Архив метки: Shadowserver

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Курьёзней трендовой январской уязвимости в GitLab, позволяющей  восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита

Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).

Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России?

Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России?

Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России? Алексей Лукацкий подсветил мой пост про Remote Code Execution - Palo Alto PAN-OS (CVE-2024-3400), за что ему большое спасибо, и выложил актуальную статистику Shadowserver по данной уязвимости. Хороший повод порассуждать насколько вообще этой статистике можно верить.

🔹 Эта статистика - результат детектирования уязвимости без аутентификации. Это может быть детект по версии из баннера сервиса (низкая достоверность) или детект с попыткой эксплуатации уязвимости (высокая достоверность). Но это когда мы знаем, что нужный нам сервис есть на таком-то порту такого-то сетевого хоста. А если не знаем, то нам нужно будет это выяснить путём сканирования портов и фингерпринтинга сервисов. Это весьма и весьма заметная активность, которую понятно как выявлять и блокировать, в том числе автоматически.

🔹 Даже если вы сами развернёте внешний сканер (хотя бы nmap) и начнёте сканировать сетевой периметр собственной организации, то вполне вероятно, что ваш сканер очень быстро заблокируют корпоративные решения защиты от сканирования и DoS-атак. Это может выглядеть таким образом, что произвольные порты на хостах будут показываться как открытые или как закрытые. И это будет меняться от скана к скану. Пользоваться такими недостоверными данными будет невозможно и нужно будет идти в IT, чтобы IP-адрес сканера добавили в белые списки во всех системах, которые могут препятствовать активному сканированию.

🔹 В случае, если вы сами проводите сканирование сетевого периметра вашей организации, у вас, скорее всего, будет мотивация и возможности разбираться со всеми проблемами в детектировании, чтобы получить самые достоверные результаты. А что в случае, если это делает организация, которая без спроса сканирует "весь Интернет"? Ну блокируются её сканы в какой-то компании, ну и ладно. Не будут же они упрашивать каждую компанию не блокировать сканы. 😅

🔹 И, наконец, самое главное. Откуда идут сканы? Shadowserver это британская организация. Сложно сказать, откуда именно они сканируют, скорее всего их сканеры как-то разнесены. Но у меня есть большие сомнения, что они сканируют Рунет сканерами, которые расположены на хостах с российскими IP-адресами. А если они пытаются сканить Рунет из Великобритании, то вполне вероятно они частенько упираются в блокировку любых сетевых запросов из UK, реализованную "на всякий случай". В условиях геополитической напряжённости блокировки доступов по странам и целым регионам стали обычным делом. Эту практику сложно даже как-то осуждать. Если ваш бизнес никак не завязан на UK, то сетевые запросы из UK будут для вас в лучшем случае бесполезными, а в худшем опасными. Особенно, когда дело касается всякого рода сканирований.

🔹 Ханипоты. Сервис может детектироваться по баннеру как уязвимый и даже вести себя как уязвимый, но при этом иметь целью лишь сознательное привлечение злоумышленников, чтобы засветить их методы атак и индикаторы компрометации.

➡️ Итого, когда Shadowserver пишут, что для России детектируется 44 уязвимых хоста, это очень примерное значение. Необходимо делать поправку на неизбежные многочисленные false positive и false negative ошибки. Имхо, более-менее достоверное сканирование Рунета будет возможно только с использованием аналогичного отечественного сервиса. Очень ждём его появление. 🙂 Ну и, желательно, чтобы у такого сервиса была ещё административная дубина, гарантирующая, что его сканеры не будут блокироваться, а организации сами будут рассказывать, какие сервисы у них опубликованы.

Детали по Remote Code Execution - Palo Alto PAN-OS (CVE-2024-3400)

Детали по Remote Code Execution - Palo Alto PAN-OS (CVE-2024-3400)

Детали по Remote Code Execution - Palo Alto PAN-OS (CVE-2024-3400). Пост с деталями вышел в блоге Palo Alto 19 апреля.

🔹В Palo Alto узнали об этой уязвимости в среду 10 апреля. Информация о подозрительной активности в инфраструктуре клиента пришла от компании Volexity, это вендор решений по компьютерной форензике и безопасности оперативной памяти. Совместно эксперты из компании Palo Alto и Volexity обнаружили источник подозрительного трафика - скомпрометированный файервол. В пятницу 12 апреля, когда в Москве был уже вечер, Palo Alto выпустили блогпост и публичный бюллетень безопасности с описанием уязвимости и workaround-а. А в понедельник 15 апреля были выпущены новые версии PAN-OS для исправления уязвимости.

🔹 Для уязвимости сразу была определена максимальная критичность по CVSS (10). CISA сразу добавила уязвимость в Known Exploited Vulnerabilities Catalog.

🔹 Что представляет собой уязвимость? Комбинируя две ошибки в PAN-OS, злоумышленники могут выполнить двухэтапную атаку и добиться выполнения команд на уязвимом устройстве. На первом этапе злоумышленник отправляет в GlobalProtect (компонент PAN-OS для защиты мобильных сотрудников) специально подготовленную shell-команду вместо идентификатора сессии. В результате на устройстве создаётся пустой файл, в имени которого содержится необходимая злоумышленнику команда. 🤷‍♂️ На втором этапе на устройстве запускается валидная задача cron, которая использует имя этого пустого файла, тем самым непосредственно выполняя команду злоумышленника с повышенными привилегиями. 😏

🔹 Первые попытки эксплуатации уязвимости были зафиксированы 26 марта. Для этих атак исследователи выбрали название "операция MidnightEclipse" ("ПолуночноеЗатмение"). В ходе атак злоумышленники устанавливали на уязвимые устройства кастомный бэкдор на Python, который исследователи из Volexity назвали UPSTYLE, а также другие утилиты для упрощения эксплуатации. Например, утилиту для тунелирования GOST (GO Simple Tunnel).

🔹 На следующий день после выпуска патчей, 16 апреля, вышло подробное техническое исследование уязвимости от компании Rapid7 с указанием PoC-а. Уже 17 апреля эксплоит стал доступен виде модуля для Metasploit. Так что сейчас эксплуатация этой уязвимости максимально упрощена.

🔹 Количество потенциально уязвимых хостов доступных из Интернет, по состоянию на 19 апреля, Shadowserver оценивали на уровне 22500. Большая часть из них в США (9626), в России совсем немного (44). Но тут вопрос, конечно, насколько сейчас достоверны детекты Shadowserver для России.

Выводы?

🔻 Next Generation решето, которое давно пора импортозамещать. Всякое бывает, но это какие-то особенно позорные уязвимости для ИБ-вендора.

🔻 Дата выхода патча для громкой уязвимости = дата выхода публичного эксплоита. Это практически гарантировано. Слишком соблазнительно ресерчерам попиариться на этом первыми. 🤷‍♂️ Поэтому нужно подпрыгивать и патчить сразу, не дожидаясь появления публичных эксплоитов и атак скрипткидисов.

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shadowserver, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shadowserver и Shodan?
09:38 Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа
11:54 "Operation Cronos" против группировки вымогателей LockBit, возможная эксплуатация уязвимости Remote Code Execution - PHP (CVE-2023-3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Linux Patch Wednesday и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Security Report".
25:20 RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению payload-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cactus украли 1,5 ТБ внутренних данных техногиганта Schneider Electric
55:53 Прощание от Mr. X

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и СШАЕсли верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США. В Германии их чуть меньше, но вместе с тем Германия абсолютный лидер по числу серверов потенциально уязвимых для активно эксплуатирующейся уязвимости прошлой недели Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). 🤔

Тут два варианта: либо дисциплинированные немцы не такие дисциплинированные, когда дело доходит до исправления критичных уязвимостей, либо со статистикой Shadowserver какие-то проблемы.