Архив метки: PositiveTechnologies

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа.

🔸 Об этом 29 января сообщила команда форенсики шведской компании Truesec. Они обнаружили, что как минимум в 6 инцидентах связанных с шифровальщиком Akira точкой входа была Cisco Anyconnect с уязвимостью CVE-2020-3259. 15 февраля уязвимость добавили в CISA KEV.

🔸 Уязвимость была обнаружена исследователями PT SWARM компании Positive Technologies, Михаилом Ключниковым и Никитой Абрамовым, 6 мая 2020 года:

"Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации".

🔸 До этого информации об общедоступных эксплоитах для этой уязвимости не было. Но, как видим, использованию в атаках это не мешало. Причём непонятно когда именно началась эксплуатация. Truesec считают логины/пароли пользователей Cisco Anyconnect, которые существовали в системе до фикса CVE-2020-3259, скомпромитированными. Как и другие данные, которые могли засветиться на Anyconnect-е. Также рекомендуют подключить двухфакторку и журналирование. И если вы вдруг не патчили эту уязвимость, то патчите конечно. А лучше импортозамещайтесь поскорее. 😉

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"

00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года. В работе над которым я принимал участие. 😇 Это наш первый опыт в таком формате, планируем выпускать подобные дайджесты ежемесячно и возможно не только текстом. 😉

За январь в трендовые добавили 6 уязвимостей.

🔻 По двум эксплуатация вживую указана прям в CISA KEV: RCE в Confluence (CVE-2023-22527) и RCE в vCenter (CVE-2023-34048).
🔺 По двум есть эксплоиты и эксплуатация вживую скорее всего есть, но формально она пока не зафиксирована: AuthBypass в GitLab (CVE-2023-7028), Arbitrary File Reading в Jenkins CLI (CVE-2024-23897).
🔸 По двум есть признаки, что эксплуатация вживую может скоро начаться: RCE в Junos OS (CVE-2024-21591), Information Disclosure в Outlook (CVE-2023-35636).

По каждой уязвимости наши Cyber Analytics подготовили подробное описание: что за уязвимость, случаи эксплуатации, эксплоиты, потенциальные жертвы, способы устранения.

🟥 Пост в канале PT

Про 0day уязвимость EventLogCrasher (без CVE)

Про 0day уязвимость EventLogCrasher (без CVE)

Про 0day уязвимость EventLogCrasher (без CVE). Уязвимость позволяет злоумышленнику удаленно крашить службу Event Log на устройствах в том же Windows-домене (включая контроллеры домена). И пока логи не ведутся злоумышленник потенциально может брутить пароли, атаковать системы ненадежными эксплоитами с риском их покрашить и творить прочую заметную дичь.

🔻Для эксплуатации злоумышленнику необходимо сетевое подключение к целевому устройству и любая валидная учётка (даже с низкими привилегиями)
🔻 Уязвимость затрагивает все версии Windows: от Windows 7 до последней версии Windows 11 и от Server 2008 R2 до Server 2022
🔻 Есть PoC и видео демонстрация
🔻 Microsoft заявили исследователю, что уязвимость недостаточно критична ("didn't meet the requirements for servicing"), не требует срочного исправления и что они исправят её в будущем. 🤷‍♂️ Также сообщили, что это дубль какой-то уязвимости 2022 года, которая также была недостаточно критичной для исправления. Видимо официального исправления ждать пока не приходится. 😐
🔻 Уязвимость подтвердили исследователи из 0patch и выпустили неофициальное исправление
🔻 Похожую уязвимость в прошлом году описывали исследователи из компании Varonis, они назвали её LogCrusher. Она также прошла без CVE и там тоже были проблемы с признанием её критичности со стороны Microsoft.

Пока Microsoft не прояснят ситуацию остаётся либо фиксить это микропатчем от 0patch, либо ловить эксплуатацию SIEM-ом. Например с помощью 🟥 MaxPatrol SIEM. 😉

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM. Зарегался, буду смотреть. Я так-то базово умею пользоваться, даже пост по выгрузке данных по PDQL-запросу делал. Но наверняка коллеги расскажут что-нибудь новое и интересное. 🙂🍿

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

Прожектор по ИБ, выпуск №22 (10.02.2024): Вижу MacBook — мне неприятно

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику, разгоняем про продукты Apple
03:31 Где был Лев: Собираем карьеру с Евгением Питолиным и дебаты на AM Live
09:42 4 апреля состоится форум "Территория Безопасности - 2024: все pro ИБ"
13:42 Мем про тяжелую неделю для Fortinet
14:21 RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую
19:16 Fortinet исправила две критические уязвимости максимальной степени серьезности в FortiSIEM
21:06 Очередная AuthBypass уязвимость в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024)
23:02 Занимательная статья от исследователей уязвимостей из PT SWARM
28:51 Взлом компании AnyDesk и рекомендации от НКЦКИ
33:51 Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах?
41:33 Бывшего сотрудника Apple приговорили к тюремному заключению за кражу данных об автомобиле
44:47 Исследователя безопасности обвинили в попытке получить около $3 млн долларов от Apple в виде продукции и услуг компании
49:38 Что такое Игры Будущего 2024?
53:03 Банк России составил портрет жертвы кибермошенников
55:26 🎤 Mr. X и Олег Тиньков (признан иностранным агентом 16.02.2024, уже после публикации видео) поясняют за этот эпизод Прожектора по ИБ

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM

На сайте Positive Technologies вышла занимательная статья от крутых ресерчеров из PT SWARM.

🔹 За 2022–2023 годы PT SWARM выявили более 250 уязвимостей (70% уровня high и critical) в ПО 84 вендоров.
🔹 Половина вендоров из США, остальные из Китая (14%), Великобритании (13%), России (13%) и Франции (10%).
🔹 В процессе координированного раскрытия уязвимостей участвуют исследователи, вендор, регуляторы, организации-посредники (для общения с вендором или получения идентификаторов уязвимостей).
🔹 Если вендор не выходит на связь и не устраняет уязвимость, исследователи информируют государственные и международные организации (регуляторы, CERT-ы, базы уязвимостей) и влияют на вендора через них.
🔹 В желательный интервал по выходу вендора на связь от 1 дня до недели укладываются 57% вендоров. 16% вообще не отвечают.
🔹 В желательный интервал по выпускую патча для уязвимости от 1 дня до 2 недель укладываются 14% вендоров. 49% вендоров требуется на это три месяца.