Архив метки: JointAdvisory

Прожектор по ИБ, выпуск №2 (10.09.2023)

1 комментарий

Прожектор по ИБ, выпуск №2 (10.09.2023). Вчера вечером записали ещё один эпизод нашего новостного ток-шоу по ИБ. Компания у нас всё та же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Вступление
01:08 Что случилось с бюджетами CISO? Обсуждаем опросы и исследования по ИБ
10:36 Байкалы выставлены на аукцион? Что с отечественными процессорами?
16:39 Atom­ic Heart в контексте ИБ. Впечатления от игры и книги Предыстория «Предприятия 3826»
26:39 Р‑ФОН, ОС Аврора и "понты нового времени"
36:48 Утечка из МТС Банка?
45:04 Мошенники размещают QR-коды возле школ
50:18 Qualys TOP 20 эксплуатируемых уязвимостей
54:18 Прощание от Mr. X

Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE)

1 комментарий

Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE)

Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE). Я их выписал. Стало интересно, а есть ли что-то, что не входит в недавние англосаксонские списки. Оказалось, что не входят 12 CVE, т.е. ровно половина:

CVE-2012–0158
CVE-2012–0507
CVE-2012–1723
CVE-2013–0074
CVE-2014–6271
CVE-2017–0143
CVE-2017–0144
CVE-2017–0145
CVE-2017–8570
CVE-2018–0802
CVE-2018–8174
CVE-2019–2725

Это #Shell­shock, MS17-010, 3 RCE для Office, 2 RCE для VBScript и Sil­verlight, 3 уязвимости для Ora­cle Java и WebLog­ic. Видимо англосаксы намерили, что в 2022 это было уже не актуально. 🤷‍♂️

Выпустил отчёты Vul­ris­tics:

🗒 Qualys TOP 20 2023
🗒 Qualys TOP 20 2023 NOT in Joint report

Выпустил новую англоязычную видяшечку

Добавить комментарий

Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tues­day. 🤷‍♂️🤦‍♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tues­day. Так должно быть поадекватнее и повеселее. 🙂

Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂
___

Hel­lo every­one! This month I decid­ed NOT to make an episode com­plete­ly ded­i­cat­ed to Microsoft Patch Tues­day. Instead, this episode will be an answer to the ques­tion of how my Vul­ner­a­bil­i­ty Man­age­ment month went. A ret­ro­spec­tion of some kind.

GitHub exploits and Vul­ris­tics
00:44 PoC in Github
02:19 Vul­ris­tics vul­ners-use-github-exploits-flag

VM ven­dors updates
04:39 Qualys First-Par­ty Appli­ca­tion Risk Detec­tion and Reme­di­a­tion
06:18 Ten­able Expo­sureAI
07:23 SC Awards and Rapid7

Vul­ner­a­bil­i­ties
09:04 Anglo-Sax­on vul­ner­a­bil­i­ty lists AA23-215A
12:32 August Microsoft Patch Tues­day
14:40 Win­RAR Exten­sion Spoof­ing (CVE-2023–38831)
15:16 Juniper RCE (CVE-2023–36844)

📘 Blog­post
🎞 Video
🎞 Video2 (for Rus­sia)

Англосаксонские госбезопасники из 5 стран выпустили совместный отчёт "2022's Top Routinely Exploited Vulnerabilities"

4 комментария

Англосаксонские госбезопасники из 5 стран выпустили совместный отчёт 2022's Top Routinely Exploited Vulnerabilities

Англосаксонские госбезопасники из 5 стран выпустили совместный отчёт "2022's Top Rou­tine­ly Exploit­ed Vul­ner­a­bil­i­ties". Т.е. ТОП повседневно эксплуатируемых уязвимостей за прошлый год. Я взял этот отчёт, выписал упоминания CVEшек и выпустил 2 отчёта Vul­ris­tics:

1. TOP 12 уязвимостей
2. Расширенный со всеми уязвимостями (42) из отчёта

В Топе на 12 уязвимостей у всех CVE есть ссылки на эксплоиты и признак эксплуатации in the wild. Все Urgent, кроме одной, т.к. она EoP и в не самом распространенном софте Work­space One. В самые критичные попали RCE в Apache Log4j2, Microsoft Exchange и Con­flu­ence.

В расширенном отчёте все CVE с признаками эксплуатации in the wild, но есть 6 уязвимостей без ссылок на эксплоиты и поэтому в критичности Critical/High. В самые критичные попали RCE в Apache HTTP Serv­er, Apache Log4j2, Win­dows RDP, Microsoft Exchange.

По сравнению с прошлогодним отчётом, ушёл Git­Lab и экзотика типа Hikvi­sion и Buf­fa­lo. Подборочка стала выглядеть поадекватнее.

Команды для тех, кто сам хочет построить отчет в Vulristics по комментам для CVE-шек из AA23-215A

Добавить комментарий

Команды для тех, кто сам хочет построить отчет в Vul­ris­tics по комментам для CVE-шек из AA23-215A. 

$ cat AA23-215A_comments.txt | grep -v "30 Additional" | egrep -o "CVE-[0-9]*-[0-9]*" | sort | uniq > AA23-215A_cves_top12.txt
$ cat AA23-215A_comments.txt | egrep -o "CVE-[0-9]*-[0-9]*" | sort | uniq > AA23-215A_cves.txt

$ python3 vulristics.py --report-type "cve_list" --cve-project-name "AA23-215A" --cve-list-path "AA23-215A_cves.txt" --cve-comments-path "AA23-215A_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "AA23-215A_top12" --cve-list-path "AA23-215A_cves_top12.txt" --cve-comments-path "AA23-215A_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "False"

Забавная подробность: 8 агентств из 5 стран выпустили, а не нашлось никого, кто бы внимательно прочитал и обратил внимание, что у них в нескольких местах идентификатор для Log4Shell написан как "CVE-2021- 44228" с пробелом. Причём как в pdf, так и в web-версии. 😏

Сделал видяшку с обзором Joint cybersecurity advisory (CSA) AA22-279A

Добавить комментарий

Сделал видяшку с обзором Joint cyber­se­cu­ri­ty advi­so­ry (CSA) AA22-279A. Интересно будет ли фидбек от авторов документа. 😁