Архив метки: TrendVulns

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

1 комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку. 😇 Всего 8 уязвимостей:

🔻 Наиболее громкими в мировом масштабе были 3 уязвимости Ivanti (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893), которые позволяют полностью скомпрометировать аппаратные и виртуальные апплаенсы. Хорошо, что в России Ivanti это экзотика.
🔻 Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762). По мнению вендора, может активно эксплуатироваться.
🔻 4 уязвимости из февральского Microsoft Patch Tuesday:
- Обход функций безопасности в Windows SmartScreen (CVE-2024-21351) и Internet Shortcut Files (CVE-2024-21412) эксплуатируются в фишинговых атаках.
- Повышение привилегий в Microsoft Exchange (CVE-2024-21410) и выполнение произвольного кода в Microsoft Outlook (CVE-2024-21413) эксплуатируются в NTLM Relay атаках.

➡️ Читайте подробнее

🟥 Пост в канале PT

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

2 комментария

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года

На сайте Positive Technologies выложили дайджест трендовых уязвимостей за январь 2024 года. В работе над которым я принимал участие. 😇 Это наш первый опыт в таком формате, планируем выпускать подобные дайджесты ежемесячно и возможно не только текстом. 😉

За январь в трендовые добавили 6 уязвимостей.

🔻 По двум эксплуатация вживую указана прям в CISA KEV: RCE в Confluence (CVE-2023-22527) и RCE в vCenter (CVE-2023-34048).
🔺 По двум есть эксплоиты и эксплуатация вживую скорее всего есть, но формально она пока не зафиксирована: AuthBypass в GitLab (CVE-2023-7028), Arbitrary File Reading в Jenkins CLI (CVE-2024-23897).
🔸 По двум есть признаки, что эксплуатация вживую может скоро начаться: RCE в Junos OS (CVE-2024-21591), Information Disclosure в Outlook (CVE-2023-35636).

По каждой уязвимости наши Cyber Analytics подготовили подробное описание: что за уязвимость, случаи эксплуатации, эксплоиты, потенциальные жертвы, способы устранения.

🟥 Пост в канале PT

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике

1 комментарий

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике

Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике. 😊 Статья посвящена трендовым уязвимостям за 2023 год. По контенту примерно то, что я рассказывал на Код ИБ ИТОГИ.

🔻 Так как это была первая статья такого рода, упор был на то, что такое трендовые уязвимости, зачем нужно их выделять и почему это сложно (почему нельзя использовать публичные источники as is).
🔻 Привёл статистику по типам уязвимостей, продуктам и группам продуктов.
🔻 Все уязвимости в отчёте не перечислял, указывал только некоторые яркие кейсы. Пока список трендовых уязвимостей доступен только пользователям MaxPatrol VM. Также о некоторых трендовых уязвимостях выходят посты в телеграмм-канале PT (искать можно по тегу #втрендеVM).

➡️ В общем, милости прошу ознакомиться со статьёй. 😉

PS: Только не спрашивайте меня зачем крутить точку гаечным ключём. Видимо это про тщету мирского бытия или что-то такое. 😅

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

Добавить комментарий

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday. И это не те уязвимости, на которые можно было подумать и о которых все пишут. Это две малозаметные EoPшки:

🔻 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2023-35632). В этом году был прецедент, когда EoP в Windows Ancillary Function Driver for Winsock (CVE-2023-21768) довели до эксплоита за 24 часа. В январе вышла уязвимость, в марте уже был модуль в Metasploit. Расковыряют ли в этот раз? Посмотрим. 🍿

🔻 Elevation of Privilege - Windows Win32k (CVE-2023-36011). EoP эксплоиты для Win32k появляются очень часто и обновления для этой конкретной CVE выпустили для всех версий Windows, начиная с Windows Server 2012. 🕵‍♂

Остальные уязвимости, несмотря на занимательные описания, пока не дотягивают до трендовых. Но это вовсе не значит, что их не нужно исправлять. Очень даже нужно. 😉

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости

2 комментария

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости. Вполне успешно, но чуток экстремально. Аккурат перед моим выступлением экран перестал работать. ⬛️ Поэтому моя презентация стартовала как стендап. 🤷‍♂️🙂 Объяснять словами диаграмму Эйлера про различия CISA KEV и трендовых уязвимостей от PT, которую зрители не видят, это такое себе. Но вроде справился. 😅 К счастью, где-то на середине выступления экран ожил и дальше всё пошло по плану, все картинки были продемонстрированы.

Под конец "дискуссии с экспертами" предложили сформулировать пожелание для всех зрителей по итогам выступления. Вспомнил наши выпуски "Прожектора по ИБ" и выдал универсальное: "Обновляйтесь!" 🙂

Неважно, корпоративная у вас инфраструктура или домашняя, регулярные обновления решат большую часть проблем с уязвимостями, а значит и с ИБ в целом. Ну а если уязвимостей слишком много, то в первую очередь исправляйте наиболее критичные трендовые уязвимости, подсвеченные надёжным VM-вендором. 😉

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

2 комментария

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

Экспорт данных из MaxPatrol VM через API по PDQL-запросу. К завтрашнему выступлению выкладываю небольшой мануал и пример скрипта.

1. Для работы с API вам понадобится логин и пароль пользователя, а также параметр ClientSecret, который лежит на сервере в /var/lib/deployer/role_instances/Core/params.yaml

2. Делаем запрос к mpvm_url + ':3334/connect/token', получаем токен, который подставляем в хидер authorization в виде 'Bearer ' + token. ⚠️ Получение токена у идёт по порту 3334, а дальнейшая работа с API по порту 443!

3. Делаем запрос к assets_grid с PDQL-запросом, получаем pdql_token. Затем с этим токеном делаем запросы к assets_grid/data увеличивая offset. Упёрлись в лимит 50000 результатов? Добавьте "| limit(0)" в конец PDQL-запроса.

🧠 Отлаживать PDQL-запросы удобнее в web-gui и затем смотреть какие запросы браузер шлёт, т.к. используется тот же API.

📄 Пример python-скрипта для экcпорта всех трендовых уязвимостей.

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости

3 комментария

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости. Зачем нужно выделять трендовые уязвимости и почему делать это по открытым данным весьма непросто. Плюс пара слайдов про то, какие трендовые уязвимости выделил в 2023 году один отечественный 🟥 VM вендор (конспиративная формулировка, т.к. иду как "независимый эксперт" 😉🤷‍♂️) .

Выступление будет в секции "Анализ защищенности и расследование инцидентов", начало в 12:00. Внезапно попал в одну секцию с Андреем Масаловичем (КиберДед)! 🙂 После коротких выступлений там ожидается "Дискуссия с экспертами", должно быть занимательно.