Архив метки: Tenable

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

1 комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024-3094).

В постах Tenable и Qualys обновился список уязвимых дистрибов:

🔻 Fedora Rawhide
🔻 Fedora 40 Beta
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.
🔻 openSUSE Tumbleweed and openSUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Linux (xz-utils 5.6.0-0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0-r0 5.6.0-r1 5.6.1 5.6.1-r0 5.6.1-r1)
🔻 Arch Linux (details)

И список неуязвимых дистрибов:

🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable
🔹 Amazon Linux
🔹 SUSE Linux Enterprise and Leap
🔹 Gentoo Linux
🔹 Ubuntu

Есть YARA правило для детекта.

upd. 0704

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

1 комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblzma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedora Rawhide
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.

А эти точно неуязвимы:

🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable

Ссылка на исходное сообщение исследователя.

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

2 комментария

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую

RCE-уязвимость в Fortinet FortiOS и FortiProxy (CVE-2024-21762) эксплуатируется вживую. Неаутентифицированный злоумышленник может удалённо выполнять произвольный код с использованием вредоносных HTTP-запросов. В качестве воркэраунда можно отключить SSL VPN на уязвимых устройствах. Публичного эксплоита пока нет.

Если у вас по каким-то причинам всё ещё используются фортики, то нужно оперативно патчиться. На днях CISA выпустили подробный отчёт об использовании похожей RCE уязвимости FortiOS SSL-VPN (CVE-2022-42475) в атаках группировки Volt Typhoon. Также Tenable выпустили подборку из 6 CVE уязвимостей FortiOS разных лет используемых в реальных атаках.

Кроме CVE-2024-21762, также вышли фиксы для менее критичных уязвимостей FortiOS: CVE-2024-23113 (Format String Vulnerability), CVE-2023-47537 (Improper Certificate Validation), CVE-2023-44487 (против атаки HTTP/2 Rapid Reset)

Преимущества сканов с аутентификацией из блог-поста Tenable

Добавить комментарий

Преимущества сканов с аутентификацией из блог-поста Tenable

Преимущества сканов с аутентификацией из блог-поста Tenable. Подборка неплохая и касается любых VM-решений.

1. Гораздо более подробное профилирование активов. "Вы купите дом, который видели только снаружи? Конечно нет! Вам нужно будет увидеть интерьер и проверить все комнаты. Сканирование без аутентификации обеспечивает только вид «снаружи дома»."

2. Возможность проводить анализ безопасности конфигураций в соответствии с лучшими практиками и требованиями регуляторов.

3. Более достоверная информация об уязвимостях. Уязвимости браузеров, мессенджеров, программных библиотек и компонентов вы не найдете без аутентификации.

4. Вендоры ПО стали выставлять меньше информации наружу - сложнее делать баннерные детекты. RCE Barracuda ESG (CVE-2023-2868) затрагивала только физические устройства. А понять физическое это устройство или виртуальное можно было только после аутентификации. 🤷‍♂️

5. PCI DSS v.4 будет требовать проводить сканирования с аутентификацией.

Забавная интерпретация статистики от Tenable

1 комментарий

Забавная интерпретация статистики от Tenable

Забавная интерпретация статистики от Tenable. У них вышел блог-пост "Увеличьте эффективность сканирования на наличие уязвимостей с помощью сканов с аутентификацией". По теме вопросов нет - сканирование с аутентификацией это важно и нужно. Но КАК они к этому подводят. 🙂

В первом абзаце пишут "значительное количество пользователей Tenable Nessus склонны к сканированию без аутентификации".

Ого! И как об этом узнали? 🧐

"Конфигурации сканирования, которые мы наблюдаем в SaaS-продуктах Tenable, говорят сами за себя: наши клиенты запускают неаутентифицированные сканирования в 20 раз чаще, чем аутентифицированные. Почему такой существенный разрыв?"

И дальше пишут о том, что дело в недостаточной осведомленности клиентов. 🤤

А может настоящие причины разрыва в том, что SaaS продукт Tenable (TenableVM / ex-TenableIO) в основном используют как периметровый сервис, а для сканов внутрянки с аутентификацией берут что-то более подходящее, тот же заброшенный on-prem Tenable SC? 😏

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Добавить комментарий

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"

1 комментарий

Подъехало свежее маркетинговое чтиво от IDC MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment". Выдержку можно скачать у Tenable, правда она на 7 страничек и описание вендора там только для Tenable.

Что можно сказать, просто глядя на картинку? Глобальный расклад сил не меняется. Большая TQR тройка на месте. С другой стороны, маркетинг такой маркетинг. Опять масса компаний, решения которых к VM-у имеют опосредованное отношение. При этом нет более-менее известных игроков. Ну ладно, российских нет. Сложно было бы ожидать. 😏 Но вот Greenbone и SecPod могли бы и упомянуть. Да даже тот же самый Microsoft с Defender for Endpoint. Хорошо хоть Outpost24 есть. 😅

Тут, конечно, всегда можно попробовать заявить, что решения отсутствующих VM-вендоров недостаточно Risk-Based, но это очень сомнительная аргументация.