Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment". Выдержку можно скачать у Tenable, правда она на 7 страничек и описание вендора там только для Tenable.
Что можно сказать, просто глядя на картинку? Глобальный расклад сил не меняется. Большая TQR тройка на месте. С другой стороны, маркетинг такой маркетинг. Опять масса компаний, решения которых к VM-у имеют опосредованное отношение. При этом нет более-менее известных игроков. Ну ладно, российских нет. Сложно было бы ожидать. 😏 Но вот Greenbone и SecPod могли бы и упомянуть. Да даже тот же самый Microsoft с Defender for Endpoint. Хорошо хоть Outpost24 есть. 😅
Тут, конечно, всегда можно попробовать заявить, что решения отсутствующих VM-вендоров недостаточно Risk-Based, но это очень сомнительная аргументация.
Вот это, похоже, громкая тема будет - RCE в Apache ActiveMQ (CVE-2023-46604). Что это вообще такое?
Apache ActiveMQ — брокер сообщений с открытым исходным кодом (распространяется под лицензией Apache 2.0), реализующий спецификацию JMS (Java Message Service) 1.1. Среди возможностей — кластеризация, возможность использовать для хранения сообщений различные СУБД, кэширование, ведение журналов.
Никогда раньше не сталкивался. 🤷♂️ Но вот у джавистов, похоже, достаточно популярная штука. Пишут, что 7к в Интернет торчат, 3к уязвимы. 🌝
Согласно описанию на NVD, уязвимость позволяет злоумышленнику с сетевым доступом выполнять произвольные shell команды. CVSS Base Score 10/10. Есть публичный PoC и рассказ Rapid7 о том, что уязвимость уже используется шифровальщиками. Причём там пошифровали Windows хосты. 🧐 Хороший повод поискать это у себя в инфре (если не на периметре 😉).
Rapid7 сократят 18% сотрудников. На начало года их в компании было 2600. CEO Rapid7 в письме сотрудникам пишет, что компания будет фокусироваться на MDR (Managed Detection and Response) и "build the most adoptable cloud capabilities" (что бы это ни значило). Непосредственно Vulnerability Management у них и так-то не особо развивался, а теперь видимо и вовсе зачахнет. 🤷♂️
Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements 00:11 Works faster 01:31 Microsoft ADVs 02:45 Comments Table
TOP 04:09Remote Code Execution – Microsoft Office (CVE-2023-36884) 05:06Security Feature Bypass – Windows SmartScreen (CVE-2023-32049) 05:48Security Feature Bypass – Microsoft Outlook (CVE-2023-35311) 06:37Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874) 07:16Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs 08:10Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350) 09:01Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309) 09:44Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) 10:24Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315) 10:57Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160) 11:42Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
1. Инвентаризация активов через AD. 2. Активное сканирование сети. 3. Распространенные способы не прошли ("BNS poisoning, SMB Signing not required, or IPv6-based attacks"). 4. Атака на IPMI - интерфейс для управления функциями, встроенными в аппаратное и микроПО серверных платформ. Сбор IPMI хешей и их анализ. Нашли стандартные учётки типа "admin:admin" и "root:root". 5. Зашли в веб-интерфейс на трёх IPMI активах, увидели инстансы VMware ESXi, а также ip и url для админки VMware ESXi. 6. Получили доступ к VMware ESXi консолям (учётка такая же, что и для IPMI!), нашли на них основной контроллер домена (DC) и сервер Exchange. 7. Получили доступ к файловой системе DC, достали NTDS.DIT файл с NTLM хешами. 8. Демонстрация импакта: поиск критичной информации в email-ах и на шарах, рассылка писем от имени пользователей, сброс второго фактора.
В общем, основное это головотяпство. Хотя очень шумно делали, особенно сканирование.
В отчёте утверждается, что есть 18 уязвимостей, эксплуатируемых шифровальщиками, которые не детектируются сканерами уязвимостей ТОПовых VM-вендоров (Tenable, Rapid7 и Qualys):
Эти уязвимости эксплуатируются 59 группировками шифровальщиков, среди которых Hive, Qlocker, QNAPCrypt и UEFI.
От меня: когда я призываю к открытости баз знаний VM-вендоров, я имею ввиду именно это. Любой VM-вендор умеет детектировать только часть из всех известных уязвимостей. Кто может сказать, что тех уязвимостей, которые он умеет детектировать, достаточно и в его слепой зоне точно нет ничего критичного? Вот имеем пример, когда исследователи, получив доступ к базам знаний (детектов) VM-вендоров, подтвердили проблему с полнотой. И это мы берём самый-самый топ критичных уязвимостей и самых крутых международных VM-вендоров.
Разумеется, сравнение по детектируемым CVE идентификаторам это далеко не идеальный способ обнаружить проблемы с полнотой, но это простой способ и какое-то представление он даёт. Поэтому, призываю всех пушить отечественных VM-вендоров, чтобы информация о детектируемых уязвимостях была публичной и общедоступной для стороннего анализа. Ну или хотя бы доступной регуляторам, чтобы регуляторы сами контролировали адекватность баз знаний (детектов) VM-вендоров.
В отчёте также есть критика CVSS, NVD и CISA KEV из-за некорректного учёта эксплуатируемых шифровальщиками CVE:
• 30% CVE не имеют CVSS v2 или v3 в NVD • 2 CVE имеют severity Low, 57 Medium в NVD • 2 CVE находятся в статусе Rejected в NVD (CVE-2015-2551 и CVE-2019-9081) • только 68% CVE содержатся в CISA KEV, требуется добавить ещё 131
Про историю Vulnerability Management-а. Иногда люди говорят публично что-то странное, но делают это настолько уверенно, что сам начинаешь в себе сомневаться. Вдруг они лучше знают? Ну или может ты их не так понял? Вот, например, посмотрел ролик "Traditional Vulnerability Management is Dead!" с Stefan Thelberg, CEO Holm Security. Это те ребята, которые считают, что без встроенного Антифишинга VM уже не VM.
В начале Stefan Thelberg заявляет про историю Vulnerability Assessment-а (Vulnerability Management-а) буквально следующее:
1. Оригинальная идея Vulnerability Assessment-а появилась в гайдлайнах NIST-а. 2. Прошло 20 лет и появились первые Vulnerability Assessment продукты. 3. Большая часть Vulnerability Assessment продуктов родились из опенсурсного проекта OpenVAS. 4. Один из наиболее распространенных продуктов на рынке, Nessus, это коммерческий форк OpenVAS. 5. Прошло ещё несколько лет и около 2000-го появилось несколько больших компаний: Rapid7, Tenable, Qualys.
То, что VA/VM родился из каких-то публикаций NIST-а не проверишь особо, организация в 1901 году основана, вполне вероятно что-то и было в 80х. Но заявление, что сначала был OpenVAS, а потом Nessus это очень странно. Первая версия The Nessus Project вышла в 1998 как GPL проект. Первая версия XSpider (тогда Spider) также появилась в 1998, а в 2000 он стал публично доступным. Компания Qualys была основана в 1999, Rapid7 в 2000, Tenable в 2002, Positive Technologies в 2002. Проект OpenVAS (GNessUs) появился не раньше 2005-го как форк последней опенсурсной версии Nessus-а, т.к. сам Nessus с 2005 года стал проприетарным продуктом Tenable.
Вот и думай теперь, то ли Stefan Thelberg говорит о том, о чем понятия не имеет. То ли он как-то странно называет OpenVAS-ом оригинальный Nessus 1998-го года. Но даже говорить, что другие VM продукты родились из Nessus-а или OpenVAS-а более чем странно, как минимум потому что другие продукты (Qualys, Rapid7 Nexpose, XSpider/MaxPatrol) не используют и не использовали NASL-скрипты, которые составляют основу Nessus. Может, конечно, у самих Holm Security движок это OpenVAS и они всех по себе меряют, не знаю. 😏
Немного про остальной ролик. Само обоснование почему традиционный VM уже не живой это отличный пример борьбы с "соломенным чучелом". Определяют "традиционный VM" так, как удобно. Что он, дескать, не поддерживает новые технологии (облака, IoT, SCADA). Добавляют свой спорный тезис, что обучение пользователей через Антифишинг это тоже обязательная часть VM. И дальше получившееся удобное "соломенное чучело" атакуют. Хотя чего бы "традиционному VM-у" не поддерживать все типы активов, которые в организации есть - непонятно. Да и какой-то проблемы прикрутить к VM-у Антифишинг, если так уж хочется, тоже нет.
