Архив метки: Qualys

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи

Добавить комментарий

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Добавить комментарий

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990). 19 ноября Qualys выпустили бюллетень безопасности про 5 уязвимостей повышения привилегий в утилите needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003), используемой по умолчанию в Ubuntu Server, начиная с версии 21.04.

Утилита needrestart запускается автоматически после операций пакетного менеджера APT, таких как установка, обновление или удаление пакетов. Она определяет требуется ли перезагрузка для системы или ее служб. Таким образом гарантируется, что службы используют последние версии библиотек, без снижения аптайма.

Все 5 уязвимостей позволяют обычному пользователю стать root-ом. Для всех у Qualys есть приватные эксплоиты. Публичный эксплоит есть пока только для одной, связанной с переменной окружения PYTHONPATH. ⚡️ Он доступен на Github с 20 ноября.

Обновляйте needrestart до версии 3.8 или отключайте "interpreter scanning" в needrestart.conf.

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Добавить комментарий

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров. Натравляем его на образ и получаем список уязвимостей (а-ля Trivy).

Поддерживает:

"Local Runtimes: Scan images from Docker, Containerd, or Podman.
Local Archives: Analyze Docker images or OCI layouts from local files.
Remote Registries: Connect to AWS ECR, Azure Container Registry, JFrog, GHCR, and more."

Возможности:

🔹 детектирует уязвимости пакетов ОС
🔹 Software Composition Analysis (SCA) для приложений на Ruby, Rust, PHP, Java, Go, Python, .NET и Node.js.
🔹 детектирует секреты (пароли, ключи API и токены)

Но не бесплатно. 🤷‍♂️💸🙂 Все кейсы, кроме генерации SBOM, требуют ACCESS_TOKEN и Platform POD. Т.е. нужен Qualys Container Security, где будут сохраняться результаты сканирования QScanner-ом.

Можно использовать для:

🔸 сканирования локальных образов на десктопах разрабоов
🔸 интеграции в CI/CD пайплайны
🔸 интеграции с реестрами

Концепция интересная. 👍

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Добавить комментарий

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера. Поддерживается Windows (X86-32/64) и Linux (X64-RPM, X64-DEB). Есть видео с демонстрацией как это делать в GUI Qualys.

Зачем оно нужно?

🔹 Руками ставить агенты на хосты трудоемко и это может приводить к ошибкам.
🔹 Можно использовать сторонние инструменты автоматизации установки приложений (если есть). Эта фича отчасти снимает необходимость в таких инструментах.
🔹 Обнаружение и развертывание агентов можно делать в рамках одного процесса. Хосты без агента можно отслеживать через "QID 45592 – Qualys Cloud Agent not installed".

Функция заработает для всех к декабрю 2024 года, пока включают ручками через TAM-а.

Очень логичное улучшение. У Qualys агенты давно стали основным способом получения данных с хоста и изменения его состояния (включая патчинг и применение workaround-ов). Теперь разворачивание агента становится не сложнее обычного безагентного сканирования хоста. 👍

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Добавить комментарий

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM). Модуль будет доступен в Q4 2024 в рамках платформы Enterprise TruRisk.

Заявленные фичи:

🔹 Обнаружение и мониторинг AI инфраструктуры организаций. Чтобы не было "shadow LLM".

🔹 Vulnerability Management с фокусом на угрозы AI. Делают акцент на противодействии воровству (извлечению) данных и моделей. Будут предлагать разнообразные способы исправления уязвимостей.

🔹 Специализированное сканирование LLM с упором на prompt injection, воровство модели и раскрытие конфиденциальной информации.

🔹 Compliance Management и управление рисками. Делают акцент на утечках данных. Упоминают GDPR, PCI, CCPA.

Есть скриншот интерфейса со статистикой по моделям и их угрозам. Также там угрозы для связанных активов и занимательные информеры для AI Workloads, AI Software и GPU.

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у

Добавить комментарий

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у. В первую очередь хочу поблагодарить Дмитрия и Никиту за компанию, текстовая трансляция с обсуждением удалась. 🙂👍

Понравилось:

✅ Крутой доклад Eran Livne про Patch Management в Qualys. 👍 Особенно про создание связанных задач на патчинг (сначала на тестовом скоупе, а через неделю на полном скоупе) и про возможность изолировать хосты в качестве митигейшена (остаётся доступ только из облака Qualys). Про новый TruRisk Eliminate было тоже интересно.
✅ Adam Gray красиво обосновал необходимость обязательного патчинга (т.к. prevention толком не работает 🤷‍♂️).

Не понравилось:

❌ Большую часть времени докладчики говорили не про Patch Management, а про другие ИБ темы. Хотелось бы большего фокуса.
❌ Тезисы типа "вам не нужно патчить все уязвимости" не могу принять. 🤷‍♂️ Моя позиция: нужно патчить всё. А workaround-ы это хорошо, но это временные костыли ДО полноценной установки патча.

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK

Добавить комментарий

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK. Приглашаю всех выкатиться туда к этому времени. Перемоем косточки Qualys-ам, поугараем над штампами буржуйского ИБ-маркетинга, отметим полезные идеи и фичи. На само сообщество "Управление Уязвимостями и прочее" в VK тоже приглашаю подписаться. Пока это резервная площадка, но что-то мне подсказывает, что довольно скоро она может стать основной. 😏 Все посты туда дублирую и там открыты комментарии.