Сегодня покрутил идею SOVA - проекта упрощённого аналога OVAL, о котором я писал в октябре. В итоге набросал тестовый дефинишен, описывающий проверку отключения аутентификации по паролю на SSH-сервере.
Как можно видеть, здесь комбинация двух тестов, выполняющих bash-скрипты, статусы которых объединяются по И. Всё сразу наглядно читается и, как я подозреваю, такие дефинишены будет очень просто генерить нейронкой по тексту из руководств по харденингу а-ля CIS Benchmarks. 😉
Проект завёл на платформе GitVerse от Сбера. Буду потихоньку его вайб-кодить в свободное время. 🙂 GitVerse, кстати, вполне норм. На мой неискушённый взгляд, ничем GitHub-у не уступает, можно пользоваться. 😉
Касперские выпустили перед праздникамиинтересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей. Речь идёт о троянах Webrat. Поначалу злодеи распространяли их под видом взломанного ПО и читов к онлайн-играм, а с сентября 2025 начали экспериментировать с GitHub репозитариями, якобы содержащими эксплоиты для уязвимостей CVE-2025-59295 (Buffer Overflow в Internet Explorer), CVE-2025-10294 (AuthBypass в плагине WordPress "The OwnID Passwordless Login") и CVE-2025-59230 (EoP в Windows Remote Access Connection Manager).
Для меня наличие публичных эксплоитов - один из ключевых факторов при приоритизации уязвимостей. GitHub-репы с эксплоитами приходится отсматривать регулярно. Фейков различной зловредности там хватает. С развитием AI-инструментов составить убедительную страницу с описанием эксплоита и чем-то похожим на его код становится делом нескольких минут. 🤷♂️ Чем дальше, тем больше такого будет.
Мне не нравится, когда опенсурс возводят в культ и представляют как волшебное решение всех проблем, а в особенности проблем с кибербезопасностью. 😬 На самом деле опенсурс это в основном про хаос, безответственность и огромное количество неблагодарной и, как правило, неоплачиваемой работы. 🤷♂️
Возьмём библиотеку expr-eval из предыдущего поста. У библиотеки 800k скачиваний в неделю, она используется в куче проектов (только в npm 259 зависящих пакетов). При этом когда был последний коммит в проект? 4 года назад. 🫠 Вот исследователи нашли там критичную уязвимость, принесли фикс мейнтейнеру Matthew Crumley на GitHub, а достучаться до него не могут. Последняя активность на гитхабе в 2023 году. 🤷♂️ Соответственно, нет и вполне вероятно, что не будет фикса в этой библиотеке, которая остаётся доступной для использования.
Самого Matthew Crumley в этом нельзя винить, он, так-то, никому и ничего не должен. 😉 И надеюсь, что у него всё хорошо и просто человеку надоело. 🙏
К сожалению, Telegram снова скинул запоротую запись конференции. 😔 Видео запись с шипением и выпадением аудио. Аудио запись убыстренная и с какими-то рассинхронами, так что в диалогах все звучат одновременно, как будто перебивают друг друга. В итоге начало эпизода кое-как нарезал. 🤷♂️ С 04:16 качество аудио становится нормальным, с 08:46 появляется видео. Приношу извинения от нашей дружной команды. Очень жаль, что начало получилось таким смазанным, там было весело. В следующий раз постараемся дублировать запись на нашей стороне, хотя бы в аудио. 🎙Имейте в виду, что Telegram может так косячить.
00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск всего 52 просмотра набрал. Очередной анти-рекорд, но мы не сдаёмся. 00:13 RCE уязвимость в Apache Struts2 (CVE-2023-50164). 00:49 Декабрьский Microsoft Patch Tuesday 02:18 Анализ восприятия инцидентов ИБ от Hive Systems 04:21 Чат с Copilot на базе GitHub 08:46 MITRE и модель угроз EMB3D 12:05 Угораем со статистики по инцидентам 18:13 В Москве запретили использование QR-кодов на билбордах 20:19 Мем про корпоративные новогодние подарки, обсуждаем какие нам нравятся 26:44 Мем про то, что Касперский спалил сам себя в рамках своей борьбы со сбором данных 28:19 ГРЧЦ закручивает гайки: ботам OpenAI могут закрыть доступ к Рунету 31:04 Прощание от Mr.X
Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tuesday. 🤷♂️🤦♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tuesday. Так должно быть поадекватнее и повеселее. 🙂
Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂 ___
Hello everyone! This month I decided NOT to make an episode completely dedicated to Microsoft Patch Tuesday. Instead, this episode will be an answer to the question of how my Vulnerability Management month went. A retrospection of some kind.
GitHub exploits and Vulristics 00:44 PoC in Github 02:19 Vulristics vulners-use-github-exploits-flag
VM vendors updates 04:39 Qualys First-Party Application Risk Detection and Remediation 06:18 Tenable ExposureAI 07:23 SC Awards and Rapid7
Vulnerabilities 09:04 Anglo-Saxon vulnerability lists AA23-215A 12:32 August Microsoft Patch Tuesday 14:40 WinRAR Extension Spoofing (CVE-2023-38831) 15:16 Juniper RCE (CVE-2023-36844)
Эксплойт из GitHub-а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА!
Вот, например, Command Injection - SAP NetWeaver (CVE-2022-22536), которая также входит в недавний расширенный англосаксонский список. Видим, что для этой уязвимости эксплойты есть только на гитхабе. И, судя по описанию, они валидные. А если мы выпустим отчёт Vulristics с --vulners-use-github-exploits-flag "False", то мы эту информацию потеряем. Так что имейте в виду и используйте опцию с осторожностью. 😉
Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics. Для "громких" уязвимостей, например для Zerologon (CVE-2020-1472), в отчёте бывает слишком много ссылок на GitHub, большая часть из которых с эксплойтами не связана. А автоматически понять где репозитарии с эксплойтом, а где какая-то нерелевантная ерунда, весьма сложно. Да и, как правило, не особо и нужно. Реально работающий эксплойт скорее всего попадёт в специализированные сплойт-паки, хоть и с некоторой задержкой.
Поэтому, думаю у пользователей Vulristics должна быть возможность выпустить и отчёт, содержащий максимум информации по эксплойтам (пусть и несколько замусоренный), и отчёт только с учётом сплойт-паков.
Я добавил параметр --vulners-use-github-exploits-flag, который может принимать значение либо True либо False. По умолчанию значение True.
Также добавил [источник] ссылки.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
