Архив метки: Linux

Поделюсь своими грустными мыслями по поводу RedOS в связи с Linux Patch Wednesday

Добавить комментарий

Поделюсь своими грустными мыслями по поводу RedOS в связи с Linux Patch Wednesday

Поделюсь своими грустными мыслями по поводу RedOS в связи с Linux Patch Wednesday.

🔹 С одной стороны, РЕД СОФТ большие молодцы, так как добавляют в своими репозитории пакеты прикладного софта, которых нет у других Linux-вендоров, и поддерживают детекты уязвимостей для них в OVAL-контенте. Причём добавляют новые сборки пакетов с исправленными CVE-шками очень оперативно.

🔹 С другой стороны, они, видимо, не особо смотрят какие именно CVE-шки исправил вендор софта и относятся ли эти CVE-шки к Linux-у. 🤷‍♂️ Поэтому возникают казусы, которые видны, например, в августовском Linux Patch Wednesday.

Что там в ТОП-е?

🔻 Remote Code Execution - PHP (CVE-2024-4577). Которая связана с функцией преобразования кодировки Best-Fit в операционной системе Windows. 😏 Исправлена в RedOS.

🔻 Remote Code Execution - Mozilla Firefox (CVE-2024-2605). "An attacker could have leveraged the Windows Error Reporter to run arbitrary code". 😌 Исправлена в RedOS.

🔻 Command Injection - Rust Standard Library (CVE-2024-24576). "who invoke batch files on Windows with untrusted arguments". 😣 Исправлена в RedOS.

То есть отчёт по Linux Patch Wednesday замусоривается уязвимостями, которые эксплуатируются только в Windows.

Как на моём уровне с этим бороться непонятно. Моя концепция, которая лежит в основе Linux Patch Wednesday, "Linux-овые уязвимости - это уязвимости, которые исправляют Linux-овые вендоры" в этом случае трещит по швам. А отказываться от RedOS как от источника данных тоже не хотелось бы (см. первый пункт про то, что РЕД СОФТ молодцы). Остаётся только закрывать на часть уязвимостей глаза и страдать. 🫣😔

Другие Linux-вендоры бюллетени (и OVAL-definition-ы) об исправлении виндовых уязвимостей не выпускают. Они обычно имеют страницу по каждой CVE. И если CVE не аффектит Linux-овую версию софта, то в бюллетень она не попадает. Было бы здорово, чтобы RedOS также эту практику пересмотрели.

Если у кого-то из подписчиков есть выход на людей, которые бюллетенями безопасности и OVAL-контентом в РЕД СОФТ занимаются, скиньте им, пожалуйста, этот пост. Буду рад познакомиться и пообщаться.

Августовский Linux Patch Wednesday

1 комментарий

Августовский Linux Patch Wednesday

Августовский Linux Patch Wednesday. 658 уязвимостей. Из них 380 в Linux Kernel. Около 10 c признаками эксплуатации вживую. Можно выделить:

🔻 Уязвимости IT Asset Management системы GLPI: AuthBypass (CVE-2023-35939, CVE-2023-35940) и Code Injection (CVE-2023-35924, CVE-2023-36808, CVE-2024-27096, CVE-2024-29889). Фиксы в RedOS.
🔻 InfDisclosure - Minio (CVE-2023-28432). Старая и трендовая, но также фиксы засветились только в RedOS.
🔻 DoS - PHP (CVE-2024-2757). Если бы я учитывал бюллетени Fedora или Alpine, то эта ушла бы в более ранний LPW. 🤔 В 2DO.

Около 30 без эксплуатации вживую, но с эксплоитами. Можно выделить:

🔸 Command Injection - Apache HTTP Server (CVE-2024-40898)
🔸 AuthBypass - Apache HTTP Server (CVE-2024-40725)
🔸 AuthBypass - Neat VNC (CVE-2024-42458)
🔸 RCE - Calibre (CVE-2024-6782); да, та самая софтина для электронных книжек 🙂

🗒 Отчёт Vulristics по августовскому Linux Patch Wednesday

В канале Рекриптор вышел пост про Linux-антивирусы

Добавить комментарий

В канале Рекриптор вышел пост про Linux-антивирусы

В канале Рекриптор вышел пост про Linux-антивирусы. В продолжение моего поста про инвестиции в IT. 😅

Основная мысль там:

🔹 У Windows и Linux "разные сценарии использования и администрирования, разные пользователи, разные подходы к разработке, существенно отличающиеся модели угроз, сценарии и техники проникновения, закрепления, повышения привилегий".

🔹Полноценный Endpoint Protection под Linux нужно писать с нуля "со своей командой, отдельной экспертизой, кодовой базой, техподдержкой и т.д."

Со всем согласен. Имхо, Linux это во многом ещё Terra Incognita и игроки начали тут развитие +- с чистого листа и без форы. Поэтому ничего не мешает сделать нишу более конкурентной. Она такой и становится. Вот PT в прошлом году EDR выпустили. 😉

Поэтому, если тренд на импортозамещение ОС не изменится (а пока предпосылок к этому не видно), нас ждёт появление и развитие разноформатных средств безопасности Linux. В ответ на развитие атак злоумышленников, естественно. 😏

В какое направление ИТ вы бы сейчас в России инвестировали?

1 комментарий

В какое направление ИТ вы бы сейчас в России инвестировали?

В какое направление ИТ вы бы сейчас в России инвестировали? Такой вот интересный вопрос у Дмитрия Комиссарова в VK.

Я бы, наверное, инвестировал в антивирусы / Endpoint Protection с фокусом на отечественные Linux дистрибутивы. Доля Linux-десктопов растёт, хотя и не так быстро, как хотелось бы, но вполне ощутимо. Регуляторы установку антивирусов требуют (ещё и от разных вендоров 🙂). Решений на рынке по пальцам одной руки пересчитать. А так, чтобы были Freemium для домашних пользователей а-ля Avira или Avast, так и вообще нет. Вполне себе достойная ниша. Особенно с учётом рекомендаций американских Think Tank-ов.

Постепенно Compliance и Vulnerability Management можно туда подтянуть. 🤔

📊 В феврале проводил опрос в канале "нужен ли Антивирус на Linux-хостаx?" - больше половины ответили, что нужен. 😉

Про конкуренцию и тестирование

Добавить комментарий

Про конкуренцию и тестирование

Про конкуренцию и тестирование. Частенько натыкаюсь на размышления, что в России слишком много каких-то IT/ИБ продуктов (например, Linux-дистрибутивов или NGFW) и нужно их подсократить.

Имхо, конкуренция внутри страны - всегда благо. Но нужно регуляторно контролировать, что и как может называться. 🙂

🔹 Отечественная ОС у вас? 👍 А кто апстримы? Пакеты сами собираете? А как быстро уязвимости апстримов фиксите? У нас тут тестовые эксплоиты есть, прогоним? 🙂 А где ваши бюллетени безопасности? А как вы проверяете, что от апстрима бэкдор не придёт? А у нас тут Challenge Projects, проверите бэкдоры в них? 😎

🔹 NGFW у вас? 👍 А что детектить умеет? А какую нагрузку держит? А у нас есть тестовый трафик с атаками, прогоним? 😉

🔹 Сканер уязвимостей у вас? 👍 У нас тут есть стенды с известными уязвимостями, просканим? 😏

Для конкретных задач, где конкуренцию нужно усилить, неплохо бы и конкурсы проводить с финансированием достаточным "для поддержки штанов".

Мастер-класс по росписи ёлочных игрушек прошёл успешно

Добавить комментарий

Мастер-класс по росписи ёлочных игрушек прошёл успешно
Мастер-класс по росписи ёлочных игрушек прошёл успешноМастер-класс по росписи ёлочных игрушек прошёл успешноМастер-класс по росписи ёлочных игрушек прошёл успешно

Мастер-класс по росписи ёлочных игрушек прошёл успешно. 👍 Сказали, что можно рисовать всё что угодно. 😏 Нарисовал Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086). 😅

Июльский Linux Patch Wednesday

1 комментарий

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday. Всего 705 уязвимостей, из них 498 в Linux Kernel. С признаком эксплуатации вживую уязвимостей пока нет, у 11 есть признак наличия публичного эксплоита:

🔻 В абсолютном топе RCE - OpenSSH "regreSSHion" (CVE-2024-6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE - OpenSSH (CVE-2024-6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC-и для DoS уязвимостей Suricata (CVE-2024-38536) и QEMU (CVE-2024-3567).

Согласно БДУ, существуют публичные эксплоиты для:

🔸 AuthBypass - RADIUS Protocol (CVE-2024-3596), её фиксили и в июльском MSPT
🔸 Security Feature Bypass - Exim (CVE-2024-39929) - обход блокировок по mime_filename, а также в Nextcloud (CVE-2024-22403) - вечные OAuth коды
🔸 DoS - OpenTelemetry (CVE-2023-45142)
🔸 Memory Corruption - 7-Zip (CVE-2023-52168)

🗒 Отчёт Vulristics по июльскому Linux Patch Wednesday