В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО. 🙂 Пошли массовые атаки. Этому поспособствовала публикация PoC-а исследователями из Rapid7. 🤷♂️ Shadowserver сообщает о 170 засветившихся атакующих IP.
Требование CISA от 31 января поотключать эти инстансы в двухдневный срок выглядит теперь более чем мудро. Правда они рекомендовали отключить их для полного ресета, обновления и возврата в эксплуатацию, а надо было бы отключить совсем. Потому что проклятье Ivanti однозначно есть. 🧙♀️
00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне" 01:55 Прошёл крутой Киберстендап 05:35 Ноябрьский Microsoft Patch Tuesday 11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON 13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment" 18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент 23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence 28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского 36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC) 41:15 Ноябрьский Linux Patch Wednesday 45:34 Обсуждаем зарплаты ИБ-шников в США 53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения 55:01 На днях начал использовать чатботы для генерации кода 01:01:32 Постановление Правительства и 100% Отечественный Производитель 01:08:11 Прощание от Mr.X
Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment". Выдержку можно скачать у Tenable, правда она на 7 страничек и описание вендора там только для Tenable.
Что можно сказать, просто глядя на картинку? Глобальный расклад сил не меняется. Большая TQR тройка на месте. С другой стороны, маркетинг такой маркетинг. Опять масса компаний, решения которых к VM-у имеют опосредованное отношение. При этом нет более-менее известных игроков. Ну ладно, российских нет. Сложно было бы ожидать. 😏 Но вот Greenbone и SecPod могли бы и упомянуть. Да даже тот же самый Microsoft с Defender for Endpoint. Хорошо хоть Outpost24 есть. 😅
Тут, конечно, всегда можно попробовать заявить, что решения отсутствующих VM-вендоров недостаточно Risk-Based, но это очень сомнительная аргументация.
Вот это, похоже, громкая тема будет - RCE в Apache ActiveMQ (CVE-2023-46604). Что это вообще такое?
Apache ActiveMQ — брокер сообщений с открытым исходным кодом (распространяется под лицензией Apache 2.0), реализующий спецификацию JMS (Java Message Service) 1.1. Среди возможностей — кластеризация, возможность использовать для хранения сообщений различные СУБД, кэширование, ведение журналов.
Никогда раньше не сталкивался. 🤷♂️ Но вот у джавистов, похоже, достаточно популярная штука. Пишут, что 7к в Интернет торчат, 3к уязвимы. 🌝
Согласно описанию на NVD, уязвимость позволяет злоумышленнику с сетевым доступом выполнять произвольные shell команды. CVSS Base Score 10/10. Есть публичный PoC и рассказ Rapid7 о том, что уязвимость уже используется шифровальщиками. Причём там пошифровали Windows хосты. 🧐 Хороший повод поискать это у себя в инфре (если не на периметре 😉).
Rapid7 сократят 18% сотрудников. На начало года их в компании было 2600. CEO Rapid7 в письме сотрудникам пишет, что компания будет фокусироваться на MDR (Managed Detection and Response) и "build the most adoptable cloud capabilities" (что бы это ни значило). Непосредственно Vulnerability Management у них и так-то не особо развивался, а теперь видимо и вовсе зачахнет. 🤷♂️
Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements 00:11 Works faster 01:31 Microsoft ADVs 02:45 Comments Table
TOP 04:09Remote Code Execution – Microsoft Office (CVE-2023-36884) 05:06Security Feature Bypass – Windows SmartScreen (CVE-2023-32049) 05:48Security Feature Bypass – Microsoft Outlook (CVE-2023-35311) 06:37Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874) 07:16Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs 08:10Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350) 09:01Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309) 09:44Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) 10:24Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315) 10:57Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160) 11:42Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
1. Инвентаризация активов через AD. 2. Активное сканирование сети. 3. Распространенные способы не прошли ("BNS poisoning, SMB Signing not required, or IPv6-based attacks"). 4. Атака на IPMI - интерфейс для управления функциями, встроенными в аппаратное и микроПО серверных платформ. Сбор IPMI хешей и их анализ. Нашли стандартные учётки типа "admin:admin" и "root:root". 5. Зашли в веб-интерфейс на трёх IPMI активах, увидели инстансы VMware ESXi, а также ip и url для админки VMware ESXi. 6. Получили доступ к VMware ESXi консолям (учётка такая же, что и для IPMI!), нашли на них основной контроллер домена (DC) и сервер Exchange. 7. Получили доступ к файловой системе DC, достали NTDS.DIT файл с NTLM хешами. 8. Демонстрация импакта: поиск критичной информации в email-ах и на шарах, рассылка писем от имени пользователей, сброс второго фактора.
В общем, основное это головотяпство. Хотя очень шумно делали, особенно сканирование.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
