Архив метки: PositiveTechnologies

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vulristics по ним. Всего 5 уязвимостей.

🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: AuthBypass - TeamCity (CVE-2024-27198), RCE - FortiClientEMS (CVE-2023-48788), EoP - Windows Kernel (CVE-2024-21338).

🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoP - Windows CLFS Driver (CVE-2023-36424), RCE - Microsoft Outlook (CVE-2024-21378).

Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇

🟥 Пост в канале PT

26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955)

Добавить комментарий

26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955).

🔹 Эта уязвимость из майского Patch Tuesday 2023 года. Я её тогда выделил в обзоре, т.к. эту уязвимость показали на Pwn2Own Vancouver, а значит для неё был приватный эксплоит, который рано или поздно появился бы в паблике.
🔹 В паблике эксплоит появился 26 сентября 2023 года.
🔹 19 января 2024 года вышел модуль для метасплоита, который эксплуатировал эту уязвимость вместе с обходом аутентификации SharePoint (CVE-2023-29357), исправленную в июне 2023 года.
🔹 Сейчас видимо пошли подтвержденные атаки именно для CVE-2023-24955. 👾

Мораль? Обновляйтесь заранее, обращайте внимание на уязвимости продемонстрированные на Pwn2Own мероприятиях.

🟥 Positive Technologies относит эту уязвимость к трендовым с 27 сентября 2023 года. Т.е. мы отметили её как супер-критичную за полгода до появления в CISA KEV.

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

Добавить комментарий

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу. Выплаты за критикал до миллиона рублей. Для удобства есть доступный из интернет сервак (нужно только в /etc/hosts прописать).

В описании программы есть закрытый список из 10 пунктов за что вознаграждение НЕ выплачивается. По этим пунктам и так интуитивно понятно, что такое слать не нужно, но люди находятся. 🤷‍♂️ За остальное может выплачиваться. Даже за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), но, по умолчанию, по минимальной границе.

В правилах и требованиях к отчёту тоже вроде всё по делу и ничего сверхестественного нет.

Программу запустили в прошлую среду, уже 3 отчёта сдано.

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит

Добавить комментарий

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит. В режиме Пентест тоже, но это, имхо, чуть меньше впечатляет.

Казалось бы, а чего такого? Тот же Nessus ставится на Linux и сканирует Windows. Или апплаенс Qualys-а тоже не на винде работает. 🤔

Но для того, чтобы это реализовать нужно в Linux-овый сканер добавить транспорты для сканирования Windows (как минимум NetBIOS, SMB). А когда у вас десятилетиями сканер был исключительно виндовый, то считай транспорты нужно реализовать заново без использования платформозависимых библиотек. 🤷‍♂️ А потом тщательно протестировать, что всё работает.

Поэтому, когда отечественные VM-вендоры будут вам говорить, что они могут сканировать Linux-овым сканером Windows хосты, уточняйте речь только об агентном сканировании (сделать гораздо проще) или о безагентном тоже.

Агентно MaxPatrol VM может сканировать через EDR агенты.

Аналитика Угроз и Управление Уязвимостями

Добавить комментарий

Аналитика Угроз и Управление Уязвимостями. Во вторник смотрел вебинар Positive Technologies "PT ESC. Эпизод 1: погружение в Threat Intelligence". Там было в основном про атаки, но про уязвимости и совместную работу PT Threat Analyzer с MaxPatrol VM тоже немного было (34:11).

🔹 MaxPatrol VM знает всё про уязвимости, которые актуальны для инфраструктуры заказчика.
🔹 PT Threat Analyser забирает список этих уязвимостей и делает сопоставление уязвимостей и индикаторов компрометации для вредоносного ПО, которое эти уязвимости эксплуатирует.

Таким образом заказчики могут фильтровать угрозы, актуальные именно для их инфраструктуры.

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а

1 комментарий

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а. 🤩 Рубрика "В тренде VM" начинается с 16:05. 🎞

По контенту это февральский дайджест трендовых уязвимостей, но поданный в более живом формате: простыми фразами, со всякими прикольными перебивками, мемасиками, шутейками и прочим. Как это сейчас принято в эдьютейнменте. 😏 Уровень продакшена у команды SecLab News, конечно, потрясный. Круче я пока не видел. Очень профессиональные ребята, работать одно удовольствие. 🔥

В общем, пробный шар пущен - дальнейшая судьба рубрики (а может и не только рубрики 😉) зависит от вас.

➡️ Перейдите, пожалуйста, по ссылке, посмотрите выпуск, поставьте лайк, оставьте комментарий по поводу рубрики. Что понравилось, что можно было бы и получше сделать.

Прям очень ждём ваш фидбек. 🫠

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика"

Добавить комментарий

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика". По теоретической части всё понятно: есть документированный API; он один и для интеграций, и для вебгуя. 🙂

По практической части показали:

🔻 Как использовать MaxPatrol API в REST-клиенте Nightingale (файл с примерами на гитхабе).
🔻 Неофициальный PTVM SDK. Небольшой Python скрипт с одним классом для работы с MaxPatrol API.
🔻 Консольный интерфейс Positive CLI для MaxPatrol API. Автоматизацию можно делать и просто shell-скриптами дергающими CLI! 😇 Гораздо более функциональный проект, чем SDK, и тоже на Python. На скринах вывод уязвимостей с критичностью рассчитанной по методологии ФСТЭК и трендовые уязвимости с эксплоитом.
🔻 Как использовать MaxPatrol API в low-code инструменте n8n (на примере отправки результатов запроса в Telegram).

Ссылки на проекты добавляются на страницу addons.

Покажите коллегам, которые работают с MaxPatrol VM. 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: PositiveTechnologies

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955)

На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу

Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит

Аналитика Угроз и Управление Уязвимостями

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а

Посмотрел запись вебинара Positive Technologies "Как использовать API в MaxPatrol VM: теория и практика"