Архив метки: TrendVulns

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911. Это при том, что уязвимость вышла 3 октября, публичный PoC для неё был готов уже на следующий день, и она уже как минимум 2 недели эксплуатируется в зловреде Kinsing. Не спешат товарищи, ой не спешат. 🤷‍♂️

🟥 Positive Technologies относит эту уязвимость к трендовым с 4 октября. 😎

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading. "Эксплуатируемым уязвимостям требуются месяцы на то, чтобы попасть в CISA KEV". Показывают на примерах:

1. RCE уязвимость в Adobe Acrobat и Reader (CVE-2023-21608). Вышла эта уязвимость 18 января. PoC для неё вышел в феврале. С июня эксплоит доступен в коммерческих фреймворках. А в CISA KEV уязвимость добавили только 10 октября. 🤷‍♂️ 10 месяцев получается потребовалось.

2. Множественные уязвимости в Juniper серий EX и SRX. Объявили об уязвимостях в середине августа. 25 августа Shadowserver сообщили о попытках эксплуатации вживую. В CISA KEV добавили только 13 ноября.

3. Обход аутентификации Veeam Backup & Replication (CVE-2023-27532). Обнаруженна в марте, начала эксплуатироваться позже в том же месяце, добавлена в список KEV только в августе.

И почему так?

Всё из-за жёстких критериев к доказательствам фактов эксплуатации уязвимости вживую и к наличию исправления от вендора (т.к. CISA KEV это фактически перечень требований для федеральных агентств по исправлению уязвимостей).

В статье рекомендуют использовать дополнительные источники данных об уязвимостях эксплуатируемых вживую.

Тоже порекомендую такой источник -

Трендовые Уязвимости
от 🟥 Positive Technologies

😉

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков. Записали очередной эпизод нашего еженедельного подкаста. В этот раз записывали таким составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику
02:29 Как Лев съездил на Цифротех
07:52 Не верь описанию уязвимости - может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023-22518)
11:36 Специалисты из Check Point Research раскрыли уязвимость в Microsoft Access, которая может быть использована злоумышленниками для получения NTLM-токенов пользователя Windows
15:31 Парочка занимательных аномалий из National Vulnerability Database
18:27 Про возраст уязвимости и её трендовость
29:38 Ещё один экран Бесконечного VM-a про сетевой периметр
40:05 Делюсь впечатлениями от покупки первого смартфона на Авроре для физиков
55:19 В преддверии Черной пятницы число веб-атак на ретейл России возросло на 50%
57:27 Минцифры России запускает второй этап программы bug bounty, распространив ее на все ресурсы и системы электронного правительства
01:00:47 В Южной Корее робот насмерть прижал мужчину
01:06:11 Иван рекомендует книгу "How vCISOs, MSPs and MSSPs Can Keep their Customers Safe from Gen AI Risks"
01:10:21 Прощание от Льва

Про возраст уязвимости и её трендовость

Про возраст уязвимости и её трендовость

Про возраст уязвимости и её трендовость. В комментах к предыдущему посту Андрей Бешков поднимает правильную тему.

Вспоминаю сводки по эксплуатации уязвимостей от Microsoft. И там статистика показывает что больше всего эксплуатируют не модные «трендовые» а старые давно закрытые уязвимости.

Например как с Conficker который распространялся через уязвимость закрытую за много много месяцев до его появления. 😉

Трендовость уязвимости не зависит модности или наличия патчей. Она зависит от наличия (или экспертной оценки скорого появления) эксплоитов, критичных атак и актуальности уязвимого продукта для клиентов.

Cпорный вопрос: может ли уязвимость признанная трендовой перестать быть трендовой со временем?

Моё текущее мнение, что нет, не может. Так что и конфикеровскую CVE-2008-4250 я бы продолжал держать в списке трендовых. Несмотря на то, что ОС-и, которые она аффектила (Windows 2000/XP/Vista, Windows Server 2003/2008/2008 R2) актуальными быть перестали. 🤷‍♂️

➡️ Опрос

Послушал третий эпизод подкаста КиберДуршлаг про Трендовые Уязвимости

Послушал третий эпизод подкаста КиберДуршлаг про Трендовые Уязвимости

Послушал третий эпизод подкаста КиберДуршлаг про Трендовые Уязвимости. Гостями подкаста в этот раз были Юрий Шкодин и Егор Подмоков из PT Expert Security Center (ESC). Для меня особенно интересный эпизод, т.к. ответ на вопрос куда именно в PT я вышел - вот конкретно к ним. 🙂 Выписал некоторые тезисы.

1. Трендовые уязвимости - уязвимости, которые эксплуатируются сейчас (на которые есть эксплоиты) или которые будут эксплуатироваться в ближайшее время. Это те уязвимости, на которые заказчики должны обратить внимание в первую очередь в своей инфраструктуре.
2. Трендовых уязвимостей не должно быть везде в инфраструктуре или только в DMZ? Дискуссионный вопрос, нужно исходить из модели рисков. Трендовая уязвимость на тестовом стенде внутри IT-инфраструктуры это не очень важная уязвимость.
3. Трендовость Уязвимости зависит от уязвимого продукта. Они могут быть очень специфичными: Church Management система, управления автомобилями и т.п. Необходимо учитывать реальные возможности по детектированию. Продукты, которые неинтересны ни нам, ни заказчикам, мы добавляем в black list, который, при необходимости, пересматриваем.
4. Исходные данные для оценки трендовости собираем из баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей и мессенджеров, баз эксплоитов, публичных репозиториев кода.
5. Фолзы детектов уязвимостей, отчего они? Например, в детекте уязвимостей Windows по KB-шкам. Могут быть ошибки роботов-сборщиков данных. Может быть задержка реагирования на изменение в контенте вендора. Может быть вендор ПО предоставляет информацию об обновлениях недостаточно прозрачно.
6. Форки Open Source продуктов, которые не фиксят и не сообщают об уязвимостях исходного продукта. Призываем вендоров за этим следить. И желательно, чтобы вендоры публиковали информацию о своих уязвимостях в одном месте, идеально в БДУ ФСТЭК.
7. Сложности с детектами. Версионные детекты: уязвимость в выключенной фиче или выключенном ПО это уязвимость? Детекты с эксплуатацией: проверка не сработала, а насколько этому можно верить? Насколько правильно проверки реализованы и на основе каких эксплоитов?
8. Пользовательские детекты для софтов и уязвимостей - крутая тема. Идём в эту сторону.
9. Для отладки детектов необходимы реальные стенды с уязвимыми продуктами. Здесь вопросы с оценкой популярности софта (невозможно поддерживать всё) и нотификациями о выпуске новых версий софта. В эти темы тоже идём.
10. Доставка трендовых уязвимостей в MP VM за 12 часов. Трендовые уязвимости, как правило, начинают эксплуатировать через 24 часа (плюс это требование ФСТЭК из методики оценки критичности). Из них 12 нужно VM вендору на реализацию проверки и 12 нужны клиенту на детекты и исправление. Для более быстрой доставки идём к тому, что в базе MP VM будут все уязвимости, не только те, для которых есть детекты. Нужно будет только быстро добавлять детекты (возможно силами самих клиентов). Ассетная модель позволяет получить сработки без пересканирования по имеющимся данным.
11. BugBounty может использоваться для контроля известных уязвимостей сетевого периметра и выполнения SLA (например хантер может сдавать известные уязвимости старше 30 дней).
12. HCC PT Essentials это минимальный набор требований к конфигурациям, которые обязательно должны выполняться. Идём в сторону возможности реализовывать свои проверки.
13. Идеальный VM вендор. Прозрачность по текущим и будущим фичам (открытый roadmap). Улучшение покрытия продуктов. Самостоятельность заказчиков в плане наполнения базы знаний уязвимостей и детектов, возможность делиться этим контентом через маркетплейс. Метапродукты работающие с минимальным количеством людей. Автоматизированное исправление уязвимостей с аппрувом от IT.

Что я вынес из доклада "Успеть за 24 часа: как работать с трендовыми уязвимостями"

Что я вынес из доклада Успеть за 24 часа: как работать с трендовыми уязвимостямиЧто я вынес из доклада Успеть за 24 часа: как работать с трендовыми уязвимостямиЧто я вынес из доклада Успеть за 24 часа: как работать с трендовыми уязвимостями

Что я вынес из доклада "Успеть за 24 часа: как работать с трендовыми уязвимостями".

1. Публичное подтверждение: MaxPatrol EDR будет собирать инвентаризационную информацию для расчета уязвимостей. Т.е. это полноценное агентное сканирование! EDR агент будет регулярно отправлять данные в сторону сервера и не надо будет запариваться активными сканами, заведением учёток, пропиливанием сетевых доступов и т.п. Крутейшая долгожданная фича. 🥳
2. Определение трендовых уязвимостей: "Уязвимости, которые представляют наибольшую опасность для организации или активно эксплуатируются злоумышленниками, либо уязвимости нулевого дня, для которых есть подтвержденные механизмы эксплуатации". Т.е. в фокусе
🔻 контекст клиентов, применяются ли уязвимые продукты в их инфраструктуре;
🔻 злоумышленники, какие уязвимости они эксплуатируют в атаках;
🔻 технические средства, которые позволяют эксплуатировать уязвимости.
3. Достижения этого года: Compliance Management (HCC), поддержка методики ФСТЭК по оценке критичности уязвимостей, SLA в 12 часов по доставке детектов для трендовых уязвимостей, поддержка LAPS, публичный API, новый сайзинг-гайд.
4. В следующем году собираются представить: сканирование веб-приложений, Linux collector для всех режимов сканирования (коллектор это новое название для сканирующей ноды, ранее это называлось агентом), сканирование в технологические окна, сканирование docker, новые форматы отчетов, проверка подключения и тестирование транспортов, патчи на уязвимости, поддержка иерархических инсталляций, мобильный сканер 2.0, сертифицированная сборка, приоритизация задач сбора, добавление PDQL-запросов в задачи, возможность настроить права только для чтения.
5. Из более отдаленных планов наиболее интригует прямоугольничек "Свои детекты и уязвимости". 😏

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад.

Успеть за 24 часа: как работать с трендовыми уязвимостями
Зал 1, 15:10 - 15:30
Speaker: Павел Попов, Анна Цыбина
Расскажем, почему важно быстро реагировать на самые опасные уязвимости, как в этом может помочь MaxPatrol VM и почему vulnerability management — неотъемлемый компонент РКБ

РКБ - Результативная Кибербезопасность