Архив метки: VMnews

Там в очередной раз то ли поломали, то ли не поломали LastPass

1 комментарий

Там в очередной раз то ли поломали, то ли не поломали Last­Pass. Поэтому не грех поворчать про менеджеры паролей. Менеджер паролей штука безусловно полезная, поскольку позволяет использовать пароли достаточной длины и сложности. Однако, к популярным, даже среди безопасников, менеджерам паролей есть вопросики.

1. Это странно, если менеджер паролей проприетарный, т.к. непонятно как фактически пароли хранятся и нет ли там бекдора/универсального ключа/тайного способа делать перебор мастер-пароля очень быстро. Если инструмент популярный и понятно кто его разрабатывает и где этот кто-то живет, то в отсутствие этого всего поверить тем более сложновато.
2. Это странно, когда менеджер паролей опенсурсный, но настолько навороченный, что просмотреть его код глазами за разумное время невозможно. Чем больше сложного кода, тем выше вероятность, что там что-то есть из п.1
3. Это странно, когда менеджер паролей хранит какие-то данные в облаке вендора.

Лично я пользуюсь своим проектом Bara­pass, который накидал года 2 назад (подробнее в блоге 1,2). Консольный. Работает в Win­dows, Lin­ux, MacOS. Команд минимум: расшифровать и использовать файлик, искать параметр в файле с последовательным копированием найденных значений в буфер, расшифровать файл в текстовый для редактирования, зашифровать текстовый файл. Честно скажу, редактировать и добавлять новые параметры не особо удобно, но в остальном вполне норм.

По умолчанию шифруется AES-ом, но можно вообще любую комбинацию из алгоритмов накинуть, хоть американских, хоть российских, хоть китайских, хоть каких. Комбинировать даже предпочтительно, т.к. вероятность того, что кто-то возьмется восстанавливать файл честно зашифрованный AES-ом и так-то не высока, а уж в вашей личной матрешке разбираться так и точно будут себе дороже. Проще расшифрованный пароль в буфере или в памяти незаметно поймать. Ну или использовать более грубые методы, от которых менеджеры паролей не защитят. 🙂

У Алексея Лукацкого сегодня был интересный пост про "H.R.7900 — National Defense Authorization Act for Fiscal Year 2023"

1 комментарий

У Алексея Лукацкого сегодня был интересный пост про "H.R.7900 — Nation­al Defense Autho­riza­tion Act for Fis­cal Year 2023". Длиннющий документ. Местами видимо интересный. Если в PDF выгружать, то там 3854 страницы. Слово "Rus­sia" там встречается 281 раз. Солидно. 🙂 "Chi­na" только 130 раз.

Алексей Викторович обратил внимание, что теперь согласно "SEC. 6722. DHS SOFTWARE SUPPLY CHAIN RISK MANAGEMENT." контракторам Depart­ment of Home­land Secu­ri­ty (DHS) придется собирать зависимости их продуктов в "bill of mate­ri­als" и доказывать сертификатом, что ни в одной из зависимостей нет ни одной уязвимости из NVD. Не то, что там критичных уязвимостей нет, а вообще никаких CVE нет!

Практика занимательная. Учитывая с какой скоростью выходят новые уязвимости это получается, что по-хорошему нужно будет постоянно пересобирать продукт и тестить, что ничего не разъехалось, чтобы к моменту сертификации быть максимально свеженькиими и неуязвимыми. Сомневаюсь, что кто-то реально сможет честно пройти такую сертификацию буквально так, как это написано. Но если да, было бы интересно посмотреть на этих монстров разработки, тестирования и автоматизации. 🙂 Хотя по сути так было бы правильно.

Ну и там вроде не конкретизировано кто и как именно должен процедуру сертификации проводить, так что могут быть нюансы. 😏

Но меня больше зацепило, что там речь идет не только об NVD, но и

"(B) any data­base des­ig­nat­ed by the Under Sec­re­tary, in coor­di­na­tion with the Direc­tor of the Cyber­se­cu­ri­ty and Infra­struc­ture Secu­ri­ty Agency, that tracks secu­ri­ty vul­ner­a­bil­i­ties and defects in open source or third-par­ty devel­oped soft­ware."

Это что такое? Это просто вставочка на будущее, типа вдруг когда-нибудь сделают ещё какую-нибудь базу? Или есть какая-то ещё база уязвимостей Open Source софта разработанная DHS и CISA, которая не в паблике? Загадочно. 🙂

PS: Надо бы тамошним законодателям рассказать, что у каждого item в "bill of mate­ri­als" могут быть свои зависимости, и в этих зависимостях могут быть (и есть) уязвимости, а для самого item‑а в NVD об этом никакой информации не будет. Как не было отдельной CVE под каждый софт уязвимый Log4Shell. Даешь "bill of mate­ri­als" для каждого item‑а и тотальный разбор этой адской матрешки! Муа-ха-ха! 😈

Это второй выпуск Vulnerability Management news and publications

Добавить комментарий

Это второй выпуск Vul­ner­a­bil­i­ty Man­age­ment news and pub­li­ca­tions. В этот раз меньше цитат из новостных статей, больше моих мыслей. Выглядит вроде получше, вам как?

Основная мысль этого эпизода. Microsoft это ангажированная компания. Фактически их можно теперь воспринимать как ещё одно американское агентство. Значит ли это, что нам нужно о них забыть и прекратить отслеживать, что они делают? Нет, не значит. Они делают много интересных вещей, которые как минимум можно исследовать и копировать. Значит ли это, что нужно отказаться от использования продуктов Microsoft? В некоторых локациях (вы сами знаете каких) точно да, в некоторых можно продолжать использовать, если это оправдано, но нужно иметь план Б. И это касается не только Microsoft. Т.е. видится гибкий подход. Здесь — поступаем так, там — по-другому. Кажется, что довольно жесткая фрагментация рынка IT это долгосрочный тренд и надо к нему приспосабливаться.

В этом эпизоде:

01:03 Microsoft выпустили пропагандистский отчет, что это значит для нас?
06:48 Microsoft выпустили функцию Autopatch, стоит ли ее применять?
09:59 Нелепая уязвимость: захардкоженный пароль в Con­flu­ence Ques­tions
11:50 Новый Nes­sus Expert и почему это, по-видимому, худший релиз Ten­able
13:20 Новые фичи Rapid7 Nexpose/InsightVM, добавленные во втором квартале 2022 года: хорошее и странное
16:46 Palo Alto: вредоносное сканирование через 15 минут после публикации CVE. Да неужели?
19:36 6 групп уязвимостей, которые чаще всего используются в атаках, согласно Palo Alto, и конец ИТ-глобализации

Video: https://youtu.be/_waOzdBvIyU
Video2 (for Rus­sia): https://vk.com/video-149273431_456239097
Blog­post: https://avleonov.com/2022/08/14/vulnerability-management-news-and-publications‑2/

В том же отчете Palo Alto 2022 Unit 42 Incident Response Report есть ещё один прикольный момент

1 комментарий

В том же отчете Palo Alto 2022 Unit 42 Incident Response Report есть ещё один прикольный момент

В том же отчете Palo Alto 2022 Unit 42 Inci­dent Response Report есть ещё один прикольный момент. Группы уязвимостей, через которые чаще всего ломали компании. "В случаях, когда респонденты положительно идентифицировали уязвимость, используемую злоумышленником, более 87% из них попали в одну из шести категорий CVE".

Категории:

• 55% Microsoft Exchange Prox­yShell (CVE-2021–34473, CVE-2021–34523, CVE-2021–31207)
• 14% Log4j
• 7% Son­icWall CVEs
• 5% Microsoft Exchange Prox­y­L­o­gon (CVE-2021–26855, CVE-2021–26857, CVE-2021–26858, CVE-2021–27065)
• 4% Zoho Man­ageEngine ADSelf­Ser­vice Plus (CVE-2021–40539)
• 3% Fortinet CVEs

• 13% Oth­er

С одной стороны это можно использовать для приоритизации уязвимостей и для общих размышлений на уязвимости в каком софте стоит в первую очередь обращать внимание. На уязвимости из Oth­er я бы тоже посмотрел, но их к сожалению не привели в отчете.

С другой стороны это показывает насколько тема с уязвимостями и инцидентами зависит от конкретного региона. Ну допустим Exchange везде используют, это да. Log4j также всех затронул так или иначе. Можно представить, что в наших широтах кое-кто крепко сидит на Fortinet. Но вот Son­icWall и Zoho кажутся чем-то совсем экзотичным. А там, где Unit 42 inci­dent response кейсы решает, это очень значимые штуки. Или вспомнить прошлогоднюю эпопею, когда массово пошифровали компании через уязвимости Kaseya VSA. Больше тысячи компаний пострадали, но опять же это не в нашем регионе, поэтому нам не особо это интересно было.

С учетом исхода западных вендоров с российского рынка IT ландшафты "здесь" и "там" будут все больше и больше различаться. И все большую роль в российских инцидентах будут играть уязвимости в софте, о котором западные ИБ вендоры возможно и не слышали никогда. И это в обе стороны работает. Значит ли это, что и Vul­ner­a­bil­i­ty Man­age­ment решения нам понадобятся все более и более заточенные под наши российские реалии? Ну видимо да.

Похоже, что время безусловной глобализации в IT уходит, а вместе с тем и возможности VM-вендоров относительно просто внедрять свои решения в новых регионах. Что поделать.

Про отмену SPLA лицензии Microsoft у Yandex Cloud

Добавить комментарий

Про отмену SPLA лицензии Microsoft у Yan­dex Cloud. Так-то было конечно предсказуемо. Продления контрактов похоже не будет, даже если ты крупная нидерландская компания с проектами по всему миру. Если всё порежут непродлением контракта, то видимо потихонечку года за 3 (например соглашение SPLA на три года заключается) всё и истечет. А могут раньше рубануть? Да могут вполне, если по формальным признакам так и вообще в любой момент, как те же Ten­able.

Upd. Аналогично с SPLA лицензией VK Cloud Solu­tions.

На этой неделе много пишут про уязвимости Confluence

Добавить комментарий

На этой неделе много пишут про уязвимости Con­flu­ence. Их вышло три.

CVE-2022–26136 & CVE-2022–26137: Mul­ti­ple Servlet Fil­ter vul­ner­a­bil­i­ties (Authen­ti­ca­tion bypass, XSS, Cross-ori­gin resource shar­ing bypass). Много продуктов Atlass­ian уязвимо. Кроме Con­flu­ence и JIRA это ещё и Bit­buck­et например. Тут все понятно, надо патчить. Ну и в идеале давно пора от этих продуктов отказываться, сами понимаете почему.

CVE-2022–26138: Hard­cod­ed pass­word in Con­flu­ence Ques­tions. Эта уязвимость сейчас самая хайповая и забавная. Установка дополнительного аппа Ques­tions для конфлюенса создаёт пользователя dis­abledsys­te­muser с захардкоженным паролем. А он не dis­abled! 🤡 Пароль уже в паблике. Под этим юзером можно читать незащищённые странички доступные con­flu­ence-users. Ну не смех ли? 🙂 Исправляется патчингом или блокировкой/удалением пользователя.

Тут что можно сказать:
1. Плагины и расширения зло, там обычно самое адище.
2. Вот как-то так могут выглядеть закладки в ПО. Очень простая эксплуатация при этом можно всегда сказать, что ой, извините, это ошибка.
3. Те, кто Con­flu­ence и подобные сервисы в интернет выставляют сами себе злобные буратины.

Посмотрел что новенького появилось в Rapid7 Nexpose/InsightVM в Q2 2022

1 комментарий

Посмотрел что новенького появилось в Rapid7 Nexpose/InsightVM в Q2 2022. Часть изменений из разряда "а как они вообще без этого раньше жили".

Вот только-только появилась поддержка sever­i­ty CVSS v3 в дашбордах. Стандарт зарелизили в июне 2015, данные в NVD были с 2017. И вот через 5 лет после этого только решили и эти данные тоже учитывать? Ну, странно.

Или то, что раньше у них были такие странные дашборды по исправлениям, что прогресс по Reme­di­a­tion Project был виден только когда исправления были применены ко всем активам. А теперь стало лучше: "Yes, this means cus­tomers no longer have to wait for all the affect­ed assets to be reme­di­at­ed to see progress". Ну круто.

Или вот только-только добавили поддержку Alma­L­in­ux и Rocky Lin­ux. Хотя стабильные версии дистрибутивов появились больше года назад и уже активно используются в энтерпрайзе как замена Cen­tOS. Получается клиенты Rapid7 только сейчас получили возможность их сканировать?

Rapid7 используют термин "recur­ring cov­er­age" для поддерживаемых систем. И у них есть в паблике список таких систем. "The fol­low­ing soft­ware list encom­pass­es those prod­ucts and ser­vices that we are specif­i­cal­ly com­mit­ted to pro­vid­ing ongo­ing, auto­mat­ed cov­er­age". Не особо, кстати, большой, но круто, что публичный.

С другой стороны, есть и прикольные фичи, как минимум одна. Это Scan Assis­tant. Фича это была представлена в декабре прошлого года, но сейчас её улучшили. Насколько я понимаю, это что-то вроде агента, который однако не проводит сбора или анализа данных, а только отвечает за аутентификацию сканера. Т.е это решение проблемы использования учеток для сканирования, что всегда адово и рискованно, если утечёт. А так можно раскатать Scan Assis­tant и сканер будет аутентифицироваться не с помощью учётки хоста, а по сертификатам. "Scan Assis­tant, a light­weight ser­vice deployed on an asset that uses dig­i­tal cer­tifi­cates for hand­shake instead of account-based cre­den­tials; This alle­vi­ates the cre­den­tial man­age­ment headaches VM teams often encounter." Вот это прикольная и полезная штука, у других VM вендоров ее не видел. Во втором квартале добавили автоматизацию обновления этого Scan Assis­tant и ротации сертификатов. Круто, что тема развивается. Но пока только для Win­dows.

И есть обновления, которые никаких особенных эмоций у меня не вызвали. Это например Asset cor­re­la­tion for Cit­rix VDI instances или поддержка детекта уязвимостей Ora­cle E‑Business Suite и VMware Hori­zon. Добавили, ну и хорошо.