Архив метки: Tenable

Западные VM-вендоры друг о друге

Добавить комментарий

Западные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о друге

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Ten­able
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Vul­ner­a­bil­i­ty Pri­or­i­ti­za­tion)
🔹 Сравнение с Microsoft Defend­er (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Crowd­Strike (Secu­ri­ty Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Ten­able
🔹 Сравнительная таблица с Ten­able (другой вариант)
🔹 Сравнительная таблица с Ten­able Nes­sus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Ten­able

Обновление по бэкдору в XZ Utils (CVE-2024–3094)

Добавить комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024–3094).

В постах Ten­able и Qualys обновился список уязвимых дистрибов:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 40 Beta
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.
🔻 open­SUSE Tum­ble­weed and open­SUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Lin­ux (xz-utils 5.6.0–0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0‑r0 5.6.0‑r1 5.6.1 5.6.1‑r0 5.6.1‑r1)
🔻 Arch Lin­ux (details)

И список неуязвимых дистрибов:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble
🔹 Ama­zon Lin­ux
🔹 SUSE Lin­ux Enter­prise and Leap
🔹 Gen­too Lin­ux
🔹 Ubun­tu

Есть YARA правило для детекта.

upd. 0704

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024–3094)

Добавить комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Ten­able про бэкдор в XZ Utils (CVE-2024–3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblz­ma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.

А эти точно неуязвимы:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble

Ссылка на исходное сообщение исследователя.

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024–21762) эксплуатируется вживую

Добавить комментарий

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet For­tiOS и For­tiProxy (CVE-2024–21762) эксплуатируется вживую. Неаутентифицированный злоумышленник может удалённо выполнять произвольный код с использованием вредоносных HTTP-запросов. В качестве воркэраунда можно отключить SSL VPN на уязвимых устройствах. Публичного эксплоита пока нет.

Если у вас по каким-то причинам всё ещё используются фортики, то нужно оперативно патчиться. На днях CISA выпустили подробный отчёт об использовании похожей RCE уязвимости For­tiOS SSL-VPN (CVE-2022–42475) в атаках группировки Volt Typhoon. Также Ten­able выпустили подборку из 6 CVE уязвимостей For­tiOS разных лет используемых в реальных атаках.

Кроме CVE-2024–21762, также вышли фиксы для менее критичных уязвимостей For­tiOS: CVE-2024–23113 (For­mat String Vul­ner­a­bil­i­ty), CVE-2023–47537 (Improp­er Cer­tifi­cate Val­i­da­tion), CVE-2023–44487 (против атаки HTTP/2 Rapid Reset)

Преимущества сканов с аутентификацией из блог-поста Tenable

Добавить комментарий

Преимущества сканов с аутентификацией из блог-поста Tenable

Преимущества сканов с аутентификацией из блог-поста Ten­able. Подборка неплохая и касается любых VM-решений.

1. Гораздо более подробное профилирование активов. "Вы купите дом, который видели только снаружи? Конечно нет! Вам нужно будет увидеть интерьер и проверить все комнаты. Сканирование без аутентификации обеспечивает только вид «снаружи дома»."

2. Возможность проводить анализ безопасности конфигураций в соответствии с лучшими практиками и требованиями регуляторов.

3. Более достоверная информация об уязвимостях. Уязвимости браузеров, мессенджеров, программных библиотек и компонентов вы не найдете без аутентификации.

4. Вендоры ПО стали выставлять меньше информации наружу — сложнее делать баннерные детекты. RCE Bar­racu­da ESG (CVE-2023–2868) затрагивала только физические устройства. А понять физическое это устройство или виртуальное можно было только после аутентификации. 🤷‍♂️

5. PCI DSS v.4 будет требовать проводить сканирования с аутентификацией.

Забавная интерпретация статистики от Tenable

1 комментарий

Забавная интерпретация статистики от Tenable

Забавная интерпретация статистики от Ten­able. У них вышел блог-пост "Увеличьте эффективность сканирования на наличие уязвимостей с помощью сканов с аутентификацией". По теме вопросов нет — сканирование с аутентификацией это важно и нужно. Но КАК они к этому подводят. 🙂

В первом абзаце пишут "значительное количество пользователей Ten­able Nes­sus склонны к сканированию без аутентификации".

Ого! И как об этом узнали? 🧐

"Конфигурации сканирования, которые мы наблюдаем в SaaS-продуктах Ten­able, говорят сами за себя: наши клиенты запускают неаутентифицированные сканирования в 20 раз чаще, чем аутентифицированные. Почему такой существенный разрыв?"

И дальше пишут о том, что дело в недостаточной осведомленности клиентов. 🤤

А может настоящие причины разрыва в том, что SaaS продукт Ten­able (Ten­ableVM / ex-Ten­ableIO) в основном используют как периметровый сервис, а для сканов внутрянки с аутентификацией берут что-то более подходящее, тот же заброшенный on-prem Ten­able SC? 😏

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Добавить комментарий

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tues­day
11:00 В Vul­ris­tics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "Mar­ketScape: World­wide Risk-Based Vul­ner­a­bil­i­ty Man­age­ment Plat­forms 2023 Ven­dor Assess­ment"
18:07 Один из крупных конкурентов Elas­tic­Search — американский аналог Sumo Log­ic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X‑Threat Intel­li­gence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из Black­Cat (ALPHV) подали жалобу на их недавнюю жертву — Merid­i­an­Link в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Lin­ux Patch Wednes­day
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X