Архив метки: PositiveTechnologies

Прожектор по ИБ, выпуск №20 (30.01.2024): Байдена нет

Прожектор по ИБ, выпуск №20 (30.01.2024): Байдена нет

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду, читаем коммент, выясняем, что Байдена давно нет 😱
02:33 Обсуждаем мою новую статью на сайте Positive Technologies "Трендовые уязвимости 2023"
05:58 Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048)
11:14 Arbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCE
15:28 Мемчик: Поставщик объясняет, как формируется стоимость решения, которое он просто перепродает
19:27 Всё, что происходит сейчас, было уже предсказано Алексеем Лукацким много лет назад
21:41 Как найти 18 000 API Token-ов в интернете?
24:52 Книжный клуб 📕: "Прикладные квантовые технологии для защиты информации" ИнфоТеКС, "17 мгновений зимы, или Сказка для ИБэшника, который давно не верит в сказки" Майя Геваль, "Нунчи. Корейское искусство предугадывать поступки людей и мягко управлять любой ситуацией" Юни Хонг
33:26 Маск сообщил об успешной имплантации человеку чипа Neuralink
41:23 Хакерам дважды удалось взломать Tesla и выявить 49 0-day уязвимостей в ходе первого соревнования Pwn2Own Automotive в Токио
45:12 Российским компаниям из IТ-кадров больше всего нужны специалисты по кибербезопасности
48:58 10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных
54:35 Mr. X читает стихотворение Эдуарда Асадова

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике. 😊 Статья посвящена трендовым уязвимостям за 2023 год. По контенту примерно то, что я рассказывал на Код ИБ ИТОГИ.

🔻 Так как это была первая статья такого рода, упор был на то, что такое трендовые уязвимости, зачем нужно их выделять и почему это сложно (почему нельзя использовать публичные источники as is).
🔻 Привёл статистику по типам уязвимостей, продуктам и группам продуктов.
🔻 Все уязвимости в отчёте не перечислял, указывал только некоторые яркие кейсы. Пока список трендовых уязвимостей доступен только пользователям MaxPatrol VM. Также о некоторых трендовых уязвимостях выходят посты в телеграмм-канале PT (искать можно по тегу #втрендеVM).

➡️ В общем, милости прошу ознакомиться со статьёй. 😉

PS: Только не спрашивайте меня зачем крутить точку гаечным ключём. Видимо это про тщету мирского бытия или что-то такое. 😅

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies. Имхо, вообще любой сувенирчик это приятно. 😊 Не могу согласиться с тем, что классика себя изжила. Для меня всё наоборот.

🔻 Футболки - топ! Основа моего гардероба. Главное, чтобы достаточно качественные, с нормальным принтом (без эффекта горчичника) и не белые (чтобы со стиркой не заморачиваться). Ну и без каких-то совсем уж провокационных надписей.
🔻 Если вдруг худи, то ещё лучше. Но тут важно, чтобы не большемерили. Оверсайз ещё ок, но что-то откровенно гигантское а-ля баленсиага носить вряд ли будет возможно.
🔻 Блокноты и ручки - отлично. Я когда работаю люблю разбивать большие задачки на как можно более мелкие, организоваывать их в "диаграммы" с прямоугольничками и стрелочками, а по завершении каждой задачки перечеркивать её прямоугольничек и переходить к следующей. Такой вот простенький GTD метод, чтобы разделить микропланирование и непосредственное выполнение. Поэтому блокнотики у меня расходуются только в путь. Ну и вообще я люблю всякую канцелярщину. 🤤
🔻 Носки? Мне пока такое не перепадало, но если годные, то почему бы и нет.

По остальному даже и не знаю. Из вишлиста Алексея Викторовича меня что-то ничего не впечатляет. То есть я такое приму безусловно с благодарностью, но пользоваться вряд ли буду и постараюсь кому-то поскорее передарить. 😇

Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках?

Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках?

Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках? Похоже на то. 🧐

🔻 К пятнице PT SWARM (Positive Technologies Offensive Team) успешно воспроизвели эту уязвимость

🔻 AttackerKB со ссылкой на TheDFIRReport пишут, что активная эксплуатация этой уязвимости уже началась

🔻 Сегодня опубликовали разбор уязвимости от ProjectDiscovery

Так что если у вас Confluence уязвимой версии, обновляйтесь ASAP! 👾

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday. И это не те уязвимости, на которые можно было подумать и о которых все пишут. Это две малозаметные EoPшки:

🔻 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2023-35632). В этом году был прецедент, когда EoP в Windows Ancillary Function Driver for Winsock (CVE-2023-21768) довели до эксплоита за 24 часа. В январе вышла уязвимость, в марте уже был модуль в Metasploit. Расковыряют ли в этот раз? Посмотрим. 🍿

🔻 Elevation of Privilege - Windows Win32k (CVE-2023-36011). EoP эксплоиты для Win32k появляются очень часто и обновления для этой конкретной CVE выпустили для всех версий Windows, начиная с Windows Server 2012. 🕵‍♂

Остальные уязвимости, несмотря на занимательные описания, пока не дотягивают до трендовых. Но это вовсе не значит, что их не нужно исправлять. Очень даже нужно. 😉

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM.

Зачем нужно агентное сканирование:

🔸 можно сканировать активы, до которых активно не достучишься (десктопы)
🔸 нет проблем с учётками
🔸 можно более оперативно обновлять данные

Что показали:

🔹 как в политиках модуля EDR настраивается сканирование (запуск по расписанию, ожидание запуска пока не снизится загрузка CPU, пауза между повторными сканированиями, запуск по событию EDR)
🔹 как выглядит вкладка с состоянием агента
🔹 как выглядят результаты в активах VM

Важные моменты:

🔻 Агенты полноценные, сами инициируют соединение.
🔻 Поддерживается Windows и Linux (в т.ч. Astra Linux). MacOS пока не сканится, хотя EDR там работает.
🔻 Если у вас есть лицензия на VM, нужно будет докупить лицензию на агентное сканирование на нужное количество хостов.
🔻 Полноценный EDR можно не покупать, можно будет использовать урезанные агенты EDR только с функцией сканирования.

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

Экспорт данных из MaxPatrol VM через API по PDQL-запросу. К завтрашнему выступлению выкладываю небольшой мануал и пример скрипта.

1. Для работы с API вам понадобится логин и пароль пользователя, а также параметр ClientSecret, который лежит на сервере в /var/lib/deployer/role_instances/Core/params.yaml

2. Делаем запрос к mpvm_url + ':3334/connect/token', получаем токен, который подставляем в хидер authorization в виде 'Bearer ' + token. ⚠️ Получение токена у идёт по порту 3334, а дальнейшая работа с API по порту 443!

3. Делаем запрос к assets_grid с PDQL-запросом, получаем pdql_token. Затем с этим токеном делаем запросы к assets_grid/data увеличивая offset. Упёрлись в лимит 50000 результатов? Добавьте "| limit(0)" в конец PDQL-запроса.

🧠 Отлаживать PDQL-запросы удобнее в web-gui и затем смотреть какие запросы браузер шлёт, т.к. используется тот же API.

📄 Пример python-скрипта для экcпорта всех трендовых уязвимостей.