Архив метки: PositiveTechnologies

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.

📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 0:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 2:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 3:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 5:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 6:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 8:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 9:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Добавить комментарий

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)

Про уязвимость Cross Site Scripting - Roundcube Webmail (CVE-2024-37383). Roundcube - клиент для работы с электронной почтой с веб-интерфейсом, сравнимый по функциональным возможностям с настольными почтовыми клиентами, такими как Outlook Express или Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Жертва открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код.

В сентябре 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносное письмо с признаками эксплуатации этой уязвимости, направленное на электронную почту одного из государственных органов стран СНГ.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.

Обновляйтесь своевременно!

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Добавить комментарий

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.

CSAM от Positive Technologies

Добавить комментарий

CSAM от Positive Technologies

CSAM от Positive Technologies. Посмотрел 2 выступления про Asset Management с PSDay. Если совсем коротко, то было сказано много очень правильных слов про то, что Asset Management это основа практически всех IT-шных и ИБшных процессов (включая управление уязвимостями и инцидентами). Непрерывное детектирование, инвентаризация и классификация разнообразных активов (не только сетевых хостов) это сама по себе важная работа. Главные моменты выступлений, на мой взгляд это то, что:

🔻 Анонсировали новое направление по управлению активами. Выделили команду. Отстраиваются от класса CSAM (CyberSecurity Asset Management). Продукт такого класса есть у одного западного VM-вендора, что +- даёт представление на что это может быть в итоге похоже.

🔻 Представили ранний драфт интерфейса. На нём показана некоторая таблица активов: ОС, скоринг актива, теги, группы, в которые он входит, инструменты безопасности на данном активе и т.д.

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

Добавить комментарий

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷‍♂️

Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.

"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."

🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру

Добавить комментарий

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру. Посмотрел вчера презентацию этого нового продукта на Positive Security Day. В чём суть? Продукт заявлен как BAS (Breach and Attack Simulation). Но не такой BAS, который рисует теоретически возможные цепочки атак с учётом сетевой связности и продетектированных уязвимостей. Нет! Это решение непосредственно эксплуатирует уязвимости в инфре как хакер или пентестер.

Это и позиционируется как автоматический пентест, который можно запускать постоянно (а не раз в год), прорабатывая ни 1-3 вектора, а столько сколько потребуется и на всей инфре.

Можно возразить, что такая активность инфру положит. Но это не так! Очень большое внимание уделяют безопасности и контролируемости. Чтобы все сколько-нибудь опасные операции согласовывались, скоуп чётко ограничивался, действия логировались. Продукт даже "убирает мусор" за собой. 🙂

➡️ Канал разрабов

Посмотрел сессию про "discover & defend, detect & response"

Добавить комментарий

Посмотрел сессию про discover & defend, detect & response

Посмотрел сессию про "discover & defend, detect & response". Идея в том, чтобы разложить ~20 продуктов Positive Technologies в вертикали для решения задач РКБ (результативной кибербезопасности) и сформировать функциональную среду, в которой продукты дополняют друг друга.

Эти вертикали неизолированные. Так MaxPatrol VM сочетается со сканером веб-приложений PT BlackBox, Container Security, MaxPatrol SIEM и MaxPatrol EDR.

В рассказе про "Узнать" делали акценты на важности:

🔻 сбора всех активов организации (через MaxPatrol VM, MaxPatrol SIEM, PT NAD и интеграции)
🔻 защиты периметра (в первую очередь от трендовых уязвимостей)
🔻 контроля конфигураций
🔻 учёта связности активов для понимания развития атаки
🔻 управления учётками и доступами
🔻 проверок на фишинг

🆕 Новый BAS продукт PT Dephaze позволяет наглядно продемонстрировать фактическую эксплуатабельность. А MaxPatrol Carbon позволяет подсветить самые критичные цепочки атак в вашей инфре.