Github | Александр В. Леонов

Ещё про PoC in GitHub. Вот я написал, что CVE-2023-36884 там есть. Но если присматриваться, то всё не так радужно. 😐 Давайте разберём.

❌ Maxwitat/CVE-2023-36884-Scripts-for-Intune-Remediation-SCCM-Compliance-Baseline - скрипт для ремедиации
❌ deepinstinct/Storm0978-RomCom-Campaign - IOC-и
❌ zerosorai/CVE-2023-36884 - утилита для ремедиации
❌ tarraschk/CVE-2023-36884-Checker - скрипт для детектирования уязвимости
❌ or2me/CVE-2023-36884_patcher - утилита для ремедиации
❌ ToddMaxey/CVE-2023-36884 - скрипт для ремедиации
❌ ridsoliveira/Fix-CVE-2023-36884 - скрипт для ремедиации
❌ raresteak/CVE-2023-36884 - информация для ремедиации

Пока нет там никакого POC-а. 🤷‍♂️

Т.е. "PoC in GitHub" было бы уместнее называть "CVE mentions in GitHub". Упоминания CVE-шек он подсветит, но контекст, разумеется, не покажет. Дальше только ручной анализ или какая-то хитрая автоматизированная классификация находок.

Посмотрел на гитхабе репозиторий PoC in GitHub. Там содержатся результаты автоматизированного поиска эксплоитов для CVE уязвимостей на GitHub. В настоящий момент там PoC-и для 4484 CVE идентификаторов. Выборочно проверил, вроде ок. Например, RCE уязвимость Office (CVE-2023-36884) из последнего Patch Tuesday там есть.

Распределение по годам:

CVE-1999-*: 4
CVE-2000-*: 4
CVE-2001-*: 10
CVE-2002-*: 14
CVE-2003-*: 6
CVE-2004-*: 9
CVE-2005-*: 7
CVE-2006-*: 13
CVE-2007-*: 18
CVE-2008-*: 21
CVE-2009-*: 22
CVE-2010-*: 25
CVE-2011-*: 27
CVE-2012-*: 39
CVE-2013-*: 64
CVE-2014-*: 128
CVE-2015-*: 144
CVE-2016-*: 185
CVE-2017-*: 323
CVE-2018-*: 407
CVE-2019-*: 504
CVE-2020-*: 684
CVE-2021-*: 747
CVE-2022-*: 739
CVE-2023-*: 340

Растёт общее число CVE-шек, растет и число эксплуатабельных CVE-шек. ⤴️ При этом никто не даёт гарантии, что PoC-и рабочие и что там нет рикролов или малварей. Будьте осторожны.

В любом случае, это хороший источник данных для собственного фида по уязвимостям.

Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.

———

Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.

TOP of the Vulristics report
00:38 Memory Corruption – Microsoft Edge (CVE-2023-3079)
01:12 Remote Code Execution – GitHub (CVE-2023-29007)
01:40 Spoofing – Microsoft OneNote (CVE-2023-33140)

02:01 10 vulnerabilities CVSS Temporal Metrics "Proof-of-Concept Exploit"

No exploits or signs of exploitation in the wild
03:10 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
04:02 Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310)
05:27 Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report

GitHub начал блокировать персональные аккаунты сотрудников подсанкционных компаний. Сейчас пострадали сотрудники компании YADRO. Это отечественный вендор серверов и систем хранения данных.

Компания под блокирующими американскими санкциями с 24 февраля 2023 года. В корпоративном GitHub аккаунте YADRO все репозитории теперь в статусе Public archive, т.е. только для чтения. У 6 из 7 человек с Organization permissions в YADRO, все репозитории в статусе Public archive. Только одному почему-то не поблочили.

В частности, заблочили репозиторий популярной утилиты IPMI Tool, которую мантейнит сотрудник компании YADRO Александр Амелькин. Судя по сообщению Александра, учетку GitHub ему тоже засуспендили.

Что тут можно сказать:

1. То, что поблочили корпоративные акки это было ожидаемо. Из тех же соцсеточек и Ютуба удаляют аки компаний только в путь. То, что поблочили личные акки сотрудников это уже что-то новенькое. Обычно тех, кто не под персональными санциями, не трогали. Видимо ситуация изменилась. Этак далеко могут зайти и начать вводить ограничения против бывших сотрудников или вообще не сотрудников, а каким-то образом связанных лиц.
2. Если важно пользоваться именно GitHub (GitLab, Bitbucket и т.п.), связь с компанией под санкциями лучше не светить. 🤫
3. По-хорошему нужно переводить проекты на альтернативные площадки (российские, китайские). Т.к. у меня на GitHub ничего супер-критичного нет, я буду там сидеть пока не заблочат, а потом перееду на российскую площадку. Или вообще хостить код буду у себя на сайте, все равно я там единственный контрибьютор как правило. 🙂

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Github

Ещё про PoC in GitHub

Посмотрел на гитхабе репозиторий PoC in GitHub

Выпустил эпизод про июньский Microsoft Patch Tuesday

GitHub начал блокировать персональные аккаунты сотрудников подсанкционных компаний