно Lin­ux-дистрибутивы не включают пакеты Jenk­ins в официальные репозитарии и, соответственно, не добавляют детекты уязвимостей Jenk­ins в свой OVAL-контент. В отличие от отечественного RedOS. Поэтому самый ранний таймстемп исправления этой уязвимости именно у RedOS.

🔻 2 RCE уязвимости. Самая интересная это Remote Code Exe­cu­tion — Exim (CVE-2023–42118). Когда я выпускал отчёт, я специально не учитывал описание уязвимости и продукты из БДУ (флаги –bdu-use-prod­uct-names-flag, –bdu-use-vul­ner­a­bil­i­ty-descrip­tions-flag). Иначе это привело бы к тому, что часть отчёта была бы на английском, а часть на русском. Но оказалось, что для этой уязвимости адекватное описание есть пока только в БДУ. 🤷‍♂️ К этой уязвимости нужно присмотреться, т.к. Exim является достаточно популярным почтовым сервером. Вторая RCE уязвимость браузерная, Remote Code Exe­cu­tion — Safari (CVE-2023–42950).

🔻 2 DoS уязвимости. Denial of Ser­vice — nghttp2/Apache HTTP Serv­er (CVE-2024–27316) и Denial of Ser­vice — Apache Traf­fic Serv­er (CVE-2024–31309). Последняя в отчёте классифицируется как Secu­ri­ty Fea­ture Bypass, но это из-за некорректного CWE в NVD (CWE-20 — Improp­er Input Val­i­da­tion)

🔻 2 браузерные Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–2628, CVE-2024–2630)

Из уязвимостей, для которых пока есть только признак наличия эксплоита, можно обратить внимания на следующее:

🔸 Большое количество RCE уязвимостей (71). Большая часть из них в продукте gtk­wave. Это программа просмотра файлов VCD (Val­ue Change Dump, дамп изменения значения), которые обычно создаются симуляторами цифровых схем. Выглядят опасными уязвимости Remote Code Exe­cu­tion — Cac­ti (CVE-2023–49084, CVE-2023–49085), это решения для мониторинга серверов и сетевых устройств.

🔸 Secu­ri­ty Fea­ture Bypass — Send­mail (CVE-2023–51765). Позволяет внедрить сообщения электронной почты с поддельным адресом MAIL FROM.

🔸 Пачка Cross Site Script­ing в Medi­aWi­ki, Cac­ti, Grafana, Nextcloud.

В общем, в этот раз аж глаза разбегаются. 🤩

🗒 Апрельский Lin­ux Patch Wednes­day

После продолжительного перерыва выпустил англоязычную видяшку и блогопост

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vul­ris­tics. Во вторую — смотрю какие были интересные уязвимости в Microsoft Patch Tues­day, Lin­ux Patch Wednes­day и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tues­day, для которых за последние 3 месяца появились PoC‑и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Lin­ux Patch Wednes­day за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

Novem­ber 2023 – Jan­u­ary 2024: New Vul­ris­tics Fea­tures, 3 Months of Microsoft Patch Tues­days and Lin­ux Patch Wednes­days, Year 2023 in Review

Hel­lo every­one! It has been 3 months since the last episode. I spent most of this time improv­ing my Vul­ris­tics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tues­days vul­ner­a­bil­i­ties, Lin­ux Patch Wednes­days vul­ner­a­bil­i­ties and some oth­er inter­est­ing vul­ner­a­bil­i­ties that have been released or updat­ed in the last 3 months. Final­ly, I’d like to end this episode with a reflec­tion on how my 2023 went and what I’d like to do in 2024.

New Vul­ris­tics Fea­tures
00:32 Vul­ris­tics JSON input and out­put
02:37 CPE-based vul­ner­a­ble prod­uct names detec­tion
04:16 CWE-based vul­ner­a­bil­i­ty type detec­tion

3 Months of Vul­ner­a­bil­i­ties
07:03 Lin­ux Patch Wednes­day
11:22 Microsoft Patch Tues­days
13:59 Oth­er Vul­ner­a­bil­i­ties

16:14 About the results of 2023
18:45 What about 2024?

📘 Blog­post
🎞 VKVideo

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Смотрим статистику по прошлому эпизоду
03:26 Максим сходил на Технологии SOC
05:45 Финансирование государственных ИБ систем
08:52 Интересная уязвимость раскрытия данных в own­Cloud (CVE-2023–49103)
11:59 Уязвимость Chrome в распространенной библиотеке Skia (CVE-2023–6345).
15:25 «Яндекс.Еда» заплатит по 5 тысяч рублей двум пострадавшим от утечки данных
19:00 Персональный заход: аферисты обновили схему для доступа к аккаунтам на «Госуслугах»
20:44 Легализации «белых» хакеров
23:22 Прощание от Mr.X