Архив метки: TCPIP

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре. Скриншоты я делал с трансляции, поэтому извините за качество. 🤷‍♂️ Апскейлер не особо помог, но основное там вроде видно. 🙂

Так вот, карта достижимости - это граф с информацией о том, до каких критических активов злоумышленник может дойти в ходе эксплуатации уязвимостей на активах IT-инфраструктуры организации.

Информация для построения карты сети берётся из результатов активного сканирования (инвентаризации) хостов и сетевых устройств. При построении используются собранные таблицы маршрутизации, сетевые службы, порты, протоколы, сетевые интерфейсы. Чем полнее сканируете инфру, тем адекватнее будет карта.

Критичность активов может как задаваться вручную на странице актива (уровень критичности и флаг "стратегического" актива - аналог "целевого" из методологии РКН), так и определяться автоматически (есть ли у актива доступ в Интернет, есть ли у актива привязка к стратегическому активу).

При построении графов достижимости поиск направлен в сторону стратегических активов.

Далее на граф накладывается информация о продетектированных уязвимостях и получается финальная карта достижимости.

🔴 Красные связи показывают достижимость атаки до критических активов через эксплуатацию уязвимостей на хостах.

🟡 Жёлтые связи показывают прерывание атаки на определенном активе и невозможность развития атаки по данному маршруту.

Эта карта кликабельна, при нажатии на иконку актива на карте открывается полная карточка с подробной информацией о его конфигурациях и уязвимостях.

Ок, это всё красиво. Но как это использовать для приоритизации активов и уязвимостей? 🤔

В правой части дашбордов есть таблички с ТОПом активов и их уязвимостей с параметром "степень участия". Этот параметр некоторым образом проприетарно высчитывается и характеризует степень участия актива или уязвимости в потенциальной атаке. Соответственно, следует в первую очередь обращать внимание на активы и уязвимости с максимальной степенью участия. Так на скриншоте можно видеть публично доступный Linux хост с Confluence (с.у. 0,5) уязвимый к CVE-2023-22527 (с.у. 0,5) и виндовую RCE CVE-2024-38063 (с.у. 1).

В общем, такая вот новая функциональность. Это, конечно, пока не тянет на полноценное моделирование Attack Paths, т.к.

🔹 На графе отображаются продетектированные уязвимости со зрелыми эксплоитами и сетевым вектором, НО не производится глубокого анализа, как именно конкретные уязвимости эксплуатируются, какие для этого должны выполняться условия, что именно злоумышленники могут достичь через эксплуатацию, как именно они могут развивать атаку и т.п. То есть нет явной симуляции действий злоумышленника в контексте конкретного хоста. Пока демонстрируемая эксплуатабельность носит более теоретический характер, но предвижу развитие продукта в сторону большей конкретики. 😉

🔹 Это всё про уязвимости софта (CVE), а не про экспозиции. Те же проблемы с учётками и мисконфигурации никак не учитываются, но коллеги из Security Vision обещают добавить их на граф уже в ближайших релизах.

Но в любом случае, как некоторые быстрые первые шаги в сторону дополнительной приоритизации уязвимостей на основе сетевой связности - это вполне имеет право на существование. 🙂👍

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Добавить комментарий

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:

🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.

🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.

В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.

❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

1 комментарий

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱

Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".

🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷‍♂️

Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱

Update

По поводу российского аналога TCP/IP, часть 3

Добавить комментарий

По поводу российского аналога TCP/IP, часть 3. Нашли о чем речь? 2 дня назад на Секлабе вышла статья "Секреты нового российского транспортного протокола RUSTP/UDTP", где утверждается, что технология, которая описывается на сайте ipv17.ru это как раз то, о чем шла речь на встрече с президентом. Могу предположить, что логика была такая:

1. С президентом разговаривал Александр Владимирович Селютин, председатель совета директоров группы компаний «Техноджет».
2. В интернете нашли презентацию 2019 года под авторством Александра Селютина "Проект .v17 ИНТЕРНЕТ+". Там фигурирует некий протокол rustp/udtp.
3. Делается предположение, что директор Техноджет и автор презентации это один и тот же Александр Селютин, а проект .v17 это как раз и есть тот самый "российский аналог TCP/IP".
4. Дальше по ".v17" и "rustp/udtp" ничего не находится, но находится проект с похожим названием http://ipv17.ru/ (последний пост с видео 6 лет назад). Делается второе предположение, что ".v17" и "ipv17" это одно и тоже. При том, что по "rustp", "Селютин", "Selytin" на сайте ничего не ищется. И вся дальнейшая техническая критика идет в сторону ipv17 и OOO Инкомтех.

Т.е. вполне допускаю, что Александр Владимирович Селютин, председатель совета директоров ГК «Техноджет», действительно имел в виду ipv17 в своём выступлении, но пока это не видится таким очевидным. Ждем более весомых пруффов. Желательно от самого Александра Владимировича.

Часть 2

По поводу российского аналога TCP/IP, часть 2

2 комментария

По поводу российского аналога TCP/IP, часть 2. Появилась видеозапись и стенограмма мероприятия. Что там видно.

1. Инициатива от руководителя ГК «Техноджет» из Нижнего Новгорода. Утверждается, что они разрабатывают беспилотные летательные аппараты и космические системы. Они "приступили к разработке системы управления этими аппаратами и модема связи, который будет работать на нашем собственном протоколе связи". Об этом протоколе и речь.

2. То, что они предлагают это "собственные протоколы передачи данных, внедрение которых позволит отказаться от использования стека американских сетевых протоколов TCP/IP" и "высокоскоростная технология приёма-передачи данных на базе низкоорбитальных спутников" (видимо что-то а-ля Starlink). Утверждают, что для широкополосной системы спутниковой связи уже есть испытанные прототипы.

3. Утверждают, что проводили испытания своих протоколов и они показали себя "лучше, чем TCP/IP на сети. Я приведу цифру. Если задержка или потеря пакетов в TCP происходит в размере одного процента, то TСP восстанавливает эти пакеты в течение 360 секунд. Мы восстанавливаем – 5,7 секунды." 🧐

4. Чего хотят: "Конкретно нужно финансирование, нужно решение об утверждении хотя бы на равных правах российского протокола связи с американскими сетевыми протоколами". Пишут, что общались с Роскомнадзором и с «Ростелекомом». "Всё новое, что предлагается, сразу же отметается".

В общем, выглядит как частная инициатива, которую вынесли наверх. Есть некоторые сомнения, что компания, для которой сетевое оборудование не является основным фокусом деятельности смогла реализовать что-то очень универсальное и эффективное, но почему бы, собственно, и нет. Будет интересно ознакомиться с техническими подробностями, если будут. Пока не выглядит так, что финансирование они получат без предварительной экспертизы наработок.

Часть 1

По поводу российского аналога TCP/IP

1 комментарий

По поводу российского аналога TCP/IP. Какая-то чересчур эмоциональная реакция на это в интернетиках пошла. Хотя никаких технических деталей пока не наблюдается. Из того, что я видел, можно сказать следующее:

1. Контекст: "мероприятие в индустриальном парке "Руднево", на котором обсуждались особенности развития отечественных беспилотных летательных систем". Зачем вообще при управлении беспилотниками или тем более спутниковой группировкой использовать TCP/IP? Конечно нужно другие протоколы использовать, которые лучше для этих целей подходят, где, например, задержки меньше, а встроенных функций безопасности больше.

2. Даже если речь идет о том, чтобы в какой-то отдаленной перспективе заменить TCP/IP на что-то другое, так это тоже не является чем-то экстраординарным. Например, Huawei развивает свой протокол NEW IP с IP-адресами переменной длины, возможностью определение разной семантики адресов, возможностью определения произвольных полей в заголовке IP-пакета. Может быть он станет международным стандартом и заменой IPv4/IPv6 (мы же все дружно на IPv6 1996-го года перешли, да 😏), а возможно будет использоваться для построения каких-то локальных сетей.

3. В порядке юмора можно вспомнить время, когда никакого TCP/IP в РФ практически не было, а все общались в Fido и на BBSках, а также лазили по x.25 сетям. И было норм. 😆