Архив метки: vulnerability

5 моментов про отечественные Linux-дистрибутивы

Добавить комментарий

5 моментов про отечественные Linux-дистрибутивы

5 моментов про отечественные Linux-дистрибутивы. Каждый раз, когда появляется новость про российский Linux-дистрибутив в комментарии приходят хейтеры с криками "Bolgenos!". Типа это ненастоящий дистрибутив. Вот есть какие-то настоящие, а этот нет. Имею сказать следующее:

1. Даже тот самый мемный BolgenOS Дениса Попова по прошествии лет выглядит как вещь, которая вполне имела право на существование в качестве учебного проекта несколько странноватого, но вполне безобидного 16летнего парня. 🤷‍♂️ Ну сделал он сборку Ubuntu с нескучными обоями и переименованными приложениями (где-то вроде даже копирайты затер 😱). Ну сняли про него дурацкий репортаж на региональном ТВ. Это был повод для травли, вот серьёзно?

2. Если какие-то люди собрали очередной Linux-дистрибутив, допустим, на основе Debian, используют его сами и собираются его кому-то продавать, то они в своём праве. Даже если они (о ужас!) не собирают сами пакеты, а продают ванильный Debian с налепленным своим логотипом. Вот даже тогда. Насколько мне известно, ничто сейчас не запрещает это делать. Ни российское законодательство, ни требования регуляторов, ни даже опенсурсные лицензии.

3. Если с этим Linux-дистрибутивом можно комфортно и относительно безопасно (в смысле оперативного исправления уязвимостей, отсутствия явных закладок, обновления с российских серверов) работать, то в общем-то и норм. Если вдруг почему-то нельзя, то это хорошая тема для предметного обсуждения. Ну ещё неплохо бы бюллетени безопасности в формате OVAL, чтобы уязвимости было удобно детектировать. 😇

4. Если маркетинг компании, которая выпустила Linux-дистрибутив, позволяет себе в официальной коммуникации писать, что это какая-то уникальная отечественная ОС, разработанная с нуля, то это, имхо, скверно и достойно порицания. Но на сам дистрибутив это никак не влияет.

5. Я не верю в какие-то прям "хорошие Linux-дистрибутивы". Это ВСЕГДА переупакованный ЧУЖОЙ код от апстримов. В этом отношении прилетела ли ко мне программная закладка непосредственно от разработчика (например, XZ Utils или самого Торвальдса) или от Debian-ов мне, как потребителю, как-то пофигу. В возможности всерьёз контролировать апстрим я не верю. Если вы так здорово закладки можете выявлять, почему вы тогда Linux-овые уязвимости не выявляете? Сотни Linux-овых уязвимостей исправляются каждый месяц, что же вы их не выявляете сами раньше разработчиков? 😏 Использование Linux и опенсурсного софта это всегда некоторый компромисс функциональных возможностей и безопасности. Лучше бы, конечно, своё ядро. Лучше бы, конечно, чтобы и системные компоненты свои. И прикладной софт свой. А раз этого всего нет и не ожидается, то и чего щёки надувать, что вы принципиально лучше тех самых "болгеносов"? 😏

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее"

Добавить комментарий

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее". Снимали на PHDays в этот раз по-богатому. На несколько камер. Даже летающая камера на кране была. А профессиональная команда в реальном времени сводила это всё в очень красивую картинку. Казалось бы, всё круто. Но при этом переключений на слайды почему-то не было вообще. 🤷‍♂️ Ни разу. Только съёмки экрана за моей спиной на общих планах. 🤦‍♂️ Формат съёмки был явно не для технических докладов.

Я выкачал видяшку, чуть подрезал, добавил слайды поверху и стало гораздо смотрибельнее. ✂️👨‍🎨

🎞 Выложил на VK Видео, Rutube и YouTube.

Удивительно, но с мая месяца доклад не сильно устарел. Кризис NVD не спешит заканчиваться, а команда NIST-а продолжает выкладывать странные послания и демонстрировать свою беспомощность. 🧐

Содержание:

00:00 Приветствие и кто я вообще такой
00:35 О чём будем говорить?
01:02 Как связаны базы NIST NVD и MITRE CVE, почему они растут с ускорением и при этом неполны?
06:44 Как ретроспективно развивался кризис NVD 2024 года?
08:12 В чём важность контента в NVD?
10:42 Чем объясняли кризис NVD в NIST?
12:38 Как реагировало сообщество безопасников на кризис в NVD и чем отвечали на это в NIST?
16:10 Какие меры предлагались сообществом и CISA для уменьшения зависимости от NVD?
18:00 NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
19:11 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты; также про использование Vulristics для анализа уязвимостей БДУ
27:32 Выводы
31:11 Вопрос про статусы CVE уязвимостей DISPUTED и REJECTED
32:14 Вопрос про VM продукт для частного использования
34:16 Вопрос про достоверность оценки угроз от ФСТЭК
35:48 Вопрос про проверку причин отсутствия ссылок на CVE в БДУ

Про SberOS

1 комментарий

Про SberOS

Про SberOS. 27 ноября в реестр отечественного ПО Минцифры добавили два Debain-based Linux дистрибутива от Сбера. InterOS - специализированный дистриб для банкоматов. SberOS - десктопный дистрибутив, который используется в Сбере для замены Windows.

Судя по описанию, SberOS - дистрибутив на основе Debian Testing с архитектурой обновлений rolling-update. Там должны быть последние версии софта, а значит самые быстрые фиксы уязвимостей. 😇 Ядро будет из стабильной ветки. Дефолтный рабочий стол GNOME.

Это почти то, что я ждал:

🔹 Linux дистрибутив с понятным и относительно нейтральным аппстримом от крупной отечественный окологосударственной IT-компании, у которой есть ресурсы хоть как-то апстрим контролировать.

🔹 Компания не является специализированным Linux вендором, поэтому выживать на деньги от продажи лицензий, экономя на качестве, им не потребуется.

Подробностей по стоимости для персонального и коммерческого использования пока нет, ждём-следим.

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667)

Добавить комментарий

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667)

Про уязвимость Path Traversal - Zyxel firewall (CVE-2024-11667). Уязвимость обхода директорий в веб-интерфейсе управления файерволов Zyxel позволяет неаутентифицированному злоумышленнику загружать или выгружать файлы через специальный URL-адрес. Уязвимости подвержены версии прошивки Zyxel ZLD от 5.00 до 5.38, используемые в сериях устройств ATP, USG FLEX, USG FLEX 50(W) и USG20(W)-VPN.

👾 Специалисты из компании Sekoia обнаружили на своих ханипотах эксплуатацию этой уязвимости рансомварщиками из группы Helldown. Публичных эксплоитов пока нет.

Zyxel рекомендуют:

🔹Обновить прошивку до версии 5.39, которая вышла 3 сентября 2024
🔹Отключить удалённый доступ до обновления устройств
🔹Изучить лучшие практики по конфигурированию устройств

Если в вашей компании используются файерволы Zyxel, обратите внимание. 😉

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Добавить комментарий

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024

Добавить комментарий

В следующий четверг, 5 декабря, буду модерировать секцию Анализ защищённости и расследование инцидентов на КОД ИБ ИТОГИ 2024

В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024. По формату: 5 докладов по 15 минут + дискуссия. Поговорим об изменения ландшафта уязвимостей и методов, используемых злоумышленниками для проведения кибератак, а также о развитии технологий расследования, противодействия и профилактики инцидентов ИБ.

Вопросы на обсуждение:

🔹 Каким был год с точки зрения описания, детектирования, приоритизации и устранения уязвимостей?
🔹 Какие уязвимости стали трендовыми в 2024 году?
🔹 Какие типы атак были самыми популярными в 2024 году?
🔹 Как изменились цели и методы хакеров по сравнению с предыдущими годами?
🔹 Какие уязвимости оказались наиболее востребованными у злоумышленников?
🔹 Примеры реальных инцидентов
🔹 Как изменились методы расследования инцидентов?
🔹 Прогнозы на 2025 год

Регистрация на мероприятие с 9:30. Начало нашей секции в 12:00, приходите. 🙂

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Добавить комментарий

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). Неаутентифицированный злоумышленник, имеющий сетевой доступ к веб-интерфейсу управления устройств Palo Alto, может получить привилегии администратора PAN-OS для выполнения административных действий, изменения конфигурации или эксплуатации других уязвимостей, для которых требуется аутентификация. Уязвимы файерволы серий PA, VM, CN и платформа управления Panorama. Вендор рекомендует ограничить доступ к веб-интерфейсу управления только доверенными внутренними IP-адресами.

🔻 8 ноября был опубликован бюллетень Palo Alto
🔻 15 ноября появились признаки атак, которые Palo Alto обозначили как "Operation Lunar Peek"
🔻 18 ноября уязвимость была добавлена в CISA KEV
🔻 19 ноября исследователи watchTowr Labs выпустили пост с техническими деталями ("укажите значение off в заголовке HTTP-запроса X-PAN-AUTHCHECK, и сервер любезно отключит аутентификацию") 😏 и на GitHub практически сразу появились эксплоиты