Быстро же появился PoC для glibc EoP/LPE (CVE-2023-4911) "Looney Tunables" от заслуженного ресерчера. Пишет, что write-up Qualys-ов был более чем подробным.
Qualys-ы опять наресерчили EoP/LPE уязвимость во всех Linux-дистрибах. Речь о переполнении буфера в glibc (CVE-2023-4911). Название Looney Tunables уязвимость получила от переменной окружения GLIBC_TUNABLES. Qualys-ы пишут, что у них есть эксплоит для получения полных root-прав в основных дистрибутивах, таких как Fedora, Ubuntu и Debian. Эксплоит они выкладывать пока не собираются, но подозревают, что другие исследовательские группы могут вскоре создать и выпустить свои эксплоиты.
Qualys-ы вообще любят подобны LPE-шки. Навскидку вспоминаются их Baron Samedit, Sequoia, PwnKit.
Можно замерять, как быстро появятся фиксы в отечественных дистрибах. 😏
Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia
Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Main Job
01:57 Goodbye Tinkoff
Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM
С маркетинговыми сравнительными отчётами по Vulnerability Management решениям то пусто, то густо. Одновременно подъехали:
🔻 GigaOm Radar Report for Continuous Vulnerability Management v3.01. Можно посмотреть у Qualys.
🔻 The Forrester Wave™: Vulnerability Risk Management, Q3 2023. Можно посмотреть у Tenable.
Почему каждый из вендоров распространяет сейчас тот или иной отчёт наглядно видно на картинках. 😉
Прожектор по ИБ, выпуск №2 (10.09.2023). Вчера вечером записали ещё один эпизод нашего новостного ток-шоу по ИБ. Компания у нас всё та же:
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
00:00 Вступление
01:08 Что случилось с бюджетами CISO? Обсуждаем опросы и исследования по ИБ
10:36 Байкалы выставлены на аукцион? Что с отечественными процессорами?
16:39 Atomic Heart в контексте ИБ. Впечатления от игры и книги Предыстория «Предприятия 3826»
26:39 Р-ФОН, ОС Аврора и "понты нового времени"
36:48 Утечка из МТС Банка?
45:04 Мошенники размещают QR-коды возле школ
50:18 Qualys TOP 20 эксплуатируемых уязвимостей
54:18 Прощание от Mr. X
Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE). Я их выписал. Стало интересно, а есть ли что-то, что не входит в недавние англосаксонские списки. Оказалось, что не входят 12 CVE, т.е. ровно половина:
CVE-2012-0158
CVE-2012-0507
CVE-2012-1723
CVE-2013-0074
CVE-2014-6271
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-8570
CVE-2018-0802
CVE-2018-8174
CVE-2019-2725
Это #Shellshock, MS17-010, 3 RCE для Office, 2 RCE для VBScript и Silverlight, 3 уязвимости для Oracle Java и WebLogic. Видимо англосаксы намерили, что в 2022 это было уже не актуально. 🤷♂️
Выпустил отчёты Vulristics:
🗒 Qualys TOP 20 2023
🗒 Qualys TOP 20 2023 NOT in Joint report
В начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложений.
Вот, допустим, есть у вас в организации самописная софтина. Её пилят ваши разрабы. Естественно на основе опенсурса. Возможно ваши апсеки периодически проверяют её SAST-ом/DAST-ом и детектят-исправляют уязвимости. Но ваше VM-решение об этой софтине не знает и, соответственно, уязвимости для неё не детектирует. Более того, даже если вы знаете, что версии этой софтины
Что предлагает Qualys. Во всяком случае то, что я понял из достаточно пространной видяшки и поста.
1. Custom Assessment and Remediation (CAR), о котором я раньше уже писал. Это механизм для добавления собственных скриптовых детектов, в том числе на PowerShell и Python. Написали свой скрипт детекта (например по версиям, которые вам апсеки сказали), добавили в Qualys - получили уязвимые хосты. Такие уязвимости будут иметь QID и с ними можно работать как с уязвимостями, которые продетектил сам Qualys.
2. Runtime Software Composition Analysis (SCA). Это композиционный анализ. Во время сканирования на наличие уязвимостей детектируется не только сам софт и его версия, но и используемые этим софтом библиотеки.
"SCA сканирует уязвимости в компонентах с открытым исходным кодом, разработанных для Java, Go, .Net, Python, Node JS, Rust, Ruby, PHP и других. Добавление SCA расширяет возможности сканирования VMDR, добавляя более 13 000 новых сигнатур, охватывающих более 11 000 CVE."
Фактически это сводится к тому, что Qualys Agent бегает по файловой системе и ищет/анализирует файлики библиотек (в т.ч. Log4j). Это не супер-новшество. Такие детекты я давно видел в Microsoft Defender for Endpoint. Видимо это становится обязательной фичой.
В общем, VM-вендоры, присмотритесь к кейсам! Клиенты VM-вендоров, задавайте им неудобные вопросы! 😉
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.