Архив метки: CISAKEV

Не пора ли создать российский аналог CISA KEV?

Не пора ли создать российский аналог CISA KEV?

Не пора ли создать российский аналог CISA KEV? Я, конечно, не в курсе технических подробностей недавних инцидентов в крупных отечественных компаниях, но что-то подсказывает, что без эксплуатации известных критичных уязвимостей, незапатченных своевременно, там не обошлось.

Можно, конечно, говорить, что пострадавшие организации сами виноваты. Им дали базу уязвимостей, методику оценки критичности уязвимостей, руководство по построению VM-процесса. Могли бы делать, как написано, и эксплуатабельные уязвимости устранялись бы. Или, как минимум, могли бы обращать внимание на трендовые уязвимости от PT. Но, похоже, организации не тянут это без директивной стимуляции. 🤷‍♂️

Как CISA ставит федеральным агентствам США чёткие дедлайны по устранению конкретных особо критичных уязвимостей, эксплуатация которых была подтверждена, так и наши регуляторы могли бы ставить аналогичные дедлайны. Хотя бы для организаций, на которые распространяется 117-й приказ и для КИИ.

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday. В этот раз 470 уязвимостей, чуть меньше, чем в июне. Из них 291 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 SFB - Chromium (CVE-2025-6554)

Ещё для 36 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:

🔸 RCE - Redis (CVE-2025-32023), pgAdmin (CVE-2024-3116), Git (CVE-2025-48384)
🔸 EoP - Sudo (CVE-2025-32462, CVE-2025-32463)
🔸 PathTrav - Tar (CVE-2025-45582)
🔸 XSS - jQuery (CVE-2012-6708)
🔸 SFB - PHP (CVE-2025-1220)
🔸 DoS - LuaJIT (CVE-2024-25177), Linux Kernel (CVE-2025-38089)
🔸 MemCor - DjVuLibre (CVE-2025-53367)

🗒 Полный отчёт Vulristics

Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Июньский В тренде VM: уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip. Традиционная ежемесячная подборка. 🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 7 трендовых уязвимости:

🔻 Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)
🔻 Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)
🔻 Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)
🔻 Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)
🔻 Remote Code Execution - 7-Zip (BDU:2025-01793)

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475). Ошибка экранирования в модуле mod_rewrite приводит к удалённому выполнению кода или чтению произвольных файлов. Для эксплуатации не требуется аутентификация.

🔻 Версия Apache HTTP Server 2.4.60 с исправлением этой уязвимости вышла 1 июля 2024 года. Уязвимость была обнаружена исследователем Orange Tsai из компании DEVCORE. 9 августа 2024 года он опубликовал write-up и слайды с BH2024. С 18 августа 2024 года PoC эксплоита доступен на Github.

🔻29 апреля 2025 года стало известно, что уязвимость CVE-2024-38475 активно эксплуатируется для компрометации шлюзов безопасного доступа SonicWall SMA. WatchTowr Labs расписали в своём блоге, как уязвимость позволяет читать файл базы SQLite с активными сессиями. 1 мая уязвимость добавили в CISA KEV.

Естественно, эта уязвимость может "всплыть" далеко не только в решениях SonicWall. 😏

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую
KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую. Анализируют 50 публичных источников, включая CISA KEV и фиды люксембургского CERT CIRCL, а также данные собственных сенсоров. Помимо признаков эксплуатации вживую, на странице уязвимости отображаются данные из CVE Org, EPSS, упоминания в Интернете, правила детектирования в сканерах (например, nuclei), потенциальные публичные эксплоиты и прочее.

Фид KEVintel можно выгрузить в виде JSON или CSV. Удобно для интеграций, планирую приделать к Vulristics. 😉 Но, к сожалению, в выгрузках сейчас доступны не все данные, отображающиеся на странице уязвимости. 🤷‍♂️ На сайте они намекают на "pro features". Возможно расширенный фид и будет такой платной фичей.

Мартовский Linux Patch Wednesday

Мартовский Linux Patch Wednesday

Мартовский Linux Patch Wednesday. Всего уязвимостей: 1083. 😱 879 в Linux Kernel. 🤦‍♂️ Для двух уязвимостей есть признаки эксплуатации вживую:

🔻 Code Injection - GLPI (CVE-2022-35914). Старая уязвимость из CISA KEV, но впервые была исправлена 3 марта в Linux репозитории RedOS.
🔻 Memory Corruption - Safari (CVE-2025-24201). В Linux репозиториях исправляется в пакетах WebKitGTK.

19 уязвимостей с признаками наличия публичного эксплоита. Из них можно выделить:

🔸 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔸 Command Injection - SPIP (CVE-2024-8517)
🔸 Memory Corruption - Assimp (CVE-2025-2152)
🔸 Memory Corruption - libxml2 (CVE-2025-27113)

Для уязвимости Elevation of Privilege - Linux Kernel (CVE-2022-49264), своего эксплоита пока нет, но в описании обращают внимание на то, что уязвимость напоминает известный PwnKit (CVE-2021-4034).

🗒 Полный отчёт Vulristics

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости!

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости!

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости! Кейс с CVE-2024-21413, которую в CISA KEV добавили через год после появления эксплоита, отлично демонстрирует специфику CISA KEV. Были ли атаки с использованием этой уязвимости за прошедший год? Разумеется. 🙂 Их не могло не быть, учитывая наличие всех инструментов.

Но дело в том, что CISA абсолютно фиолетово даже на самую очевидную эксплуатабельность. 🤷‍♂️ Им важны ТОЛЬКО сигналы об успешных атаках. Что логично, они "known exploited", а не "exploitable". И эти сигналы должны быть либо от вендора (очевидно не любого, а то бы там одни уязвимости плагинов WordPress были бы 🙂), либо от расследователей атак (также не любых, а признаваемых CISA). Появился сигнал - добавили. А если б не появился, то и не добавили бы.

CISA KEV - очень специфическая выборка из всех эксплуатирующихся уязвимостей, отражающая своеобразное понимание того, какие уязвимости должны исправляться в федеральных агентствах США приоритетно. И только. 😉