Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞
По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.
Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.
Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.
Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab‑а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.
Вся кухня сейчас выглядит вот так:
1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab‑а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Analytics.
4️⃣ Собираю итоговый текст для Хабра.
В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉
На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vulristics по ним. Всего 5 уязвимостей.
🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: AuthBypass — TeamCity (CVE-2024–27198), RCE — FortiClientEMS (CVE-2023–48788), EoP — Windows Kernel (CVE-2024–21338).
🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoP — Windows CLFS Driver (CVE-2023–36424), RCE — Microsoft Outlook (CVE-2024–21378).
Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇
Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023–48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую. Write-up c PoC-ом выпустили исследователи из Horizon3AI.
"FortiClient Enterprise Management Server — централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств) на все подключенные к нему рабочие станции."
🇷🇺 В России это должен быть редкий зверь, но, судя по статьям на русском, где-то его всё-таки внедряли.
📊 Согласно ShadowServer, в Интернет торчит немного уязвимых серверов. Всего 130, больше всего в США (30) и Китае (11). Но возможно это ещё неполные результаты. Судя по графикам, они начали детектить эту уязвимость только с 22 марта.
На днях прошла новость об RCE уязвимости в FortiOS и FortiProxy (CVE-2023–42789). Она "позволяет злоумышленнику выполнять несанкционированный код или команды с помощью специально созданных HTTP-запросов". Уязвимость эксплуатируется в captive portal, который, по идее, не должен быть доступен из Интернет. Поэтому в бюллетене Fortinet пишут про "inside attacker". Признаков эксплуатации вживую пока нет. Вендор отмечает, что уязвимость найдена исследователями Fortinet Product Security Team.
На GitHub есть репозиторий якобы с PoC-ом, но достоверность его сомнительная. Выложенный код только реализует проверку доступности портала, пейлоада там нет. Репозиторий создал пользователь без какой-либо репутации и предыдущей активности. Полный код эксплоита он предлагает приобрести за ~$262. Выглядит это как скам, но если вдруг это действительно рабочий эксплоит, то вполне вероятно, что он быстро утечет в паблик.
В любом случае стоит обновляться/импортозамещаться.
Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab‑а. 🤩 Рубрика "В тренде VM" начинается с 16:05. 🎞
По контенту это февральский дайджест трендовых уязвимостей, но поданный в более живом формате: простыми фразами, со всякими прикольными перебивками, мемасиками, шутейками и прочим. Как это сейчас принято в эдьютейнменте. 😏 Уровень продакшена у команды SecLab News, конечно, потрясный. Круче я пока не видел. Очень профессиональные ребята, работать одно удовольствие. 🔥
В общем, пробный шар пущен — дальнейшая судьба рубрики (а может и не только рубрики 😉) зависит от вас.
➡️ Перейдите, пожалуйста, по ссылке, посмотрите выпуск, поставьте лайк, оставьте комментарий по поводу рубрики. Что понравилось, что можно было бы и получше сделать.
Прям очень ждём ваш фидбек. 🫠
Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).
———
February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW
Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.
My Open Source projects
00:14 Vulremi — a simple vulnerability remediation utility
00:55 Vuldetta — an API for detecting vulnerabilities based on a list of Linux packages
Positive Technologies
01:22 Two new video modules for the relaunch of the Vulnerability Management training course
02:00 Monthly digests of trending vulnerabilities
Vulnerabilities
02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024–21887, CVE-2023–46805, CVE-2024–21893)
03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024–21762)
04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020–3259) is used by the Akira ransomware
04:55 February Microsoft Patch Tuesday
07:14 February Linux Patch Wednesday