Архив метки: Citrix

Размышляю о детектировании имени уязвимого продукта в Vulristics

1 комментарий

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vul­ris­tics. Коллеги из PT ESC выложили крутую статью про атаки группировки (Ex)Cobalt на российские компании. Там, среди прочего, упоминается, что злоумышленники эксплуатируют уязвимости CVE-2023–38831 и CVE-2023–3519. Забил их в Vul­ris­tics.

🔻 Win­RAR-ную уязвимость CVE-2023–38831 я уже тут подсвечивал и по ней всё более-менее неплохо продетектилось.
🔻А для уязвимости Cit­rix CVE-2023–3519 Vul­ris­tics не смог продетектировать уязвимый продукт по описанию уязвимости. Потому что всё описание в NVD это: "Unau­then­ti­cat­ed remote code exe­cu­tion". И всё. 😄 NVD не перестаёт удивлять.

Чем такое скомпенсировать?

🔹 Брать название продукта и тип уязвимости из CISA KEV. Решение только для ~1000 уязвимостей и +1 коннектор. Такое себе.
🔹 Детектить уязвимый продукт на основе cpe. ⬅️ склоняюсь к этому, т.к. можно разом получить черновые детекты для множества продуктов из cpe dic­tio­nary.

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Добавить комментарий

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vul­ris­tics, запустил Lin­ux Patch Wednes­day (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tues­day, разобрался с кучей других уязвимостей и даже тему с обучением VM‑у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

Hel­lo every­one! Octo­ber was an inter­est­ing and busy month for me. I start­ed a new job, worked on my open source Vul­ris­tics project, and ana­lyzed vul­ner­a­bil­i­ties using it. Espe­cial­ly Lin­ux vul­ner­a­bil­i­ties as part of my new Lin­ux Patch Wednes­day project. And, of course, ana­lyzed Microsoft Patch Tues­day as well. In addi­tion, at the end of Octo­ber I was a guest lec­tur­er at MIPT/PhysTech uni­ver­si­ty.

00:29 Back to Pos­i­tive Tech­nolo­gies
00:59 Vul­ris­tics NVD Data Source
02:20 Vul­ris­tics Cus­tom Data Source
03:22 Lin­ux Patch Wednes­day Project
04:16 Lin­ux Patch Wednes­day Octo­ber 2023
05:49 Microsoft Patch Tues­day Octo­ber 2023
09:12 Oth­er Vul­ner­a­bil­i­ties Octo­ber 2023
10:14 Mier­com released a report "Vul­ner­a­bil­i­ty Man­age­ment Com­pet­i­tive Assess­ment"
10:54 Vul­ners pre­sent­ed AI Score v2
11:31 My Phys­Tech Lec­ture

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post

А как у нас дела с балансировщиками?

1 комментарий

А как у нас дела с балансировщиками? В последнем Прожекторе по ИБ я высказал предположение, что NetScaler ADC/Citrix ADC уже для России неактуален, т.к. их и так мало было, а у кого было — те уже мигрировали. На что Лев Палей мне возразил, что решения Cit­rix для балансировки были очень популярны и наверняка ещё много где есть. Давайте попробуем навести какую-то статистику по балансироващикам нагрузки в России. Опять же в контексте уязвимости F5 BIG-IP интересно.

Накинули командой Прожектора такие опции:

- Cit­rix NetScaler ADC
- F5 BIG-IP
- VMware NSX Advanced Load Bal­ancer
- Microsoft NLBS
- Nginx Plus
- Nginx OSS
- Ang­ie PRO / Ang­ie OSS (вместе, т.к. у Телеграмма ограничение по количеству опций 🤷‍♂️)
- Другое иностранное решение
- Другое отечественное решение

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек — нормально
01:26 Обсуждаем мемный ролик про Priv­i­lege Esca­la­tion в Cis­co IOS XE (CVE-2023–20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Cit­rix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gate­way (CVE-2023–4966) и актуальные уязвимости VMware: RCE в vCen­ter Serv­er (CVE-2023–34048) и обход аутентификации в Aria Oper­a­tions for Logs (CVE-2023–34051). Насколько в России популярны NetScaler ADC и Aria Oper­a­tions? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Mier­com выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" — сканеры детектируют не все существующие уязвимости
24:36 Vul­ners представили AI Score v2 — предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели — кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023–4966)

2 комментария

Про уязвимость Citrix Bleed NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

Про уязвимость "Cit­rix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gate­way (CVE-2023–4966). Обновления вышли 10 октября, вендор сразу заявил об эксплуатации вживую (перехват сессии, ses­sion hijack­ing). Вчера Asset­note выпустили подробный обзор этой уязвимости и выложили PoC для утечки памяти. Так что эксплуатаций должно стать ещё больше.

Уязвимы продукты:

NetScaler ADC and NetScaler Gate­way 14.1 before 14.1–8.50
NetScaler ADC and NetScaler Gate­way 13.1 before 13.1–49.15
NetScaler ADC and NetScaler Gate­way 13.0 before 13.0–92.19
NetScaler ADC 13.1‑FIPS before 13.1–37.164
NetScaler ADC 12.1‑FIPS before 12.1–55.300
NetScaler ADC 12.1‑NDcPP before 12.1–55.300
NetScaler ADC и NetScaler Gate­way ver­sion 12.1

В конфигурациях

Gate­way (VPN vir­tu­al serv­er, ICA Proxy, CVPN, RDP Proxy)
и
AAA vir­tu­al serv­er

Если у вас эти продукты ещё используются, обновляйтесь и импортозамещайтесь.