Архив метки: disclosure

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать. Главная проблема в работе с уязвимостями - это НЕ сами уязвимости. Это необходимость постоянно общаться с людьми, которые этого общения не хотят и которым ты не нравишься. 🫩 Это актуально и при пушинге устранения уязвимостей в инфраструктуре, и при сдаче-приёмке уязвимостей, найденных в ходе багбаунти.

Поэтому я сторонник того, чтобы неприятное общение максимально сокращать и формализовывать. Игры в "докажи-покажи" отнимают массу сил и времени, а когда общение неизбежно заходит в тупик, обе стороны всё равно начинают действовать формально. 🤷‍♂️ Так почему бы не поступать так с самого начала? 😏

➡️ В качестве примера рекомендую ознакомиться с эпичной историей, как Игорь Агиевич сдавал уязвимость в блокчейне Hyperledger Fabric (CVE-2024-45244). Имхо, вместо общения в такой ситуации было бы достаточно скинуть вендору ресёрч и PoC, выждать 3 месяца, зарегать CVE и, без особых рефлексией, сделать full disclosure. 🤷‍♂️😈

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM.

🔹 За 2022–2023 годы PT SWARM выявили более 250 уязвимостей (70% уровня high и critical) в ПО 84 вендоров.
🔹 Половина вендоров из США, остальные из Китая (14%), Великобритании (13%), России (13%) и Франции (10%).
🔹 В процессе координированного раскрытия уязвимостей участвуют исследователи, вендор, регуляторы, организации-посредники (для общения с вендором или получения идентификаторов уязвимостей).
🔹 Если вендор не выходит на связь и не устраняет уязвимость, исследователи информируют государственные и международные организации (регуляторы, CERT-ы, базы уязвимостей) и влияют на вендора через них.
🔹 В желательный интервал по выходу вендора на связь от 1 дня до недели укладываются 57% вендоров. 16% вообще не отвечают.
🔹 В желательный интервал по выпускую патча для уязвимости от 1 дня до 2 недель укладываются 14% вендоров. 49% вендоров требуется на это три месяца.

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

Прожектор по ИБ, выпуск №14 (02.12.2023): 5000 р компенсации за утечку ПД и легализация белых шляп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Смотрим статистику по прошлому эпизоду
03:26 Максим сходил на Технологии SOC
05:45 Финансирование государственных ИБ систем
08:52 Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)
11:59 Уязвимость Chrome в распространенной библиотеке Skia (CVE-2023-6345).
15:25 «Яндекс.Еда» заплатит по 5 тысяч рублей двум пострадавшим от утечки данных
19:00 Персональный заход: аферисты обновили схему для доступа к аккаунтам на «Госуслугах»
20:44 Легализации «белых» хакеров
23:22 Прощание от Mr.X

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103). А точнее в плагине-приложении graphapi, благодаря которому становится доступен URL:

"owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"

При доступе к этому URL-адресу раскрываются детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера. В контейнерных развертываниях эти переменные среды могут включать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. 🤷‍♂️

Есть немудрёный PoC. 🙂 Если у вас ownCloud - проверяйтесь, обновляйтесь, меняйте креды.