Архив метки: vulnerability

Публичный эксплоит для EoP уязвимости корпоративного VPN клиента Cisco AnyConnect (новое название - Cisco Secure Client Software) под Windows

Добавить комментарий

Публичный эксплоит для EoP уязвимости корпоративного VPN клиента Cisco AnyConnect (новое название - Cisco Secure Client Software) под Windows

Публичный эксплоит для EoP уязвимости корпоративного VPN клиента Cisco AnyConnect (новое название - Cisco Secure Client Software) под Windows. Речь об уязвимости CVE-2023-20178. Патчи вышли 7 июня. 18 июня исследователь Filip Dragović выложил PoC эксплоита "удаление произвольного файла". Вполне вероятно, что докрутят до чего-то более интересного, чем простое удаление файлов. Если у вас в организации всё ещё используется AnyConnect - потыкайте палочкой ответственных за обновление (и за импортозамещение, по случаю, тоже 😉).

А вот и обещанный подкаст с моим участием

Добавить комментарий

А вот и обещанный подкаст с моим участием. 🙂

---

"▶️ Новый подкаст уже доступен в YouTube

👀 Переходите по ссылке, смотрите и оставляйте свои комментарии. Нам очень важно ваше мнение.

🗣 Гостем выпуска стал Александр Леонов, автор телеграм-канала «Управление уязвимостями и прочее». Эксперт рассказал об особенности VM в России. Как на процесс управления уязвимостями повлияли исход иностранных вендоров, тренд на импортозамещение и нововведения регуляторов."

Как я тестил VulnsIO on-prem

1 комментарий

Как я тестил VulnsIO on-prem

Как я тестил VulnsIO on-prem. Установка простая. Нужна Linux-овая виртуалка, на неё ставим docker и docker-compose. Затем скачиваем с официального сайта консольную утилиту vio-installer. Отвечаем на вопросы в текстовом интерфейсе и через минут 5 получаем развернутое VM-решение с web-интерфейсом. 👍

Из подводных камней можно отметить то, что инсталлеру нужен доступ не только до vulns.io, но и до некоторых других внешних registry для скачивания образов. Не все требуемые доступы сейчас описаны в руководстве. Пришлось несколько раз запускать инсталлер и дозаказывать доступы от виртуалки наружу. Также были проблемы со скачиванием некоторых образов. Видимо проблемы были на стороне окружения, всё решилось ограничением количества одновременных потоков на уровне docker-демона:

/etc/docker/daemon.json

{
  "max-concurrent-downloads" : 1
}

Но это всё мелочи.

Помимо безагентного сканирования, VulnsIO поддерживает также честное агентное сканирование. Т.е. на таргет-хосты можно поставить агенты, которые будут сами подключаться к on-prem серверу VulnsIO по 443 порту и периодически скидывать туда данные для расчета уязвимостей (можно и принудительно обновить данные через задачу на аудит). Подход +- как у Qualys с легковесными агентами. Агенты обновляются сами. Аутентификации агента на доменные учётки не завязана. В общем, тут всё удобно и работает так, как ожидается.

При сравнении со ScanOVAL для тестового Windows Server хоста и тот, и другой надетектировал около 2000 CVE. При этом пересечение получилось 68%. Есть по ~ 300-400 CVE, которые детектируются одним из средств, а другим нет. 🤷‍♂️ С чем связаны расхождения это вполне себе повод для дальнейшего ресерча и общения с вендором, но то, что совпадает сильно больше половины, это уже неплохо. 😉

Выпустил эпизод про июньский Microsoft Patch Tuesday

1 комментарий

Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.

———

Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.

TOP of the Vulristics report
00:38 Memory Corruption – Microsoft Edge (CVE-2023-3079)
01:12 Remote Code Execution – GitHub (CVE-2023-29007)
01:40 Spoofing – Microsoft OneNote (CVE-2023-33140)

02:01 10 vulnerabilities CVSS Temporal Metrics "Proof-of-Concept Exploit"

No exploits or signs of exploitation in the wild
03:10 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
04:02 Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310)
05:27 Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция

Добавить комментарий

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция.

CVE-2023-32434 - "An app may be able to execute arbitrary code with kernel privilege"

CVE-2023-32435 - WebKit "Processing web content may lead to arbitrary code execution"

Исправления пришли в версиях iOS/iPadOS 16.5.1 и 15.7.7.

Получается 20 дней потребовалось на выпуск фикса. Можно констатировать, что какого-то нового закручивания гаек в отношение устройств Apple за эти 20 дней также не произошло.

Я за это время имел несколько бесед с безопасниками из разных компаний, которые используют устройства Apple (основной вопрос к устройствам на macOS). Поразительное дело. Все согласны с тем, что устройства Apple это "идеальное убежище для шпионских программ" и обеспечивать безопасность таких устройств куда сложнее, чем устройств под Linux и Windows. В том числе и в плане Vulnerability Management-а. Но как только дело доходит до "готов ли ты лично отказаться от устройств Apple? (хотя бы корпоративных)" ответ один "нет, ты что, я привык, они такие классные и удобные". 🤷‍♂️ Если с безопасниками такая история, то что уж говорить о простых обывателях. Пока не будет каких-то прямых запретительных мер, из корпоративных инфраструктур устройства Apple никуда не денутся. А физики от них не откажутся вообще никогда. Даже если Apple начнет эти устройства брикать, всё равно всеми правдами и неправдами будут стараться продолжить пользоваться. В удивительную зависимость люди попадают.

По итогам выступления на Positive Customer Day

Добавить комментарий

По итогам выступления на Positive Customer Day. Всё прошло вполне удачно. Спасибо большое коллегам из Positive Technologies за приглашение! Кажется это был мой первый доклад на "бумажную" тему. Хоть я, в основном, делал акценты на технические сложности при реализации методик, но всё равно. Оказалось, что у "бумажных" докладов своя специфика. Были вопросы в духе: почему регулятор написал документ так, а не иначе? Почему он что-то учёл, а что-то решил не учитывать? Зачем регулятор вообще выпустил тот или иной документ? Раньше я с таким не сталкивался и даже впал в лёгкий ступор. Можно, конечно, что-то фантазировать на эту тему, но такие вопросы явно не по адресу. 😅

В целом же, по итогам Q&A для себя сформулировал следующее:

1. В методику оценки критичности уязвимостей неплохо было бы добавить учёт использования уязвимости в реальных атаках (аналог CISA KEV) и вероятности появления эксплоита для неё (аналог EPSS)
2. В руководство по построению процесса управления уязвимостями было бы неплохо добавить:
2.1. Требования к актуальности данных об обнаруженных уязвимостях, например максимально допустимую периодичность сканирования. Не должно быть возможности сканировать раз в квартал и делать какие-то выводы на основе этого.
2.2. Требования к полноте покрытия активов. Не должно быть активов (хостов, софтов, сетевых устройств и т.д.), которые не покрываются средствами детектирования уязвимостей. Должен быть какой-то процесс подтверждения, что VM-решение умеет детектировать уязвимости для всех активов в организации. Если есть какой-то актив, для которого автоматическое детектирование уязвимостей не производится, нужно с этим что-то делать. Как минимум подсветить.
2.3. Требования к оценке качества детектирования уязвимостей. Ситуация, когда несколько средств детектирования анализируют один и тот же актив и выдают совершенно разные наборы уязвимостей ненормальная. Если так происходит, значит в каких-то решениях реализована неправильная логика и такие решения нельзя использовать в процессе управления уязвимостями ("мусор на входе - мусор на выходе"). Следует ли из этого, что должен быть процесс сертификации средств детектирования уязвимостей, такой как для PCI ASV или SCAP сканеров? Возможно.

Ещё в выступлении я, среди прочего, позволил себе предположить, что подход Positive Technologies к VM-у (который я лично всячески поддерживаю), предполагающий процесс регулярного безусловного патчинга инфраструктуры не особенно сочетается с руководством ФСТЭК по построению процесса управления уязвимостями, т.к. это руководство требует тестирования обновлений для open-source и нероссийского софта по методике ФСТЭК перед установкой. Т.е. процесс регулярного безусловного патчинга может и быть, но кажется момент с тестированием обновлений должен быть определен: тестируем/не тестируем, если тестируем, то чьими силами и в каком объёме.

На Positive Hack Days я в этом году не выступал (не считая пары слов на награждении), зато буду выступать на Positive Customer Day в четверг 22 июня

2 комментария

На Positive Hack Days я в этом году не выступал (не считая пары слов на награждении), зато буду выступать на Positive Customer Day в четверг 22 июня. Доделал слайды для доклада "Управление Уязвимостями и методики ФСТЭК: оценка критичности, анализ обновлений, процесс". 😇 Доклад будет по мотивам постов про нормативку. Также подсвечу CVSS 4.0 и ОСОКу. В части руководства по VM-процессу кратко рассмотрю 3 вопроса, которые меня больше всего волнуют:

1. Окончательность решения по статусу уязвимости и способу исправления. Здесь есть важные изменения между проектом руководства и релизом. 😉
2. Качество детекта и полнота покрытия активов.
3. Безусловный процесс регулярного патчинга.