Архив метки: NVD

Почему это нас беспокоит?

Добавить комментарий

Почему это нас беспокоит?

Почему это нас беспокоит? Ситуация с финансированием MITRE и NIST исключительно внутриамериканская. И она так или иначе разрешится. В этой сфере крутятся миллиарды долларов, работают сотни компаний и многие тысячи специалистов. Они без нас найдут тех, кто будет вести и обогащать базу CVE, и кто будет это финансировать (CISA уже отсыпали MITRE денежек на 11 месяцев 😏).

А нам следует задуматься, почему американские базы CVE-уязвимостей настолько важны для нас. Почему это нас беспокоит?

Ответ очевиден: в России всё ещё широко используется западный коммерческий софт, уязвимости которого собираются в эти базы. Как и уязвимости западного опенсурсного софта/библиотек, составляющих основу практически всего "отечественного ПО". Из технологической зависимости растёт и зависимость от американских баз уязвимостей. 🤷‍♂️

Поэтому следует:

🔹 усиливать настоящее импортозамещение
🔹 избавляться от западных продуктов
🔹 наращивать контроль над опенсурсными проектами

CVE без NIST и MITRE?

Добавить комментарий

CVE без NIST и MITRE?

CVE без NIST и MITRE? Кучно пошли новости о проблемах с поддержанием баз CVE уязвимостей от NIST и MITRE:

🔻 NIST может уволить 500 сотрудников. 👋
🔻 ~100к уязвимостей опубликованных до 1 января 2018 в NIST NVD перевили в статус "deffered" ("отложенный") и перестали обновлять. 🤷‍♂️
🔻 MITRE CVE Program может потерять финансирование. 💸

Процитирую свой прошлогодний пост на 25 лет CVE: "Вместо единой нейтральной базы пришли к стремительно растущему недоанализированному огороженному западному мусорному полигону."

Похоже американская система управления настолько деграднула, что и с поддержанием этого мусорного полигона не справляется. 🤷‍♂️

Что будет дальше?

🔹 80% - зальют проблему деньгами и клоунада продолжится. 🤡

🔹 20% - американские CVE-богадельни в NIST и MITRE схлопнутся и CVE Program уйдёт в свободное плавание (всё и так держится на одних CNA-организациях). 🛳️

В целом, довольно пофиг на них. Имхо, нас в России должно волновать не это.

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ

Добавить комментарий

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.

В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?

00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day

🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024

Понравился доклад? 🗳 Проголосуй за него! 😉

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее"

Добавить комментарий

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее". Снимали на PHDays в этот раз по-богатому. На несколько камер. Даже летающая камера на кране была. А профессиональная команда в реальном времени сводила это всё в очень красивую картинку. Казалось бы, всё круто. Но при этом переключений на слайды почему-то не было вообще. 🤷‍♂️ Ни разу. Только съёмки экрана за моей спиной на общих планах. 🤦‍♂️ Формат съёмки был явно не для технических докладов.

Я выкачал видяшку, чуть подрезал, добавил слайды поверху и стало гораздо смотрибельнее. ✂️👨‍🎨

🎞 Выложил на VK Видео, Rutube и YouTube.

Удивительно, но с мая месяца доклад не сильно устарел. Кризис NVD не спешит заканчиваться, а команда NIST-а продолжает выкладывать странные послания и демонстрировать свою беспомощность. 🧐

Содержание:

00:00 Приветствие и кто я вообще такой
00:35 О чём будем говорить?
01:02 Как связаны базы NIST NVD и MITRE CVE, почему они растут с ускорением и при этом неполны?
06:44 Как ретроспективно развивался кризис NVD 2024 года?
08:12 В чём важность контента в NVD?
10:42 Чем объясняли кризис NVD в NIST?
12:38 Как реагировало сообщество безопасников на кризис в NVD и чем отвечали на это в NIST?
16:10 Какие меры предлагались сообществом и CISA для уменьшения зависимости от NVD?
18:00 NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
19:11 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты; также про использование Vulristics для анализа уязвимостей БДУ
27:32 Выводы
31:11 Вопрос про статусы CVE уязвимостей DISPUTED и REJECTED
32:14 Вопрос про VM продукт для частного использования
34:16 Вопрос про достоверность оценки угроз от ФСТЭК
35:48 Вопрос про проверку причин отсутствия ссылок на CVE в БДУ

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября)

Добавить комментарий

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября)

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября). Что, в общем-то, видно в их же статистике. На текущий момент в бэклоге 19860 идентификаторов. За эту неделю новых CVE поступило 1136, а проанализировали они только 510. И это не какая-то аномальная неделя, это сейчас норма. Они не справляются с разбором нового, чего уже говорить о бэклоге. Кризис продолжается.

При этом в сообщении они почему-то пишут, что у них полная команда аналитиков, и они обрабатывают все входящие CVE по мере их загрузки в систему. Но почему тогда их статистика показывает обратное?

Они пишут, что теперь обрабатывают все уязвимости из CISA KEV. И это хорошо. Но в CISA KEV за 2024 год добавили пока только 162 CVE. Круто, что они осилили эти идентификаторы, но достижение, мягко говоря, не впечатляет.

Почему NVD не справляются с бэклогом?

Они пишут, что дело в формате данных от Authorized Data Providers (ADPs), видимо имея в виду под этим CISA Vulnrichment. NVD не могут эффективно импортировать и улучшать данные в этом формате. Чтобы это делать они разрабатывают какие-то "новые системы".

То есть мало того, что они расписались в неспособности анализировать уязвимости самостоятельно и готовы использовать чужие данные as is, они ещё и не могут парсеры-конвертеры писать за адекватное время. 🐾 Просто удивительные. 🤦‍♂️

И тут ещё прошла новость, что сенатор Рэнд Пол, новый председатель Senate Homeland Security Committee пообещал серьезно сократить полномочия CISA или полностью их ликвидировать. Наш слоняра! 😁🐘 Весь движ там из-за работы CISA "по противодействию дезинформации" перед американскими выборами. Но под это дело могут угробить единственного американского ИБ-регулятора, который делает хоть что-то полезное и в адекватные сроки. Молодцы, так держать. 👍

Ничего кроме дальнейшей деградации ждать не приходится.

25 лет CVE: кто базу CVEшек анализировал, тот в цирке не смеётся

Добавить комментарий

25 лет CVE: кто базу CVEшек анализировал, тот в цирке не смеётся

25 лет CVE: кто базу CVEшек анализировал, тот в цирке не смеётся. В январе 1999 года Дэвид Э. Манн и Стивен М. Кристи опубликовали статью "К единому перечислению уязвимостей" ("Towards a Common Enumeration of Vulnerabilities"), в которой предлагалось создать лист Common Vulnerability Enumeration, CVE (заметьте, в оригинале никаких "экспозиций" 😉), целью которого было бы:

🔻 нумеровать и различать все известные уязвимости
🔻 назначать стандартное уникальное имя каждой уязвимости
🔻 существовать независимо от множественных точек зрения на то, что такое уязвимость
🔻 являться публично "открытым", распространяемым без ограничений

В октябре 1999 года корпорация MITRE представила первый CVE лист, в котором была 321 запись. За 25 лет их количество перевалило за 250 000 идентификаторов (без Rejected). Количество новых CVE каждый год ставит рекорды, в этом году ожидается больше 35 000. В основном такой бешеный прирост обеспечивают организации со статусом CNA, которых уже 221. Они, получив заветный статус, могут заводить CVE на любую дичь. Хоть весь свой багтреккер пихать, как Linux Kernel. 😏

Во многом из-за такого прироста (ну и из-за приколов американской бюрократии) процесс по анализу уязвимостей в NIST NVD в 2024 году дал масштабный сбой, фактически остановился. Несмотря на все меры (включая финансовые), он так толком и не восстановился. NVD месяц от месяца анализирует значительно меньше CVE, чем получает от CVEorg. Бэклог на анализ растёт, и составляет 19 174 CVE. 🫣

Не такая беда, что база замусорена и не анализируется в должной степени. Настоящая беда в том, что она при этом ещё и неполна. Серьёзные уязвимости, обнаруженные российскими или китайскими исследователями могут не приниматься из-за каких-то геополитических соображений и они фиксируются только в национальных базах уязвимостей. 🤷‍♂️

Вот такой итог 25 лет. Вместо единой нейтральной базы пришли к стремительно растущему недоанализированному огороженному западному мусорному полигону. В котором приходится всем миром копаться, потому что ничего лучше всё равно нет. 🙄 Круто, чё. С юбилеем!

Linux Patch Wednesday: вот где этот майский пик!

2 комментария

Linux Patch Wednesday: вот где этот майский пик!

Linux Patch Wednesday: вот где этот майский пик! 🤦‍♂️ Также об июньском Linux Patch Wednesday. Помните, я в посте про майский Linux Patch Wednesday радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval definition-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Linux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024-1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json:        "CVE-2024-1086": [
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vulristics отчёт для него только с использованием 2 источников: Vulners и БДУ. И даже из Vulners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Execution - Apache HTTP Server (CVE-2021-42013), я не буду подробно их разбирать - кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vulristics по майскому Linux Patch Wednesday (31.3 мб.)

Что касается июньского Linux Patch Wedneday, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Linux Kernel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021-47489 с NVD Published Date 05/22/2024. 🤔 Что-то странное творит CNA Linux Kernel.

🔻 С признаками эксплуатации вживую опять Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947), как и Microsoft Patch Tuesday. Судя по данным БДУ, Remote Code Execution - Libarchive (CVE-2024-26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Execution - Cacti (CVE-2024-25641) и Remote Code Execution - onnx/onnx framework (CVE-2024-5187).

🗒 Отчёт Vulristics по июньскому Linux Patch Wednesday (4.4 мб.)

upd. 30.06 Обновил отчёт.