Архив метки: PositiveTechnologies

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

1 комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку. 😇 Всего 8 уязвимостей:

🔻 Наиболее громкими в мировом масштабе были 3 уязвимости Ivanti (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893), которые позволяют полностью скомпрометировать аппаратные и виртуальные апплаенсы. Хорошо, что в России Ivanti это экзотика.
🔻 Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762). По мнению вендора, может активно эксплуатироваться.
🔻 4 уязвимости из февральского Microsoft Patch Tuesday:
- Обход функций безопасности в Windows SmartScreen (CVE-2024-21351) и Internet Shortcut Files (CVE-2024-21412) эксплуатируются в фишинговых атаках.
- Повышение привилегий в Microsoft Exchange (CVE-2024-21410) и выполнение произвольного кода в Microsoft Outlook (CVE-2024-21413) эксплуатируются в NTLM Relay атаках.

➡️ Читайте подробнее

🟥 Пост в канале PT

24 марта стартует второй набор онлайн-практикума по Управлению Уязвимостями от Positive Technologies

Добавить комментарий

24 марта стартует второй набор онлайн-практикума по Управлению Уязвимостями от Positive Technologies

24 марта стартует второй набор онлайн-практикума по Управлению Уязвимостями от Positive Technologies. Программу существенно расширили и улучшили. Стало вообще круто! 🙂

Я записал для него сегодня 2 новых модуля:

🔹 Построение Vulnerability Management-системы на основе open source и freeware компонентов. 🆓 Какие инструменты можно использовать для детектировании и приоритизации уязвимостей, а также визуализации состояния инфраструктуры. Какие там есть подводные камни. 🪨

🔹 Сканирование сетевого периметра. От понимания, что такое периметр в организации, к тому, как организовать регулярное сканирование и исправление уязвимостей. 📊

В этот раз читал заранее подготовленный текст с суфлёра, так что должно получиться чётенько. 🙂

➡️ Записывайтесь на практикум, рекомендуйте друзьям.

Здесь ещё официальный пост про него.

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shadowserver, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shadowserver и Shodan?
09:38 Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа
11:54 "Operation Cronos" против группировки вымогателей LockBit, возможная эксплуатация уязвимости Remote Code Execution - PHP (CVE-2023-3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Linux Patch Wednesday и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Security Report".
25:20 RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению payload-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cactus украли 1,5 ТБ внутренних данных техногиганта Schneider Electric
55:53 Прощание от Mr. X

Прикольно, PT в десятке самых дорогих компаний рунета по версии Forbes

Добавить комментарий

Прикольно, PT в десятке самых дорогих компаний рунета по версии Forbes
Прикольно, PT в десятке самых дорогих компаний рунета по версии Forbes

Прикольно, PT в десятке самых дорогих компаний рунета по версии Forbes. И, формально, единственная компания из кибербеза. 😅 ЛК почему-то записали в IT, хотя ниже указывают как кибербез. 🤷‍♂️🙂 Видимо ошибочка вышла.

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

1 комментарий

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа

Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа.

🔸 Об этом 29 января сообщила команда форенсики шведской компании Truesec. Они обнаружили, что как минимум в 6 инцидентах связанных с шифровальщиком Akira точкой входа была Cisco Anyconnect с уязвимостью CVE-2020-3259. 15 февраля уязвимость добавили в CISA KEV.

🔸 Уязвимость была обнаружена исследователями PT SWARM компании Positive Technologies, Михаилом Ключниковым и Никитой Абрамовым, 6 мая 2020 года:

"Ее эксплуатация позволяет читать некоторые части динамической памяти устройства и получить актуальный идентификатор сессии пользователя, подключенного к Cisco VPN. Используя клиент для Cisco VPN, злоумышленник может указать украденный идентификатор сессии и войти во внутреннюю сеть организации. Кроме того, в памяти Cisco ASA может храниться и другая конфиденциальная информация, которая поможет при дальнейших атаках, например имена пользователей, адреса электронной почты, сертификаты. Данная уязвимость также может быть реализована удаленно и не требует авторизации".

🔸 До этого информации об общедоступных эксплоитах для этой уязвимости не было. Но, как видим, использованию в атаках это не мешало. Причём непонятно когда именно началась эксплуатация. Truesec считают логины/пароли пользователей Cisco Anyconnect, которые существовали в системе до фикса CVE-2020-3259, скомпромитированными. Как и другие данные, которые могли засветиться на Anyconnect-е. Также рекомендуют подключить двухфакторку и журналирование. И если вы вдруг не патчили эту уязвимость, то патчите конечно. А лучше импортозамещайтесь поскорее. 😉

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

Добавить комментарий

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"

00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

2 комментария

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года. В работе над которым я принимал участие. 😇 Это наш первый опыт в таком формате, планируем выпускать подобные дайджесты ежемесячно и возможно не только текстом. 😉

За январь в трендовые добавили 6 уязвимостей.

🔻 По двум эксплуатация вживую указана прям в CISA KEV: RCE в Confluence (CVE-2023-22527) и RCE в vCenter (CVE-2023-34048).
🔺 По двум есть эксплоиты и эксплуатация вживую скорее всего есть, но формально она пока не зафиксирована: AuthBypass в GitLab (CVE-2023-7028), Arbitrary File Reading в Jenkins CLI (CVE-2024-23897).
🔸 По двум есть признаки, что эксплуатация вживую может скоро начаться: RCE в Junos OS (CVE-2024-21591), Information Disclosure в Outlook (CVE-2023-35636).

По каждой уязвимости наши Cyber Analytics подготовили подробное описание: что за уязвимость, случаи эксплуатации, эксплоиты, потенциальные жертвы, способы устранения.

🟥 Пост в канале PT