Архив метки: OVAL

Linux Patch Wednesday: вот где этот майский пик!

Добавить комментарий

Linux Patch Wednesday: вот где этот майский пик!

Lin­ux Patch Wednes­day: вот где этот майский пик! 🤦‍♂️ Также об июньском Lin­ux Patch Wednes­day. Помните, я в посте про майский Lin­ux Patch Wednes­day радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Lin­ux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024–1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json:        "CVE-2024-1086": [
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vul­ris­tics отчёт для него только с использованием 2 источников: Vul­ners и БДУ. И даже из Vul­ners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–42013), я не буду подробно их разбирать — кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day (31.3 мб.)

Что касается июньского Lin­ux Patch Wedne­day, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Lin­ux Ker­nel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021–47489 с NVD Pub­lished Date 05/22/2024. 🤔 Что-то странное творит CNA Lin­ux Ker­nel.

🔻 С признаками эксплуатации вживую опять Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947), как и Microsoft Patch Tues­day. Судя по данным БДУ, Remote Code Exe­cu­tion — Libarchive (CVE-2024–26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Exe­cu­tion — Cac­ti (CVE-2024–25641) и Remote Code Exe­cu­tion — onnx/onnx frame­work (CVE-2024–5187).

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day (4.4 мб.)

upd. 30.06 Обновил отчёт.

Узнал про услугу Kaspersky "Поток машиночитаемых данных Kaspersky Industrial Vulnerability Data Feed в формате OVAL"

Добавить комментарий

Узнал про услугу Kaspersky Поток машиночитаемых данных Kaspersky Industrial Vulnerability Data Feed в формате OVAL

Узнал про услугу Kasper­sky "Поток машиночитаемых данных Kasper­sky Indus­tri­al Vul­ner­a­bil­i­ty Data Feed в формате OVAL". Оказывается у них есть компетенции в разработке OVAL-контента, круто! 🙂👍

Доступна свежая видяшка, в которой они демонстрируют работу проверок на Win­dows 7 хосте. Причём для демонстрации используется утилита oval­di (заброшенная с 2015 года 😏). И всё работает! 😳 Судя по видяшке, в контенте 1021 дефишен, получается где-то 819 детектов уязвимостей для 202 продуктов от Siemens, Schnei­der Elec­tric, Yoko­gawa, ABB, Emer­son, GE, ARC, Codesys, AVEVA, OPC, ЭКРА, НПФ «ИнСАТ» и других вендоров.

Я так понимаю, что контент демонстрировали на oval­di, чтобы показать его валидность. В проде же предлагают использовать этот контент в Kasper­sky Secu­ri­ty Cen­ter, который, оказывается, поддерживает OVAL проверки через End­point Agent (но нужна доп. лицензия на ICS Audit 🤷‍♂️).

После продолжительного перерыва выпустил англоязычную видяшку и блогопост

Добавить комментарий

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vul­ris­tics. Во вторую — смотрю какие были интересные уязвимости в Microsoft Patch Tues­day, Lin­ux Patch Wednes­day и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tues­day, для которых за последние 3 месяца появились PoC‑и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Lin­ux Patch Wednes­day за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

Novem­ber 2023 – Jan­u­ary 2024: New Vul­ris­tics Fea­tures, 3 Months of Microsoft Patch Tues­days and Lin­ux Patch Wednes­days, Year 2023 in Review

Hel­lo every­one! It has been 3 months since the last episode. I spent most of this time improv­ing my Vul­ris­tics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tues­days vul­ner­a­bil­i­ties, Lin­ux Patch Wednes­days vul­ner­a­bil­i­ties and some oth­er inter­est­ing vul­ner­a­bil­i­ties that have been released or updat­ed in the last 3 months. Final­ly, I’d like to end this episode with a reflec­tion on how my 2023 went and what I’d like to do in 2024.

New Vul­ris­tics Fea­tures
00:32 Vul­ris­tics JSON input and out­put
02:37 CPE-based vul­ner­a­ble prod­uct names detec­tion
04:16 CWE-based vul­ner­a­bil­i­ty type detec­tion

3 Months of Vul­ner­a­bil­i­ties
07:03 Lin­ux Patch Wednes­day
11:22 Microsoft Patch Tues­days
13:59 Oth­er Vul­ner­a­bil­i­ties

16:14 About the results of 2023
18:45 What about 2024?

📘 Blog­post
🎞 VKVideo

Про январский Linux Patch Wednesday

Добавить комментарий

Про январский Linux Patch Wednesday

Про январский Lin­ux Patch Wednes­day. Основная сложность в распределении CVE-шек по месяцам для LPW это поймать момент, когда CVE-шку первый раз запатчили. Обычно первыми это делают Debian. Но вот беда — в Debian OVAL зачастую отсутствует дата, когда именно это произошло (дата публикации дефинишена). 😑

Продемонстрирую на примере. Генерю я вчера Lin­ux Patch Wednes­day отчёт за январь и вижу там UnRAR Arbi­trary File Over­write (CVE-2022–30333). Почему уязвимость 2022 года всплыла сейчас, в начале 2024? Потому, что её запатчили в Ubun­tu на днях, 8 января. Причём фиксили не саму утилиту UnRAR, а стороннюю либу Cla­mAV для антивирусной проверки архивов. А раньше эту CVE не фиксил никто что ли? Ну, фиксили. Вот есть сообщение в листе рассылке Debian от 17 августа 2023. Тоже поздно, совсем не 2022 год, но всё-таки несколько раньше. Но в OVAL-контенте Debian этой даты, 17 августа 2023, не было. И поэтому попала CVE-шка из 2022 года в 2024, т.к. самая ранняя (и единственная) дата, которая была в OVAL-контентах Lin­ux вендоров для этой уязвимости это была дата запоздалого фикса в Ubun­tu. 🤷‍♂️

В общем, OVAL хорошо и универсально, но, к сожалению, не панацея. Удивительно, но там тоже бардак, на который всем пофигу. 😏

Пришлось вчера спешно научиться парсить архивы листа рассылки с бюллетенями безопасности Debian. В итоге список уязвимостей стал поадекватнее. В частности, CVE-2022–30333 ушла в LPW для сентября 2023. Аналогично можно и работу с другими листами рассылки построить, например с Suse.

С Suse, кстати, забавно. У них есть OVAL контент, но он отдаётся только по FTP и нереально медленно, как на dial-up модеме. Причём, не только для России режут скорость (как можно было бы предположить). Вовсе нет, проблема общая.

Отчёт Vul­ris­tics выпустил:

🗒 Январский LPW

С детектами можно (и нужно) ещё поиграться, но в целом выглядит норм. 🙂

81 уязвимость.

🔻 Из них самая критичная это RCE в модуле Perl Spreadsheet::ParseExcel (CVE-2023–7101). Эта уязвимость используется вживую и есть в CISA KEV.

Из того, для чего ещё есть ссылки на эксплоиты (ссылки из NVD — требуется верификация):

🔸 Denial of Ser­vice — Aster­isk (CVE-2023–49786)
🔸 Secu­ri­ty Fea­ture Bypass — Python (CVE-2023–27043)
🔸 Mem­o­ry Cor­rup­tion — Lin­ux Ker­nel (CVE-2023–6606)
🔸 Mem­o­ry Cor­rup­tion — libde265 (CVE-2023–49465, CVE-2023–49467, CVE-2023–49468) — реализация видео-кодека h.265
🔸 Secu­ri­ty Fea­ture Bypass — twist­ed (CVE-2023–46137)
🔸 Mem­o­ry Cor­rup­tion — sqlite (CVE-2023–7104)
🔸 Denial of Ser­vice — w3m (CVE-2023–4255)
🔸 Incor­rect Cal­cu­la­tion — QEMU (CVE-2023–42467)
🔸 Mem­o­ry Cor­rup­tion — QEMU (CVE-2023–40360)
🔸 Mem­o­ry Cor­rup­tion — cJSON (CVE-2023–50471) — парсер JSON на C
🔸 Brows­er tab titles were being leaked — Mozil­la Fire­fox (CVE-2023–6872)
🔸 Secu­ri­ty Fea­ture Bypass — sqlite (CVE-2022–46908)

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Добавить комментарий

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vul­ris­tics, запустил Lin­ux Patch Wednes­day (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tues­day, разобрался с кучей других уязвимостей и даже тему с обучением VM‑у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

Hel­lo every­one! Octo­ber was an inter­est­ing and busy month for me. I start­ed a new job, worked on my open source Vul­ris­tics project, and ana­lyzed vul­ner­a­bil­i­ties using it. Espe­cial­ly Lin­ux vul­ner­a­bil­i­ties as part of my new Lin­ux Patch Wednes­day project. And, of course, ana­lyzed Microsoft Patch Tues­day as well. In addi­tion, at the end of Octo­ber I was a guest lec­tur­er at MIPT/PhysTech uni­ver­si­ty.

00:29 Back to Pos­i­tive Tech­nolo­gies
00:59 Vul­ris­tics NVD Data Source
02:20 Vul­ris­tics Cus­tom Data Source
03:22 Lin­ux Patch Wednes­day Project
04:16 Lin­ux Patch Wednes­day Octo­ber 2023
05:49 Microsoft Patch Tues­day Octo­ber 2023
09:12 Oth­er Vul­ner­a­bil­i­ties Octo­ber 2023
10:14 Mier­com released a report "Vul­ner­a­bil­i­ty Man­age­ment Com­pet­i­tive Assess­ment"
10:54 Vul­ners pre­sent­ed AI Score v2
11:31 My Phys­Tech Lec­ture

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post

Запустил проект Linux Patch Wednesday! 🚀

2 комментария

Запустил проект Linux Patch Wednesday! 🚀

Запустил проект Lin­ux Patch Wednes­day! 🚀🥳 В июне я вкидывал идею, аналога Microsoft Patch Tues­day для Lin­ux. Т.е. такого дня, когда мы смотрим на уязвимости Lin­ux и выделяем из них наиболее критичные. 🕵️‍♂️

Полной аналогии с Microsoft Patch Tues­day здесь, конечно, быть не может, т.к. обновления для Lin­ux выпускаются непрерывно и независимо различными вендорами Lin­ux-дистрибутивов. Но мы можем самостоятельно выбрать какой-то день месяца (например каждую третью среду — по аналогии с MS PT) и смотреть какие Lin­ux-уязвимости начали исправляться в течение прошедшего месяца. 😏

Я проанализировал публичный OVAL контент 5 вендоров Lin­ux дистрибутивов и загрузил получившиеся ежемесячные Lin­ux Patch Wednes­day бюллетени на Github. С марта 2007 года и до октября 2023. Приглашаю заценить и, если понравится, поставить звёздочку. 🙂⭐

Подбил итоги сентября для англоязычного канала и блога

Добавить комментарий

Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tues­day: обратите внимание, что lib­webp CVE-2023–4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.

Hel­lo every­one! On the last day of Sep­tem­ber, I decid­ed to record anoth­er ret­ro­spec­tive episode on how my Vul­ner­a­bil­i­ty Man­age­ment month went.

Edu­ca­tion
00:09 BMSTU online cyber secu­ri­ty course
00:33 Pos­i­tive Tech­nolo­gies online Vul­ner­a­bil­i­ty Man­age­ment course
00:52 Bahasa Indone­sia

Russ­ian Pod­casts
01:20 Прожектор по ИБ ("Infor­ma­tion Secu­ri­ty Spot­light") pod­cast
01:47 КиберДуршлаг ("Cyber Colan­der") by Pos­i­tive Tech­nolo­gies

Main Job
01:57 Good­bye Tin­koff

Patch Tues­day
02:54 Sep­tem­ber Microsoft Patch Tues­day
03:11 Remote Code Exe­cu­tion – Microsoft Edge/libwebp (CVE-2023–4863), Mem­o­ry Cor­rup­tion – Microsoft Edge (CVE-2023–4352)
04:11 Remote Code Exe­cu­tion – Win­dows Themes (CVE-2023–38146) "The­me­Bleed"
04:48 Infor­ma­tion Dis­clo­sure (NTLM relay attack) – Microsoft Word (CVE-2023–36761)
05:19 Ele­va­tion of Priv­i­lege – Microsoft Stream­ing Ser­vice Proxy (CVE-2023–36802)
05:36 Remote Code Exe­cu­tions — Microsoft Exchange (CVE-2023–36744, CVE-2023–36745, CVE-2023–36756)

Oth­er Vul­ner­a­bil­i­ties
06:54 Bitrix CMS RCE (BDU:2023–05857)
07:32 RHEL/CentOS 7 can’t be detect­ed, can’t be fixed vul­ner­a­bil­i­ty (CVE-2022–1012)
08:09 Qualys TOP 20 vul­ner­a­bil­i­ties

Vul­ner­a­bil­i­ty Man­age­ment Mar­ket
09:06 For­rester and GigaOm VM Mar­ket reports
09:49 R‑Vision VM

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post