Архив метки: Rapid7

Западные VM-вендоры друг о друге

Западные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о друге

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Ten­able
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Vul­ner­a­bil­i­ty Pri­or­i­ti­za­tion)
🔹 Сравнение с Microsoft Defend­er (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Crowd­Strike (Secu­ri­ty Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Ten­able
🔹 Сравнительная таблица с Ten­able (другой вариант)
🔹 Сравнительная таблица с Ten­able Nes­sus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Ten­able

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass — TeamCity (CVE-2024–27198, CVE-2024–27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют Auth­By­pass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jas­min
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain dis­cov­ery and per­sis­tence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Как и предполагалось, скриптик для эксплуатации Authentication Bypass — TeamCity (CVE-2024–27198, CVE-2024–27199) появился на GitHub через несколько часов после выхода статьи Rapid7

Как и предполагалось, скриптик для эксплуатации Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199) появился на GitHub через несколько часов после выхода статьи Rapid7

Как и предполагалось, скриптик для эксплуатации Authen­ti­ca­tion Bypass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199) появился на GitHub через несколько часов после выхода статьи Rapid7. 🙂 Весь скрипт это создание аккаунта администратора одним запросом. 🤷‍♂️

Свеженький Authentication Bypass — TeamCity (CVE-2024–27198, CVE-2024–27199)

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)
Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

Свеженький Authen­ti­ca­tion Bypass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199). Формально публичного PoC‑а пока нет, но Rapid7 выпустили подробный write-up, так что ждем очень скоро. Они такими финтами славятся. 😉

Похожая уязвимость в Team­C­i­ty (CVE-2023–42793) активно эксплуатировалась в атаках в прошлом году. Посмотрим как будет на этот раз. 🫠

Уязвимы все версии меньше 2023.11.4. Обновляйтесь! 😇

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024–21893) эксплуатируется в таргетированных атаках — УЖЕ НЕ ТОЛЬКО

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКОВ последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivan­ti Con­nect Secure (CVE-2024–21893) эксплуатируется в таргетированных атаках — УЖЕ НЕ ТОЛЬКО. 🙂 Пошли массовые атаки. Этому поспособствовала публикация PoC‑а исследователями из Rapid7. 🤷‍♂️ Shad­owserv­er сообщает о 170 засветившихся атакующих IP.

Требование CISA от 31 января поотключать эти инстансы в двухдневный срок выглядит теперь более чем мудро. Правда они рекомендовали отключить их для полного ресета, обновления и возврата в эксплуатацию, а надо было бы отключить совсем. Потому что проклятье Ivan­ti однозначно есть. 🧙‍♀️

С интересом наблюдаю за развитием событий. 🙂🍿

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tues­day
11:00 В Vul­ris­tics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "Mar­ketScape: World­wide Risk-Based Vul­ner­a­bil­i­ty Man­age­ment Plat­forms 2023 Ven­dor Assess­ment"
18:07 Один из крупных конкурентов Elas­tic­Search — американский аналог Sumo Log­ic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X‑Threat Intel­li­gence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из Black­Cat (ALPHV) подали жалобу на их недавнюю жертву — Merid­i­an­Link в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Lin­ux Patch Wednes­day
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"

Подъехало свежее маркетинговое чтиво от IDC MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment

Подъехало свежее маркетинговое чтиво от IDC "Mar­ketScape: World­wide Risk-Based Vul­ner­a­bil­i­ty Man­age­ment Plat­forms 2023 Ven­dor Assess­ment". Выдержку можно скачать у Ten­able, правда она на 7 страничек и описание вендора там только для Ten­able.

Что можно сказать, просто глядя на картинку? Глобальный расклад сил не меняется. Большая TQR тройка на месте. С другой стороны, маркетинг такой маркетинг. Опять масса компаний, решения которых к VM‑у имеют опосредованное отношение. При этом нет более-менее известных игроков. Ну ладно, российских нет. Сложно было бы ожидать. 😏 Но вот Green­bone и Sec­Pod могли бы и упомянуть. Да даже тот же самый Microsoft с Defend­er for End­point. Хорошо хоть Outpost24 есть. 😅

Тут, конечно, всегда можно попробовать заявить, что решения отсутствующих VM-вендоров недостаточно Risk-Based, но это очень сомнительная аргументация.