Архив метки: vulnerability

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Добавить комментарий

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990). 19 ноября Qualys выпустили бюллетень безопасности про 5 уязвимостей повышения привилегий в утилите needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003), используемой по умолчанию в Ubuntu Server, начиная с версии 21.04.

Утилита needrestart запускается автоматически после операций пакетного менеджера APT, таких как установка, обновление или удаление пакетов. Она определяет требуется ли перезагрузка для системы или ее служб. Таким образом гарантируется, что службы используют последние версии библиотек, без снижения аптайма.

Все 5 уязвимостей позволяют обычному пользователю стать root-ом. Для всех у Qualys есть приватные эксплоиты. Публичный эксплоит есть пока только для одной, связанной с переменной окружения PYTHONPATH. ⚡️ Он доступен на Github с 20 ноября.

Обновляйте needrestart до версии 3.8 или отключайте "interpreter scanning" в needrestart.conf.

5 моментов про отечественные Linux-дистрибутивы

Добавить комментарий

5 моментов про отечественные Linux-дистрибутивы

5 моментов про отечественные Linux-дистрибутивы. Каждый раз, когда появляется новость про российский Linux-дистрибутив в комментарии приходят хейтеры с криками "Bolgenos!". Типа это ненастоящий дистрибутив. Вот есть какие-то настоящие, а этот нет. Имею сказать следующее:

1. Даже тот самый мемный BolgenOS Дениса Попова по прошествии лет выглядит как вещь, которая вполне имела право на существование в качестве учебного проекта несколько странноватого, но вполне безобидного 16летнего парня. 🤷‍♂️ Ну сделал он сборку Ubuntu с нескучными обоями и переименованными приложениями (где-то вроде даже копирайты затер 😱). Ну сняли про него дурацкий репортаж на региональном ТВ. Это был повод для травли, вот серьёзно?

2. Если какие-то люди собрали очередной Linux-дистрибутив, допустим, на основе Debian, используют его сами и собираются его кому-то продавать, то они в своём праве. Даже если они (о ужас!) не собирают сами пакеты, а продают ванильный Debian с налепленным своим логотипом. Вот даже тогда. Насколько мне известно, ничто сейчас не запрещает это делать. Ни российское законодательство, ни требования регуляторов, ни даже опенсурсные лицензии.

3. Если с этим Linux-дистрибутивом можно комфортно и относительно безопасно (в смысле оперативного исправления уязвимостей, отсутствия явных закладок, обновления с российских серверов) работать, то в общем-то и норм. Если вдруг почему-то нельзя, то это хорошая тема для предметного обсуждения. Ну ещё неплохо бы бюллетени безопасности в формате OVAL, чтобы уязвимости было удобно детектировать. 😇

4. Если маркетинг компании, которая выпустила Linux-дистрибутив, позволяет себе в официальной коммуникации писать, что это какая-то уникальная отечественная ОС, разработанная с нуля, то это, имхо, скверно и достойно порицания. Но на сам дистрибутив это никак не влияет.

5. Я не верю в какие-то прям "хорошие Linux-дистрибутивы". Это ВСЕГДА переупакованный ЧУЖОЙ код от апстримов. В этом отношении прилетела ли ко мне программная закладка непосредственно от разработчика (например, XZ Utils или самого Торвальдса) или от Debian-ов мне, как потребителю, как-то пофигу. В возможности всерьёз контролировать апстрим я не верю. Если вы так здорово закладки можете выявлять, почему вы тогда Linux-овые уязвимости не выявляете? Сотни Linux-овых уязвимостей исправляются каждый месяц, что же вы их не выявляете сами раньше разработчиков? 😏 Использование Linux и опенсурсного софта это всегда некоторый компромисс функциональных возможностей и безопасности. Лучше бы, конечно, своё ядро. Лучше бы, конечно, чтобы и системные компоненты свои. И прикладной софт свой. А раз этого всего нет и не ожидается, то и чего щёки надувать, что вы принципиально лучше тех самых "болгеносов"? 😏

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее"

Добавить комментарий

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее". Снимали на PHDays в этот раз по-богатому. На несколько камер. Даже летающая камера на кране была. А профессиональная команда в реальном времени сводила это всё в очень красивую картинку. Казалось бы, всё круто. Но при этом переключений на слайды почему-то не было вообще. 🤷‍♂️ Ни разу. Только съёмки экрана за моей спиной на общих планах. 🤦‍♂️ Формат съёмки был явно не для технических докладов.

Я выкачал видяшку, чуть подрезал, добавил слайды поверху и стало гораздо смотрибельнее. ✂️👨‍🎨

🎞 Выложил на VK Видео, Rutube и YouTube.

Удивительно, но с мая месяца доклад не сильно устарел. Кризис NVD не спешит заканчиваться, а команда NIST-а продолжает выкладывать странные послания и демонстрировать свою беспомощность. 🧐

Содержание:

00:00 Приветствие и кто я вообще такой
00:35 О чём будем говорить?
01:02 Как связаны базы NIST NVD и MITRE CVE, почему они растут с ускорением и при этом неполны?
06:44 Как ретроспективно развивался кризис NVD 2024 года?
08:12 В чём важность контента в NVD?
10:42 Чем объясняли кризис NVD в NIST?
12:38 Как реагировало сообщество безопасников на кризис в NVD и чем отвечали на это в NIST?
16:10 Какие меры предлагались сообществом и CISA для уменьшения зависимости от NVD?
18:00 NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
19:11 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты; также про использование Vulristics для анализа уязвимостей БДУ
27:32 Выводы
31:11 Вопрос про статусы CVE уязвимостей DISPUTED и REJECTED
32:14 Вопрос про VM продукт для частного использования
34:16 Вопрос про достоверность оценки угроз от ФСТЭК
35:48 Вопрос про проверку причин отсутствия ссылок на CVE в БДУ

Про SberOS

Добавить комментарий

Про SberOS

Про SberOS. 27 ноября в реестр отечественного ПО Минцифры добавили два Debain-based Linux дистрибутива от Сбера. InterOS - специализированный дистриб для банкоматов. SberOS - десктопный дистрибутив, который используется в Сбере для замены Windows.

Судя по описанию, SberOS - дистрибутив на основе Debian Testing с архитектурой обновлений rolling-update. Там должны быть последние версии софта, а значит самые быстрые фиксы уязвимостей. 😇 Ядро будет из стабильной ветки. Дефолтный рабочий стол GNOME.

Это почти то, что я ждал:

🔹 Linux дистрибутив с понятным и относительно нейтральным аппстримом от крупной отечественный окологосударственной IT-компании, у которой есть ресурсы хоть как-то апстрим контролировать.

🔹 Компания не является специализированным Linux вендором, поэтому выживать на деньги от продажи лицензий, экономя на качестве, им не потребуется.

Подробностей по стоимости для персонального и коммерческого использования пока нет, ждём-следим.

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667)

Добавить комментарий

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667)

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667). Уязвимость обхода директорий в веб-интерфейсе управления файерволов Zyxel позволяет неаутентифицированному злоумышленнику загружать или выгружать файлы через специальный URL-адрес. Уязвимости подвержены версии прошивки Zyxel ZLD от 5.00 до 5.38, используемые в сериях устройств ATP, USG FLEX, USG FLEX 50(W) и USG20(W)-VPN.

👾 Специалисты из компании Sekoia обнаружили на своих ханипотах эксплуатацию этой уязвимости рансомварщиками из группы Helldown. Публичных эксплоитов пока нет.

Zyxel рекомендуют:

🔹Обновить прошивку до версии 5.39, которая вышла 3 сентября 2024
🔹Отключить удалённый доступ до обновления устройств
🔹Изучить лучшие практики по конфигурированию устройств

Если в вашей компании используются файерволы Zyxel, обратите внимание. 😉

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Добавить комментарий

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024

Добавить комментарий

В следующий четверг, 5 декабря, буду модерировать секцию Анализ защищённости и расследование инцидентов на КОД ИБ ИТОГИ 2024

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024. По формату: 5 докладов по 15 минут + дискуссия. Поговорим об изменения ландшафта уязвимостей и методов, используемых злоумышленниками для проведения кибератак, а также о развитии технологий расследования, противодействия и профилактики инцидентов ИБ.

Вопросы на обсуждение:

🔹 Каким был год с точки зрения описания, детектирования, приоритизации и устранения уязвимостей?
🔹 Какие уязвимости стали трендовыми в 2024 году?
🔹 Какие типы атак были самыми популярными в 2024 году?
🔹 Как изменились цели и методы хакеров по сравнению с предыдущими годами?
🔹 Какие уязвимости оказались наиболее востребованными у злоумышленников?
🔹 Примеры реальных инцидентов
🔹 Как изменились методы расследования инцидентов?
🔹 Прогнозы на 2025 год

Регистрация на мероприятие с 9:30. Начало нашей секции в 12:00, приходите. 🙂