Архив метки: VulnCheck

На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что "у них лапки", и они будут обогащать ещё меньше уязвимостей

Добавить комментарий

На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что у них лапки, и они будут обогащать ещё меньше уязвимостей

На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что "у них лапки", и они будут обогащать ещё меньше уязвимостей. Хотя, казалось бы куда уж меньше. 😏 Суть обращения, опубликованного NIST 15 апреля, в том, что из-за резкого роста числа CVE они меняют подход к ведению National Vulnerability Database: вместо анализа всех уязвимостей база переходит на риск-ориентированную модель. Полноценно обогащаться будут только приоритетные уязвимости:

🔥 уже эксплуатируемые (из каталога CISA KEV) - обещают обрабатывать за сутки
🏛️ относящиеся к ПО, используемому в госсекторе США (федеральным правительством)
🛠️ относящиеся к критическому ПО, определённому в Executive Order 14028

Остальные CVE останутся в базе, но получат низкий приоритет и будут долго оставаться без детального анализа. При этом NVD отказываются от дублирования CVSS-оценок (если CVSS пришёл от CNA, ему будут доверять, а свой CVSS рассчитывать не будут), будут реже перерабатывать записи, по которым изменилась ситуация, и фактически законсервируют накопившийся бэклог, чтобы сосредоточиться на наиболее опасных уязвимостях ценой снижения полноты и единообразия данных по остальным.

В целом, у меня такие новости вызывают сплошные фейспалмы. 🤦‍♂️ От NIST, которые, по-видимому, разогнали всех адекватных IT/ИБ-специалистов и превратились в синекуру для бюрократов, тратящих огромное финансирование непонятно на что. От CISA, которые не могут навести порядок в базовом ИБ-сервисе, критичном и для США, и для мира в целом. От американской администрации, которая тратит совершенно астрономические суммы на дикие геополитические прожекты, но совершенно не заботится о том, что происходит (разваливается) у них дома. MAGA? Лол, что? 😅

Ну а в практическом плане это означает, что если вы полагаетесь ТОЛЬКО на бесплатную NVD, то совершаете фатальную ошибку. Адекватность этой базы год от года стремительно снижается. Учитывайте альтернативные источники: Vulners, DBugs, VulnCheck, GCVE, БДУ ФСТЭК и прочие. Единственной мировой базы уязвимостей больше нет.

Ниже привожу полный перевод сообщения NIST.
Читать далее

VulnCheck (Vulnerability Intelligence вендор и CNA) выстроили занимательный конвейер регистрации CVE-идентификаторов для активно эксплуатирующихся уязвимостей через взаимодействие с мониторинговой организацией Shadowserver

Добавить комментарий

VulnCheck (Vulnerability Intelligence вендор и CNA) выстроили занимательный конвейер регистрации CVE-идентификаторов для активно эксплуатирующихся уязвимостей через взаимодействие с мониторинговой организацией Shadowserver

VulnCheck (Vulnerability Intelligence вендор и CNA) выстроили занимательный конвейер регистрации CVE-идентификаторов для активно эксплуатирующихся уязвимостей через взаимодействие с мониторинговой организацией Shadowserver. Такой конвейер работает без участия вендоров уязвимого ПО и особенно полезен для регистрации уязвимостей в продуктах вендоров, которые по каким-то причинам совсем не инициируют регистрацию CVE или делают это со значительной задержкой (например, в случае некоторых вендоров из Китая).

Схема процесса:

🔎 Обнаружение эксплуатации: Shadowserver Foundation фиксируют, что для конкретной уязвимости наблюдается эксплуатация вживую, при этом CVE-идентификатор у уязвимости отсутствует.

🧪 Проверка информации: VulnCheck валидируют информацию и подтверждают, что для уязвимости ранее действительно не было зарегистрировано CVE.

📚 Сбор источников: собираются все релевантные публичные источники по уязвимости, включая, при наличии, патчи и репорты CERT-ов, государственных агентств и записи из альтернативных баз уязвимостей.

🆔 Публикация CVE: после подтверждения уязвимости ей присваивается CVE-идентификатор с привязкой к году первоначального раскрытия (например, CVE-2021-4473, если уязвимость была раскрыта в CNVD в 2021 году). В качестве CNA выступают сами VulnCheck.

📡 Распространение: опубликованный CVE-идентификатор передаётся обратно в Shadowserver для использования в детектировании, а также добавляется в VulnCheck KEV. Дополнительно рассылаются уведомления подписчикам по email и Slack.

VulnCheck приводят примеры заведённых по такому процессу уязвимостей:

🔻 CVE-2026-22679 - уязвимость удалённого выполнения команд без аутентификации в Weaver (Fanwei) E-cology 10.0. Первые признаки эксплуатации зафиксированы Shadowserver Foundation 31.03.2026.

🔻 CVE-2021-4473 - уязвимость внедрения команд в Tianxin Internet Behavior Management System. Первые признаки эксплуатации зафиксированы Shadowserver Foundation 01.06.2024.

Итого. В таком процессе уязвимости фиксируются и оформляются на основе наблюдаемой эксплуатации и threat intelligence без обязательного участия вендора ПО. При этом регулятор, отвечающий за ведение базы уязвимостей, не перегружается операционной работой конвейера по сбору данных и заведению новых идентификаторов. 👍

🇷🇺 В российском контексте подобный подход можно было бы использовать для ускоренного заведения уязвимостей в БДУ ФСТЭК по факту их эксплуатации без активного участия в процессе регулятора и вендоров уязвимого ПО. Но для этого нужно фактически выдать некоторым российским Vulnerability Intelligence организациям полномочия по заведению идентификаторов БДУ, фактически аналогичные CNA, что, конечно, имеет свои плюсы и минусы. 🤔

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893)

Добавить комментарий

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893). XWiki - бесплатная и открытая вики-платформа, написанная на Java, с особым акцентом на расширяемость. В ней можно делать визуальное редактирование (WYSIWYG), импорт и экспорт документов в формате OpenDocument, добавлять аннотации и теги, а также гибко управлять правами доступа. Уязвимость позволяет злоумышленнику с правами guest-пользователя добиться выполнения произвольного кода на сервере, отправив специальный SolrSearch-запрос.

⚙️Уязвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.

🛠 POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.

👾 28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.

Про уязвимость Remote Code Execution - Zyxel CPE Series (CVE-2024-40891, CVE-2025-0890)

Добавить комментарий

Про уязвимость Remote Code Execution - Zyxel CPE Series (CVE-2024-40891, CVE-2025-0890)

Про уязвимость Remote Code Execution - Zyxel CPE Series (CVE-2024-40891, CVE-2025-0890). Подробности по уязвимости появились в блоге компании VulnCheck 3 февраля. Их исследователи поковыряли старый роутер Zyxel VMG4325-B10A и нашли там захардкоженные привилегированные учётки. А также возможность подключаться с этими учётками к уязвимым устройствам через telnet и выполнять произвольные shell-команды. Wrapper, который должен блокировать выполнение произвольных команд обходится через "ping ;sh" или "tftp -h || sh".

VulnCheck указали набор из 12 Zyxel CPE роутеров. Zyxel 4 февраля подтвердили, что эти устройства уязвимы, но патчи для них выпускать не будут, т.к. они в EoL. Какие ещё устройства могут быть уязвимы не сообщили. 🤷‍♂️

Но не будут же эти устройства выставлять в Интернет голым telnet-ом?! А выставляют. 😅 Fofa и Censys видят ~1500 хостов.

👾 GreyNoise сообщили 28 января, что уязвимость уже эксплуатируют для установки зловредного ПО Mirai.

Посмотрел VulnCheck KEV

Добавить комментарий

Посмотрел VulnCheck KEV
Посмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEVПосмотрел VulnCheck KEV

Посмотрел VulnCheck KEV. Это аналог CISA KEV (Know Exploited Vulnerabilities) от компании VulnCheck.

🔹 В отличие от общедоступного CISA KEV, доступ к VulnCheck KEV имеют только зарегистрированные пользователи. Сам сайт VulnCheck доступен с российских IP 🇷🇺, но при регистрации пишут, что "заявка на модерации" (никакой модерации там нет, заявки просто блокируют 🥸). С нероссийских IP регистрируют автоматически. Хитрецы. 🌝
🔹 В базе в ~2 раза больше CVE, чем в CISA KEV.
🔹 Штатных средств для выгрузки всех этих CVE через web-gui нет. Возможно можно через API. 🤷‍♂️
🔹 Для CVE есть ссылки на эксплоиты. Вроде без особого мусора. 👌
🔹 Есть признаки эксплуатации вживую. Иногда там что-то понятное, типа ссылки на pdf-репорт а-ля "Outbreak Alerts 2023". Иногда непонятное типа ссылки на дашборд Shadowserver или блогпост, в котором эксплуатация CVE не упоминается. 🤷‍♂️

В общем, подборка CVE довольно интересная, но нужно улучшать обоснования эксплуатации вживую. 😉

Прожектор по ИБ, выпуск №8 (22.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №8 (22.10.2023). Записали очередной эпизод. Из основного: обсуждали Аврору ОС и отечественные смартфоны/планшеты, разобрали актуальные уязвимости с упором на Linux, немного коснулись регуляторики. К сожалению, у нас был какой-то сбой с видео, поэтому с 35:37 мы без камер. 🤷‍♂️

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и радуемся, что прошлый выпуск вроде неплохо смотрели 🙂
01:45 Лев поучаствовал в IVADAY 2023 и ему подарили отечественный планшет от БайтЭрг
08:40 Кажется, что смартфоны нa Авроре для физиков могут появиться в ноябре. Обсуждаем зачем и кому это вообще нужно
19:23 Телеканалы и операторов связи обяжут создать ИБ-подразделения
23:17 Auth bypass в Cisco IOS ХЕ (CVE-2023-20198)
27:47 13 эксплоитов ботнета Mirai
30:37 RCE уязвимость в JetBrains TeamCity (CVE-2023-42793)
33:56 Женщина сама себя сняла с электронной очереди в детский сад в Астане
35:37 Смотрим отчёт по октябрьскому Linux Patch Wednesday
37:52 GNOME уязвим перед RCE-атаками из-за ошибки в библиотеке libcue
41:20 Охарактеризуйте олдскульную ИБ одним словом и шлите нам свои мемасики
42:38 ФБР предупредила о хакерах-вымогателях, атакующих клиники пластической хирургии в США и мире
43:43 В CISA KEV появилась новая колонка, отвечающая за использование уязвимости в атаках шифровальщиков
45:13 Практический вопрос использования методики оценки уровня критичности уязвимостей ФСТЭК
49:43 Сходка "ПоИБэшечка: К истокам" 31 октября
51:50 Прощание от Mr. X

По Privilege Escalation в Cisco IOS XE (CVE-2023-20198), о которой вчера писал, прям паника в ИБшных СМИ пошла

3 комментария

По Privilege Escalation в Cisco IOS XE (CVE-2023-20198), о которой вчера писал, прям паника в ИБшных СМИ пошла

По Privilege Escalation в Cisco IOS XE (CVE-2023-20198), о которой вчера писал, прям паника в ИБшных СМИ пошла. Товарищи из Vulnerability Intelligence компании VulnCheck выпустили скрипт для проверки Cisco IOS XE на компрометацию и начали сканировать выдачу Shodan/Censys с устройствами Cisco. В этой выдаче где-то 140000 хостов. И вот они заявили журналисту из Bleeping Computer, что где-то половину хостов просканили и где-то 10000 устройств с имплантом обнаружили. То есть не просто уязвимых, а уже взломанных. А сколько их всего будет сложно даже предположить. 🍿

Хорошая демонстрация почему нужно отслеживать информацию об уязвимостях и быстро-быстро реагировать. Ну и стараться уменьшать свой периметр на сколько возможно, убирая от туда ненужное (типа веб-гуёв сетевых устройств).