Архив метки: Qualys

Завтра Qualys проводит на BrightTALK большое онлайн мероприятие про Patch Management

Завтра Qualys проводит на BrightTALK большое онлайн мероприятие про Patch Management. Обещают представить концепцию "Patching goes Patchless". Нагнетают интригу, обещают "groundbreaking new strategies". 🤔 Будут продвигать иммутабельную инфраструктуру или виртуальный патчинг? Upd. Не угадал.

Что будет ещё, помимо keynote доклада от CEO Qualys?

🔹 CIS расскажут о том, когда следует устанавливать патчи (и когда не следует), минимизируя перебои в работе бизнеса.
🔹 Доклады от ИБ-компаний. InfoSys расскажут как разобраться с 80–85% критичных обновлений безопасности в течение 4–5 дней. Novacoast накинут докладом "ваши инструменты не работают".
🔹 Клиентские доклады от сотрудников JPMorgan Chase и Signature Aviation (судя по их соцсеточкам 😉).
🔹 2 продуктовых доклада Qualys про улучшение взаимодействия с IT и "remediation beyond patching".

Начало в 9:00 AM PT (19:00 MSK). Идти будет часа 4. Думаю keynote и продуктовые доклады точно стоит заценить, остальное опционально.

Выпустил новую версию Vulristics 1.0.6

Добавить комментарий

Выпустил новую версию Vulristics 1.0.6.

🔹 Упростил работу с данными об эксплоитах. Теперь все Data Sources приносят эти данные в едином формате и они обрабатываются единообразно. В том числе признаки наличия эксплоита в Microsoft CVSS Temporal Vector (отношу их к приватным эксплоитам). Сначала смотрю наличие публичных эксплоитов, если их нет, то приватных эксплоитов.

🔹 Поправил багу из-за которой не получалось принудительно выставлять тип уязвимости из Custom Data Source.

🔹 При упрощённом детектировании наименования продуктов для генерённых описаний уязвимостей Microsoft описание продуктов теперь подтягивается и по alternative_names.

🔹 Исправил багу с падением Vulristics при генерации отчёта Microsoft Patch Tuesday во время поиска обзора MSPT от Qualys. Теперь падать не будет, просто отчёт Qualys не будет учитываться. Чтобы учитывался, нужно прописать ссылку в файле comments_links. Пример описания добавил в help и README.

Changelog
Непожатая картинка

Трек про "regreSSHion" RCE от root-а в OpenSSH (CVE-2024-6387)

1 комментарий

Трек про "regreSSHion" RCE от root-а в OpenSSH (CVE-2024-6387). 🙂 Трек сгенерировал в сервисе Suno.

(regreSSHion! regreSSHion!)
В OpenSSH CVE-2024-6387.
Удалённое выполнение произвольного кода без аутентификации от root-а - опасность понятна всем.

Это не шутка,
Звучит достаточно жутко.
(regreSSHion! regreSSHion!)

Уязвимость нашли эксперты компании Qualys.
И написали подробный write-up, как они на эту уязвимость напоролись.

Эта уязвимость - регресс старой уязвимости CVE-2006-5051 ранее исправленной.
Для неё признаков эксплуатации вживую и эксплоитов так и не было представлено.

Регресс произошёл в октябре, 2020 год,
Когда случился на версию OpenSSH 8.5p1 переход.

Уязвимы "glibc-based Linux systems" в конфигурации по умолчанию,
А OpenBSD не подвержена, согласно описанию.

Насколько это критично? Расклад таков:
В Интернете 14 миллионов потенциально уязвимых хостов.

Это не шутка,
Звучит достаточно жутко.
(Regression! Regression!)

Qualys обещают exploit не публиковать ибо
Злоумышленники начнут атаки - и на том спасибо!

Но весьма вероятно, что эксплоит напишут другие нахрапом.
Им хватит и публичного подробного write-up-а.

Но возможно, что атак не будет, а всё это просто пиар:
6-8 часов занимает атака на 32-битную Linux систему с ASLR.

Но, чтобы отбросить сомнения,
Лучше обновиться и мониторить попытки подключения.

Запатчи уязвимости на зло врагам
И подпишись на avleonovrus "Управление Уязвимостями и прочее" в Телеграм!

MP3 файл

Upd. Судя по реакциям, трек получился неоднозначный. 😅 Согласен, с первого раза на слух воспринимается тяжело. Учту на будущее, что рифмовать нужно тщательнее и грайм не очень подходит для подобных треков, лучше что-то поспокойнее. Но сам трек пусть остаётся, если отслеживать текст в видяшке, то вроде вполне норм. 😉

RCE от root-а в OpenSSH "regreSSHion" (CVE-2024-6387)

3 комментария

RCE от root-а в OpenSSH "regreSSHion" (CVE-2024-6387). Уязвимость нашли эксперты компании Qualys. Неаутентифицированный удалённый злоумышленник может выполнять произвольный код от root-а. Звучит жутко. 😱🙂

Эта уязвимость - регресс ранее исправленной уязвимости CVE-2006-5051. Для неё, кстати, признаков эксплуатации вживую и эксплоитов не видно.

🔻 Регресс произошёл в октябре 2020 г., начиная с OpenSSH 8.5p1
🔻 Уязвимы "glibc-based Linux systems" в конфигурации по умолчанию, OpenBSD уязвимости не подвержена
🔻 В Интернете 14 миллионов потенциально уязвимых хостов
🔻 Qualys эксплоит обещают не публиковать, но весьма вероятно, что эксплоит напишут сторонние исследователи по их подробному write-up-у

Уязвимые версии:

❌ OpenSSH 4.4p1
❌ 8.5p1 = OpenSSH 9.8p1 Неуязвимые версии: ✅ 4.4p1 = OpenSSH 8.5p1
✅ OpenSSH >= 9.8p1

Upd. В описании релиза пишут, что атака 32-битной системы с ASLR в лаборатных условиях заняла 6-8 часов. Видимо процесс всё же непростой. 😉

Вчера Qualys представили CyberSecurity Asset Management 3.0

Добавить комментарий

Вчера Qualys представили CyberSecurity Asset Management 3.0. В названии решения значится "Asset Management", но само решение сразу презентуется нам как "переопределение управления поверхностью атаки" , т.е. EASM. Такая вот гартнеровская маркетинговая мешанина. 🤷‍♂️ При этом, у Qualys действительно достаточно необычный Asset Managementи и EASM. И необычно как они к этому пришли. Тут, естественно, исключительно мои впечатления как стороннего наблюдателя, никакого инсайда у меня нет.

🔹 В 2020 году Qualys представили решение Global AssetView. Если упрощённо, то пользователи могли бесплатно раскатать облачные агенты Qualys на известные в инфре хосты, развернуть Qualys Passive Sensor для поиска неизвестных активов по трафику и получить некоторое базовое представление о составе инфры и её состоянии (без расчета уязвимостей). Такое Freemium предложение, с которого можно было бы удобно апселить основную функциональность Vulnerability Management и Compliance Management. Ход весьма и весьма смелый.

🔹 В 2021 году как развитие Global AssetView появился продукт CyberSecurity Asset Management. Это уже был заход в полноценное Управление Активами: двусторонняя синхронизация с CMDB ServiceNow, учёт критичности активов, учёт ПО, оценка поверхности атаки при помощи Shodan (последнее тогда не особенно подчёркивали). Насколько я могу понять, изначальная цель CSAM была в том, чтобы отслеживать кейсы, которые влияют на безопасность активов, но уязвимостями, строго говоря, не являются: shadow IT, хосты с подходящими end-of-life (EoL)-of-support (EoS), хосты без установленных EDR, рискованные порты опубликованные в Интернет, мисконфигурации софта и сервисов.

🔹 В 2022 Qualys выпустили CyberSecurity Asset Management 2.0 с интегрированным решением по контролю внешней поверхности атаки (EASM). Сама идея, что EASM можно развивать и продавать в рамках решения по Управлению Активами весьма необычная. Но логика в этом есть. Уменьшение поверхности атаки это не про то, что нужно пропатчить тот или иной торчащий наружу сервер, а про то, что какого-то торчащего наружу старья вообще не должно быть ("if an externally facing asset or its configuration is not necessary for the business, then it should be shut down"). И вот с этой точки зрения EASM это действительно не столько периметровый сканер, сколько хитрая штуковина, которая накидывает неочевидные активы, с некоторой вероятностью относящиеся к компании, и показывает риски с ними связанные. 🐇 🎩 Часть управления активами? Ну видимо да.

Таким образом, насколько я понимаю, сейчас у Qualys есть VMDR (Vulnerability Management, Detection and Response), который включает в себя CSAM (CyberSecurity Asset Management ), который включает в себя EASM (External Attack Surface Management). Такая вот матрёшка. 🪆

А что же в версии CSAM 3.0?

🔻 Убрали упоминания Shodan. "CSAM 3.0 использует новую систему оценки атрибуции и расширяет использование технологий с открытым исходным кодом и собственного интернет-сканера для обеспечения точного обнаружения, атрибуции и оценки уязвимостей" . При атрибуции актива отображаются показатели достоверности (можно по ним фильтровать).

🔻Используются возможности детектирования активов Cloud Agent Passive Sensing (хостовые агенты, снифающие трафик - я о них уже писал)

🔻Коннекторы для интеграции с источниками данных об активах (анонсированы коннекторы для Active Directory и BMC Helix). Видимо раньше интеграции с AD не было. 🤷‍♂️

Западные VM-вендоры друг о друге

1 комментарий

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Tenable
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Security Leader’s Guide)
🔹 Сравнение с Rapid7 (Security Leader’s Guide)
🔹 Сравнение с Rapid7 (Vulnerability Prioritization)
🔹 Сравнение с Microsoft Defender (Security Leader’s Guide)
🔹 Сравнение с CrowdStrike (Security Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Tenable
🔹 Сравнительная таблица с Tenable (другой вариант)
🔹 Сравнительная таблица с Tenable Nessus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Tenable

Первые впечатления от апрельского Microsoft Patch Tuesday

2 комментария

Первые впечатления от апрельского Microsoft Patch Tuesday. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tuesday.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoofing - Proxy Driver (CVE-2024-26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not disclosed any information about the vulnerability". 😅 ZDI ещё утверждает, что вживую эксплуатируется Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Execution - Microsoft Excel (CVE-2024-26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Execution - RPC (CVE-2024-20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoofing - Outlook for Windows (CVE-2024-20670). ZDI пишет, что это Information Disclosure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Execution - Windows DNS Server (CVE-2024-26221, CVE-2024-26222, CVE-2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231, CVE-2024-26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024-26221.
🔸 Remote Code Execution - Microsoft Defender for IoT (CVE-2024-21322, CVE-2024-21323, CVE-2024-29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Execution - Microsoft OLE DB Driver for SQL Server / Microsoft WDAC OLE DB Provider for SQL Server / Microsoft WDAC SQL Server ODBC Driver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Security Feature Bypass - Secure Boot. 23 CVE!

🗒 Отчёт Vulristics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoofing - Proxy Driver (CVE-2024-26234) и Spoofing - Outlook for Windows (CVE-2024-20670).