Архив метки: vulnerability

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию "Риск безопасности как долг"

Добавить комментарий

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию Риск безопасности как долг

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию "Риск безопасности как долг". Основные моменты можно почитать у Security Wine. Как я себе это понимаю, суть в следующем:

🔹 Они якобы отказываются от отслеживания выполнения SLA на устранение уязвимостей. При этом таски на устранение уязвимостей заводят и фиксируют квази-SLA (под названием "Accepted Insecure Time").

🔹 После того как AIT для таска/уязвимости вышел, они "ставят команды на счётчик". 😏 Скорость ежедневного прироста долга зависит от критичности уязвимости.

🔹 Команды, у которых размер общего долга выходит за определённые значения, шеймят и стимулируют. 🥕

🔹 Лицами, принимающими решения за устранение уязвимостей выставляются руководители инженерных и продуктовых отделов, а не безопасники. 🫠 ИБ только счётчик включают. 😈

Не бог весть какая новация, но как вариант построения работы с командами, забивающими на SLA - почему бы и нет. 🙂 БОСПУУ не противоречит.

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management

Добавить комментарий

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management. Периодически ко мне приходят люди в такой ситуации: хотят вкатиться в VM, но практического опыта работы с уязвимостями у них нет, поэтому на работу их не берут. А опыта набраться негде. Замкнутый круг. Обычно я на это говорю - идите на стажировку. Вот недавно отбор на PT Start завершился. Но на стажировках мест тоже ограничено и не факт, что получится заниматься именно VM-ными задачами. И что делать?

Альтернатива - участие в опенсурсных проектах. Здесь я могу немного помочь. Открытых VM-ных проектов у меня довольно много, а времени, чтобы их тянуть не всегда хватает. Я могу выделить задачку, отслеживать её выполнение, смерджить код в основной проект с указанием авторства и описать заслуги в канале и changelog проекта. Будет что приложить к резюме. 😉

Гарантирует ли это трудоустройство? Нет. Ничто не гарантирует. Но плюсом будет.

Если что, пишите в личку. 🙂

Размышляю о развитии Scanvus

Добавить комментарий

Размышляю о развитии Scanvus

Размышляю о развитии Scanvus. Давненько не было обновлений проекта. Так-то понятно, что опекать конкретную инфру мне стало не нужно, поэтому приоритизирующий уязвимости Vulristics мне стал важнее, чем детектирующий их Scanvus. 🤷‍♂️ Однако проблема оценки качества детектирования уязвимостей никуда не делась, поэтому и необходимость в "прозрачном" (и желательно бесплатном 😏) сканере остаётся.

Подход к интерпретации OVAL-контента в рамках Vuldetta показал, что хоть это делать и можно, но местами довольно хлопотно (для уязвимостей ядра, например).

Использовать для детектирования OpenSCAP было бы гораздо проще. В этом случае задачей Scanvus было бы зайти на хост, определить версию дистрибутива, найти инсталляцию OpenSCAP, скачать и загрузить на хост актуальный OVAL-контент, запустить утилиту OpenSCAP, забрать и отобразить отчёт сканирования.

Мне кажется, что такой "агентный" режим работы имеет смысл реализовать.

Greenbone представили сканер уязвимостей Greenbone Basic для SME организаций, стоимость которого НЕ привязана к количеству сканируемых IP-адресов

Добавить комментарий

Greenbone представили сканер уязвимостей Greenbone Basic для SME организаций, стоимость которого НЕ привязана к количеству сканируемых IP-адресов

Greenbone представили сканер уязвимостей Greenbone Basic для SME организаций, стоимость которого НЕ привязана к количеству сканируемых IP-адресов. Лицензия на 1 сканер будет стоить 2450 € в год. Он будет поставляться в виде образа виртуалки. Есть сравнительная таблица и data sheet.

Отличия Greenbone Basic:

🔹 По сравнению с бесплатным Greenbone Free там БУДЕТ полноценная неурезанная база плагинов для детектирования уязвимостей, комплаенс сканирование, планировщик сканов, алерты, LDAP/ Radius аутентификация, управление HTTPS сертификатами, интеграция с NTP.

🔹 По сравнению с Greenbone Enterprise там НЕ БУДЕТ возможности иерархически соединять сканеры (сенсоры), поддержки API, тикетов на исправление уязвимостей, техподдержки от Greenbone и будущих энтерпрайзных фич.

По фичам выглядит как реальная альтернатива Nessus Professional от Tenable. Конкуренция в сегменте VM-решений базового уровня с фиксированной ценой усиливается. 👍

Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday

1 комментарий

Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday

Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday. Всего в августовском MSPT было 3 EoP с признаками эксплуатации вживую. У них идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM. Уязвимость в Windows Kernel эксплуатировать сложнее, т.к. нужно выиграть race condition.

Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Добавить комментарий

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:

🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.

🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.

В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.

❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Добавить комментарий

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 Уязвимость нашёл исследователь John Blackbourn и сдал её по программе багбаунти, получив $14400. То есть где-то 1.3 млн. рублей. Сумма за одну уязвимость, согласитесь, весьма приличная. 👏

🔹 Уязвимость не эксплуатируется на Windows инсталляциях, т.к. там отсутствует функция, которая необходима для генерации хэша. Так пишут во write-up-е. Правда не пишут, а как тогда вообще этот плагин на Windows инсталляциях работает и работает ли вообще. 🤔 Но если плагин работает и уязвимость не эксплуатируется, то получается иногда использовать Windows вместо Linux в качестве хостинга для вебсайтов это не такая уж странная затея. 🙃