Прошла третья среда месяца, а значит пора смотреть февральский Linux Patch Wednesday. 149 уязвимостей. Среди них нет уязвимостей с признаком активной эксплуатации. 20 уязвимостей с PoC-ами/эксплоитами. На первый взгляд все громкие уязвимости прошедшего месяца на месте:
🔻 Elevation of Privilege — GNU C Library (CVE-2023–6246). Это очередная уязвимость glibc, которую нашли Qualys. 🔻 Information Disclosure — runc (CVE-2024–21626). Побег из контейнера. 🔻 Denial of Service — dnsmasq (CVE-2023–50387). Это про атаку 'KeyTrap' на DNSSEC. 🔻 Authentication Bypass — Sudo (CVE-2023–42465). Про эту новостей не видел, её запатчили в RPM-based дистрибах на прошлой неделе.
00:00 Здороваемся, радуемся хорошим просмотрам прошлого эпизода, разгоняем про Поле Чудес и Якубовича 02:42 Обсуждаем большое количество мероприятий по ИБ в начале февраля, вспоминаем финку НКВД от кизлярских мастеров 06:12 Qualys нашли очередные EoP уязвимости GNU C / glibc (CVE-2023–6246, CVE-2023–6779 и CVE-2023–6780), позволяющие непривилегированному пользователю получать root-доступ 08:46 Arbitrary File Write уязвимость в GitLab (CVE-2024–0402) 09:41 Обход аутентификации + EoP в Ivanti Connect Secure, Policy Secure VPN и Ivanti Neurons for ZTA (CVE-2024–21893, CVE-2024–21888) 13:21 В доменной зоне .ru сломался DNSSEC 17:16 Слив данных из Cloudflare 21:05 Мемчик 🤡: Lazarus использует новую малварь 22:31 Avast полностью ушёл из России 25:05 В Бразилии мошенники развели одну из поклонниц сэра Льюиса Хэмилтона на деньги. Внезапно вспоминаем и про сэра Элтона Джона. 28:19 Подозреваемого в убийстве по ошибке выпустили из тюрьмы после киберинцидента, прямо как в первой серии LEXX‑а (Yo Way Yo Home Va Ya Ray… 🙂🪲) 31:29 Обсуждаем пост Алексея Лукацкого про сурдопереводчицу-мошенницу и показатели квалификации нанимаемого на работу ИБшника 49:59 В Москве арестовали хакера за DDoS-атаки на объекты критической информационной инфраструктуры. Я там зачитываю из 274.1 УК РФ, но из первой части, а не из четвертой, так что не до 5 лет, а до 8. # 54:09 Mr. X посмотрел новую Мастер и Маргариту и прощается с вами
В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023–4911. Это при том, что уязвимость вышла 3 октября, публичный PoC для неё был готов уже на следующий день, и она уже как минимум 2 недели эксплуатируется в зловреде Kinsing. Не спешат товарищи, ой не спешат. 🤷♂️
🟥 Positive Technologies относит эту уязвимость к трендовым с 4 октября. 😎
Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM‑у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂
—
Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.
00:29 Back to Positive Technologies 00:59 Vulristics NVD Data Source 02:20 Vulristics Custom Data Source 03:22 Linux Patch Wednesday Project 04:16 Linux Patch Wednesday October 2023 05:49 Microsoft Patch Tuesday October 2023 09:12 Other Vulnerabilities October 2023 10:14 Miercom released a report "Vulnerability Management Competitive Assessment" 10:54 Vulners presented AI Score v2 11:31 My PhysTech Lecture
Выпустил отчёт по октябрьскому Linux Patch Wednesday! Первый! 🥳 Результатом доволен. Топ выглядит адекватно и соответствует тому, что я подсвечивал в канале.
1. Memory Corruption — Chromium (CVE-2023–5217). Это уязвимость в библиотеке libvpx, которая была самой критичной и в октябрьском Microsoft Patch Tuesday. Есть PoC на гитхабе и признаки эксплуатации вживую. 2. Remote Code Execution — GNU C Library (CVE-2023–4911). Это Qualys Looney Tunables. Давно есть PoC, но признаков эксплуатации вживую пока нет. 3. Denial of Service — Golang Go (CVE-2023–29409). Есть PoC. Vulristics определил софт как TLS, т.к. в описании уязвимости CVE никакого намека на Go. 🤷♂️ 4. Denial of Service — HTTP/2 protocol (CVE-2023–44487). Также был в MSPT. … 14. Memory Corruption — Curl (CVE-2023–38545). Для этой уязвимости появились PoC‑и на Github.
Остальное без эксплоитов и признаков эксплуатации вживую.