В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911. Это при том, что уязвимость вышла 3 октября, публичный PoC для неё был готов уже на следующий день, и она уже как минимум 2 недели эксплуатируется в зловреде Kinsing. Не спешат товарищи, ой не спешат. 🤷♂️
🟥 Positive Technologies относит эту уязвимость к трендовым с 4 октября. 😎
00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне" 01:55 Прошёл крутой Киберстендап 05:35 Ноябрьский Microsoft Patch Tuesday 11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON 13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment" 18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент 23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence 28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского 36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC) 41:15 Ноябрьский Linux Patch Wednesday 45:34 Обсуждаем зарплаты ИБ-шников в США 53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения 55:01 На днях начал использовать чатботы для генерации кода 01:01:32 Постановление Правительства и 100% Отечественный Производитель 01:08:11 Прощание от Mr.X
Ноябрьский Linux Patch Wednesday. Посмотрим какие уязвимости Linux начали исправляться вендорами Linux дистрибутивов с октябрьского LPW. На самом деле отчёт требует допиливания в части детектов продуктов и типов уязвимостей, но выкладываю как есть. 🙂
🔹 Есть одна уязвимость с признаком эксплуатации вживую (CISA KEV). Это Cross Site Scripting - Roundcube (CVE-2023-5631). Это клиент для работы с электронной почтой с веб-интерфейсом, часто используется как компонент веб-почты в почтовых пакетах и платформах групповой работы. Злоумышленник шлёт зловредное письмо, у пользователя выполняется произвольный JavaScript код. 💥 🔹 Есть ~50 уязвимостей, для которых вроде как есть эксплоиты и PoCи (в основном ссылки с тэгом "exploit" на NVD). 🔹 Больше чем для половины уязвимостей не детектируются продукты и не детектируются типы уязвимостей. 🤷♂️ Буду добавлять детекты.
Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM-у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂
---
Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.
00:29 Back to Positive Technologies 00:59 Vulristics NVD Data Source 02:20 Vulristics Custom Data Source 03:22 Linux Patch Wednesday Project 04:16 Linux Patch Wednesday October 2023 05:49 Microsoft Patch Tuesday October 2023 09:12 Other Vulnerabilities October 2023 10:14 Miercom released a report "Vulnerability Management Competitive Assessment" 10:54 Vulners presented AI Score v2 11:31 My PhysTech Lecture
Выпустил отчёт по октябрьскому Linux Patch Wednesday! Первый! 🥳 Результатом доволен. Топ выглядит адекватно и соответствует тому, что я подсвечивал в канале.
1. Memory Corruption - Chromium (CVE-2023-5217). Это уязвимость в библиотеке libvpx, которая была самой критичной и в октябрьском Microsoft Patch Tuesday. Есть PoC на гитхабе и признаки эксплуатации вживую. 2. Remote Code Execution - GNU C Library (CVE-2023-4911). Это Qualys Looney Tunables. Давно есть PoC, но признаков эксплуатации вживую пока нет. 3. Denial of Service - Golang Go (CVE-2023-29409). Есть PoC. Vulristics определил софт как TLS, т.к. в описании уязвимости CVE никакого намека на Go. 🤷♂️ 4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Также был в MSPT. … 14. Memory Corruption - Curl (CVE-2023-38545). Для этой уязвимости появились PoC-и на Github.
Остальное без эксплоитов и признаков эксплуатации вживую.
Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education 00:09 BMSTU online cyber security course 00:33 Positive Technologies online Vulnerability Management course 00:52 Bahasa Indonesia
Russian Podcasts 01:20 Прожектор по ИБ ("Information Security Spotlight") podcast 01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Patch Tuesday 02:54 September Microsoft Patch Tuesday 03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352) 04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed" 04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761) 05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802) 05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities 06:54 Bitrix CMS RCE (BDU:2023-05857) 07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012) 08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market 09:06 Forrester and GigaOm VM Market reports 09:49 R-Vision VM
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.