Архив метки: Tenable

Трендовые уязвимости мая по версии Positive Technologies

Добавить комментарий

Трендовые уязвимости мая по версии Pos­i­tive Tech­nolo­gies. Как обычно, в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab‑а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 RCE в Flu­ent Bit (CVE-2024–4323)
🔻 RCE в Con­flu­ence (CVE-2024–21683)
🔻 RCE в Win­dows MSHTML Plat­form / OLE (CVE-2024–30040)
🔻 EoP в Win­dows DWM Core Library (CVE-2024–30051)

Уязвимость RCE — Fluent Bit (CVE-2024–4323) "Linguistic Lumberjack"

Добавить комментарий

Уязвимость RCE - Fluent Bit (CVE-2024-4323) Linguistic Lumberjack

Уязвимость RCE — Flu­ent Bit (CVE-2024–4323) "Lin­guis­tic Lum­ber­jack". Flu­ent Bit — это многоплатформенный опенсурсный инструмент для сбора и обработки логов. Он прост в использовании, хорошо масштабируется и может обрабатывать большие объемы данных. Flu­ent Bit часто применяют в инфраструктурах крупных компаний, особенно в инфраструктурах облачных провайдеров.

Уязвимость, которую обнаружили исследователи Ten­able Research, связана с повреждением памяти во встроенном HTTP-сервере Flu­ent Bit. Этот HTTP-сервер используется для мониторинга состояния Flu­ent Bit: аптайм, метрики плагинов, проверки работоспособности и т.д. Оказалось, что пределенные неаутентифицированные запросы к API сервера могут привести к отказу в обслуживании (DoS), утечке информации или удаленному выполнению кода (RCE). По мнению исследователей, сделать надёжный RCE эксплоит будет не просто, но PoC для DoS уже в паблике и, возможно, его докрутят до RCE.

Фикс ожидается в версии 3.0.4.

Западные VM-вендоры друг о друге

Добавить комментарий

Западные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о друге

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Ten­able
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Rapid7 (Vul­ner­a­bil­i­ty Pri­or­i­ti­za­tion)
🔹 Сравнение с Microsoft Defend­er (Secu­ri­ty Leader’s Guide)
🔹 Сравнение с Crowd­Strike (Secu­ri­ty Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Ten­able
🔹 Сравнительная таблица с Ten­able (другой вариант)
🔹 Сравнительная таблица с Ten­able Nes­sus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Ten­able

Обновление по бэкдору в XZ Utils (CVE-2024–3094)

Добавить комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024–3094).

В постах Ten­able и Qualys обновился список уязвимых дистрибов:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 40 Beta
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.
🔻 open­SUSE Tum­ble­weed and open­SUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Lin­ux (xz-utils 5.6.0–0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0‑r0 5.6.0‑r1 5.6.1 5.6.1‑r0 5.6.1‑r1)
🔻 Arch Lin­ux (details)

И список неуязвимых дистрибов:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble
🔹 Ama­zon Lin­ux
🔹 SUSE Lin­ux Enter­prise and Leap
🔹 Gen­too Lin­ux
🔹 Ubun­tu

Есть YARA правило для детекта.

upd. 0704

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024–3094)

Добавить комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Ten­able про бэкдор в XZ Utils (CVE-2024–3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblz­ma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.

А эти точно неуязвимы:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble

Ссылка на исходное сообщение исследователя.

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024–21762) эксплуатируется вживую

Добавить комментарий

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet For­tiOS и For­tiProxy (CVE-2024–21762) эксплуатируется вживую. Неаутентифицированный злоумышленник может удалённо выполнять произвольный код с использованием вредоносных HTTP-запросов. В качестве воркэраунда можно отключить SSL VPN на уязвимых устройствах. Публичного эксплоита пока нет.

Если у вас по каким-то причинам всё ещё используются фортики, то нужно оперативно патчиться. На днях CISA выпустили подробный отчёт об использовании похожей RCE уязвимости For­tiOS SSL-VPN (CVE-2022–42475) в атаках группировки Volt Typhoon. Также Ten­able выпустили подборку из 6 CVE уязвимостей For­tiOS разных лет используемых в реальных атаках.

Кроме CVE-2024–21762, также вышли фиксы для менее критичных уязвимостей For­tiOS: CVE-2024–23113 (For­mat String Vul­ner­a­bil­i­ty), CVE-2023–47537 (Improp­er Cer­tifi­cate Val­i­da­tion), CVE-2023–44487 (против атаки HTTP/2 Rapid Reset)

Преимущества сканов с аутентификацией из блог-поста Tenable

Добавить комментарий

Преимущества сканов с аутентификацией из блог-поста Tenable

Преимущества сканов с аутентификацией из блог-поста Ten­able. Подборка неплохая и касается любых VM-решений.

1. Гораздо более подробное профилирование активов. "Вы купите дом, который видели только снаружи? Конечно нет! Вам нужно будет увидеть интерьер и проверить все комнаты. Сканирование без аутентификации обеспечивает только вид «снаружи дома»."

2. Возможность проводить анализ безопасности конфигураций в соответствии с лучшими практиками и требованиями регуляторов.

3. Более достоверная информация об уязвимостях. Уязвимости браузеров, мессенджеров, программных библиотек и компонентов вы не найдете без аутентификации.

4. Вендоры ПО стали выставлять меньше информации наружу — сложнее делать баннерные детекты. RCE Bar­racu­da ESG (CVE-2023–2868) затрагивала только физические устройства. А понять физическое это устройство или виртуальное можно было только после аутентификации. 🤷‍♂️

5. PCI DSS v.4 будет требовать проводить сканирования с аутентификацией.