Архив метки: Citrix

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vulristics. Коллеги из PT ESC выложили крутую статью про атаки группировки (Ex)Cobalt на российские компании. Там, среди прочего, упоминается, что злоумышленники эксплуатируют уязвимости CVE-2023-38831 и CVE-2023-3519. Забил их в Vulristics.

🔻 WinRAR-ную уязвимость CVE-2023-38831 я уже тут подсвечивал и по ней всё более-менее неплохо продетектилось.
🔻А для уязвимости Citrix CVE-2023-3519 Vulristics не смог продетектировать уязвимый продукт по описанию уязвимости. Потому что всё описание в NVD это: "Unauthenticated remote code execution". И всё. 😄 NVD не перестаёт удивлять.

Чем такое скомпенсировать?

🔹 Брать название продукта и тип уязвимости из CISA KEV. Решение только для ~1000 уязвимостей и +1 коннектор. Такое себе.
🔹 Детектить уязвимый продукт на основе cpe. ⬅️ склоняюсь к этому, т.к. можно разом получить черновые детекты для множества продуктов из cpe dictionary.

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM-у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

---

Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.

00:29 Back to Positive Technologies
00:59 Vulristics NVD Data Source
02:20 Vulristics Custom Data Source
03:22 Linux Patch Wednesday Project
04:16 Linux Patch Wednesday October 2023
05:49 Microsoft Patch Tuesday October 2023
09:12 Other Vulnerabilities October 2023
10:14 Miercom released a report "Vulnerability Management Competitive Assessment"
10:54 Vulners presented AI Score v2
11:31 My PhysTech Lecture

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

А как у нас дела с балансировщиками?

А как у нас дела с балансировщиками? В последнем Прожекторе по ИБ я высказал предположение, что NetScaler ADC/Citrix ADC уже для России неактуален, т.к. их и так мало было, а у кого было - те уже мигрировали. На что Лев Палей мне возразил, что решения Citrix для балансировки были очень популярны и наверняка ещё много где есть. Давайте попробуем навести какую-то статистику по балансироващикам нагрузки в России. Опять же в контексте уязвимости F5 BIG-IP интересно.

Накинули командой Прожектора такие опции:

- Citrix NetScaler ADC
- F5 BIG-IP
- VMware NSX Advanced Load Balancer
- Microsoft NLBS
- Nginx Plus
- Nginx OSS
- Angie PRO / Angie OSS (вместе, т.к. у Телеграмма ограничение по количеству опций 🤷‍♂️)
- Другое иностранное решение
- Другое отечественное решение

Прожектор по ИБ, выпуск №9 (30.10.2023)

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек - нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023-20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023-4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" - сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 - предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели - кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

Про уязвимость Citrix Bleed NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966). Обновления вышли 10 октября, вендор сразу заявил об эксплуатации вживую (перехват сессии, session hijacking). Вчера Assetnote выпустили подробный обзор этой уязвимости и выложили PoC для утечки памяти. Так что эксплуатаций должно стать ещё больше.

Уязвимы продукты:

NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300
NetScaler ADC и NetScaler Gateway version 12.1

В конфигурациях

Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy)
и
AAA virtual server

Если у вас эти продукты ещё используются, обновляйтесь и импортозамещайтесь.