Архив метки: Qualys

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990). 19 ноября Qualys выпустили бюллетень безопасности про 5 уязвимостей повышения привилегий в утилите needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003), используемой по умолчанию в Ubuntu Server, начиная с версии 21.04.

Утилита needrestart запускается автоматически после операций пакетного менеджера APT, таких как установка, обновление или удаление пакетов. Она определяет требуется ли перезагрузка для системы или ее служб. Таким образом гарантируется, что службы используют последние версии библиотек, без снижения аптайма.

Все 5 уязвимостей позволяют обычному пользователю стать root-ом. Для всех у Qualys есть приватные эксплоиты. Публичный эксплоит есть пока только для одной, связанной с переменной окружения PYTHONPATH. ⚡️ Он доступен на Github с 20 ноября.

Обновляйте needrestart до версии 3.8 или отключайте "interpreter scanning" в needrestart.conf.

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров. Натравляем его на образ и получаем список уязвимостей (а-ля Trivy).

Поддерживает:

"Local Runtimes: Scan images from Docker, Containerd, or Podman.
Local Archives: Analyze Docker images or OCI layouts from local files.
Remote Registries: Connect to AWS ECR, Azure Container Registry, JFrog, GHCR, and more."

Возможности:

🔹 детектирует уязвимости пакетов ОС
🔹 Software Composition Analysis (SCA) для приложений на Ruby, Rust, PHP, Java, Go, Python, .NET и Node.js.
🔹 детектирует секреты (пароли, ключи API и токены)

Но не бесплатно. 🤷‍♂️💸🙂 Все кейсы, кроме генерации SBOM, требуют ACCESS_TOKEN и Platform POD. Т.е. нужен Qualys Container Security, где будут сохраняться результаты сканирования QScanner-ом.

Можно использовать для:

🔸 сканирования локальных образов на десктопах разрабоов
🔸 интеграции в CI/CD пайплайны
🔸 интеграции с реестрами

Концепция интересная. 👍

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера. Поддерживается Windows (X86-32/64) и Linux (X64-RPM, X64-DEB). Есть видео с демонстрацией как это делать в GUI Qualys.

Зачем оно нужно?

🔹 Руками ставить агенты на хосты трудоемко и это может приводить к ошибкам.
🔹 Можно использовать сторонние инструменты автоматизации установки приложений (если есть). Эта фича отчасти снимает необходимость в таких инструментах.
🔹 Обнаружение и развертывание агентов можно делать в рамках одного процесса. Хосты без агента можно отслеживать через "QID 45592 – Qualys Cloud Agent not installed".

Функция заработает для всех к декабрю 2024 года, пока включают ручками через TAM-а.

Очень логичное улучшение. У Qualys агенты давно стали основным способом получения данных с хоста и изменения его состояния (включая патчинг и применение workaround-ов). Теперь разворачивание агента становится не сложнее обычного безагентного сканирования хоста. 👍

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM)

Qualys анонсировали модуль TotalAI для обеспечения безопасности искусственного интеллекта (AI) и больших языковых моделей (LLM). Модуль будет доступен в Q4 2024 в рамках платформы Enterprise TruRisk.

Заявленные фичи:

🔹 Обнаружение и мониторинг AI инфраструктуры организаций. Чтобы не было "shadow LLM".

🔹 Vulnerability Management с фокусом на угрозы AI. Делают акцент на противодействии воровству (извлечению) данных и моделей. Будут предлагать разнообразные способы исправления уязвимостей.

🔹 Специализированное сканирование LLM с упором на prompt injection, воровство модели и раскрытие конфиденциальной информации.

🔹 Compliance Management и управление рисками. Делают акцент на утечках данных. Упоминают GDPR, PCI, CCPA.

Есть скриншот интерфейса со статистикой по моделям и их угрозам. Также там угрозы для связанных активов и занимательные информеры для AI Workloads, AI Software и GPU.

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у. В первую очередь хочу поблагодарить Дмитрия и Никиту за компанию, текстовая трансляция с обсуждением удалась. 🙂👍

Понравилось:

✅ Крутой доклад Eran Livne про Patch Management в Qualys. 👍 Особенно про создание связанных задач на патчинг (сначала на тестовом скоупе, а через неделю на полном скоупе) и про возможность изолировать хосты в качестве митигейшена (остаётся доступ только из облака Qualys). Про новый TruRisk Eliminate было тоже интересно.
✅ Adam Gray красиво обосновал необходимость обязательного патчинга (т.к. prevention толком не работает 🤷‍♂️).

Не понравилось:

❌ Большую часть времени докладчики говорили не про Patch Management, а про другие ИБ темы. Хотелось бы большего фокуса.
❌ Тезисы типа "вам не нужно патчить все уязвимости" не могу принять. 🤷‍♂️ Моя позиция: нужно патчить всё. А workaround-ы это хорошо, но это временные костыли ДО полноценной установки патча.

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK

Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK. Приглашаю всех выкатиться туда к этому времени. Перемоем косточки Qualys-ам, поугараем над штампами буржуйского ИБ-маркетинга, отметим полезные идеи и фичи. На само сообщество "Управление Уязвимостями и прочее" в VK тоже приглашаю подписаться. Пока это резервная площадка, но что-то мне подсказывает, что довольно скоро она может стать основной. 😏 Все посты туда дублирую и там открыты комментарии.

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а. Не стали Qualys нагнетать интригу вплоть до мероприятия и опубликовали блог-пост с анонсом. Дело оказалось не в иммутабельной инфре, и не в виртуальном патчинге. Если одним словом - это workaround-ы.

На скриншоте TruRisk Eliminate видим отфильтрованный список уязвимостей на активах, критичность уязвимостей в виде QDS, колонки Remediations и Mitigations.

🔹 Remediations - это установка патча или установка патча с переконфигурированием.

🔹 Mitigations - это workaround-ы, нейтрализующие уязвимость без патчинга: изменение ключа реестра, изменение конфига, удаление приложения, блокировка порта, изоляция устройства и т.д.

И есть кнопка для выполнения действия на активе с помощью агента с выбором Remediations/Mitigations опции.

Логичное развитие. Раз дали возможность патчить, чего бы не дать возможность применять workaround-ы. Но сложностей с этим у Qualys будет - атас. 🫣