Архив метки: VMware

Судя по новостям, объявляется неделя безопасности VMware

Добавить комментарий

Судя по новостям, объявляется неделя безопасности VMware

Судя по новостям, объявляется неделя безопасности VMware. Особенно VMware vSphere. 😏 Что там было в конкретном курьерском кейсе, надеюсь, узнаем из результатов расследования. В любом случае появился неплохой повод проверить как обстоят дела с VMware в вашей организации:

🔻 Точно никакие управляющие интерфейсы не торчат в Интернет?
🔻 Точно всё, что нужно покрыто регулярными сканами уязвимостей и сканер уязвимостей детектирует адекватно?
🔻 Точно есть регламент по регулярной установке обновлений безопасности (независящий от сканов на уязвимости)?
🔻 Точно в моменте нет незакрытых уязвимостей высокого уровня критичности?
🔻 Точно выполняли харденинг и есть регулярный контроль настроек?
🔻 Точно есть мониторинг событий безопасности и реагирование на них?
🔻 Точно есть планы по импортозамещению продуктов VMware? Хороший повод их форсировать.

Прожектор по ИБ, выпуск №20 (30.01.2024): Байдена нет

Добавить комментарий

Прожектор по ИБ, выпуск №20 (30.01.2024): Байдена нет

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду, читаем коммент, выясняем, что Байдена давно нет 😱
02:33 Обсуждаем мою новую статью на сайте Positive Technologies "Трендовые уязвимости 2023"
05:58 Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048)
11:14 Arbitrary File Reading уязвимость в Jenkins (CVE-2024-23897), приводящая к RCE
15:28 Мемчик: Поставщик объясняет, как формируется стоимость решения, которое он просто перепродает
19:27 Всё, что происходит сейчас, было уже предсказано Алексеем Лукацким много лет назад
21:41 Как найти 18 000 API Token-ов в интернете?
24:52 Книжный клуб 📕: "Прикладные квантовые технологии для защиты информации" ИнфоТеКС, "17 мгновений зимы, или Сказка для ИБэшника, который давно не верит в сказки" Майя Геваль, "Нунчи. Корейское искусство предугадывать поступки людей и мягко управлять любой ситуацией" Юни Хонг
33:26 Маск сообщил об успешной имплантации человеку чипа Neuralink
41:23 Хакерам дважды удалось взломать Tesla и выявить 49 0-day уязвимостей в ходе первого соревнования Pwn2Own Automotive в Токио
45:12 Российским компаниям из IТ-кадров больше всего нужны специалисты по кибербезопасности
48:58 10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных
54:35 Mr. X читает стихотворение Эдуарда Асадова

Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048)

2 комментария

Про признак эксплуатации вживую на примере RCE в VMware vCenter Server (CVE-2023-34048)

Про признак "эксплуатации вживую" на примере RCE в VMware vCenter Server (CVE-2023-34048). Про эту уязвимость я уже писал в октябре 2023:

"Злоумышленник с сетевым доступом к VMware vCenter Server может потенциально получить RCE из-за out-of-bounds write уязвимости в реализации протокола DCERPC. CVSSv3 Base Score 9,8. Судя по CVSS вектору, сложность атаки низкая, аутентификация не нужна, взаимодействие с пользователем не требуется. Есть патчи (даже для EOL продуктов), workaround-а нет. Публичного POCа и признака эксплуатации вживую пока нет."

В таком состоянии эта уязвимость пребывала до 18 января 2024 года, когда Mandiant написали, что оказывается CVE-2023-34048 с конца 2021 года эксплуатируется в таргетированных атаках. И всё заверте… 22 января уязвимость добавили в CISA KEV. ИБшные СМИ начали верещать, что уязвимость-то оказывается критичная и её нужно срочно патчить. 😏

Патчить её, конечно, нужно было ещё в октябре прошлого года, сразу как вышел бюллетень вендора, а не ждать пока какие-то исследователи в ходе расследования инцидентов сделают вывод, что именно эта CVE-шка эксплуатировалась. Они могут сделать такой вывод через много лет активного использования уязвимости или вообще никогда не сделать. Тем более не следует ждать эксплоита в паблике и массовых атак. Это же касается и других уязвимостей без доказанных случаев эксплуатации и публичных эксплоитов.

Если есть обновление безопасности для сколько-нибудь подозрительной уязвимости - тестируй его и ставь! Не жди железобетонных пруффов.

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Добавить комментарий

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM-у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

---

Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.

00:29 Back to Positive Technologies
00:59 Vulristics NVD Data Source
02:20 Vulristics Custom Data Source
03:22 Linux Patch Wednesday Project
04:16 Linux Patch Wednesday October 2023
05:49 Microsoft Patch Tuesday October 2023
09:12 Other Vulnerabilities October 2023
10:14 Miercom released a report "Vulnerability Management Competitive Assessment"
10:54 Vulners presented AI Score v2
11:31 My PhysTech Lecture

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

А как у нас дела с балансировщиками?

1 комментарий

А как у нас дела с балансировщиками? В последнем Прожекторе по ИБ я высказал предположение, что NetScaler ADC/Citrix ADC уже для России неактуален, т.к. их и так мало было, а у кого было - те уже мигрировали. На что Лев Палей мне возразил, что решения Citrix для балансировки были очень популярны и наверняка ещё много где есть. Давайте попробуем навести какую-то статистику по балансироващикам нагрузки в России. Опять же в контексте уязвимости F5 BIG-IP интересно.

Накинули командой Прожектора такие опции:

- Citrix NetScaler ADC
- F5 BIG-IP
- VMware NSX Advanced Load Balancer
- Microsoft NLBS
- Nginx Plus
- Nginx OSS
- Angie PRO / Angie OSS (вместе, т.к. у Телеграмма ограничение по количеству опций 🤷‍♂️)
- Другое иностранное решение
- Другое отечественное решение

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек - нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023-20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023-4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" - сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 - предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели - кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051)

3 комментария

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051)

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051).

🔴 RCE в vCenter Server (CVE-2023-34048). Злоумышленник с сетевым доступом к vCenter Server может потенциально получить RCE из-за out-of-bounds write уязвимости в реализации протокола DCERPC. CVSSv3 Base Score 9,8. Судя по CVSS вектору, сложность атаки низкая, аутентификация не нужна, взаимодействие с пользователем не требуется. Есть патчи (даже для EOL продуктов), workaround-а нет. Публичного POCа и признака эксплуатации вживую пока нет.

🟡 Обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Неаутентифицированный злоумышленник может внедрить файлы в операционную систему уязвимого устройства, что может привести к RCE. Есть публичный PoC. Признаков эксплуатации вживую пока нет. Кажется в России этот продукт для управления логами встречается редко. Если в вашей практике попадался, ставьте посту 🐳.