Архив метки: vulnerability

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday

Добавить комментарий

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday. Теперь я отслеживаю когда были исправлены те или иные CVE-шки в пакетах ALT Linux и учитываю это при формировании ежемесячных бюллетеней. Чем больше источников данных по исправляемым уязвимостям в Linux дистрибутивах, тем адекватнее становятся бюллетени. 👍 Особенно если эти Linux дистрибутивы независимые, а не деривативы. 😇

Итого, сейчас в генераторе LPW используется 7 источников в формате OVAL:

🔹 Debian
🔹 Ubuntu
🔹 Oracle Linux
🔹 RedOS
🔹 AlmaLinux
🔹 Red Hat
🔹 ALT Linux

И ещё один источник в формате листов рассылки Debian.

С обзором июньского Linux Patch Wednesday я припозднился (в связи с этими доработками и отпуском), но планирую в скором времени его выпустить (upd. выпустил). Тем более что уязвимостей там не так уж много - 598. 🙂

Главные преимущества MaxPatrol VM на российском рынке

Добавить комментарий

Главные преимущества MaxPatrol VM на российском рынке

Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂

🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.

🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.

🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы?

Добавить комментарий

Сканер уязвимостей с поиском по версиям в базе может найти все уязвимости из этой базы?

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.

Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂

🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.

🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии = 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉 Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".

Публичная база уязвимостей Эшелон Сканер-ВС

Добавить комментарий

Публичная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВС

Публичная база уязвимостей Эшелон Сканер-ВС. На днях коллеги из Эшелон запустили портал, отображающий уязвимости из базы знаний Сканер-ВС 7. 🔥

На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷‍♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.

Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.

Также есть ссылки на эксплоиты (не из NVD!) 🔥

В общем, круто получилось! Молодцы, Эшелон! 👍

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений

Добавить комментарий

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений. Размышления о существовании недекларируемых возможностей (НДВ) всегда отдают некоторой паранойей. 🤔

🔹 По-хорошему, НДВ нужно наглядно предъявлять. А делать это технически сложно. И у западного вендора всегда остаётся правдоподобное объяснение: "Это уязвимость, сейчас исправим". 😏

🔹 А если их не предъявлять, остаются лишь голословные обвинения в адрес "респектабельных" западных компаний, которые делают продукты дешевле, эффективнее и удобнее отечественных аналогов. 🥸 А главное - "ПРИВЫЧНЕЕ".

В таких условиях вопрос НДВ сводится во многом к личной убеждённости (и "экспертным оценкам"). 🤷‍♂️

Я абсолютно убеждён, что зловредная функциональность в западных продуктах есть, и в час X она обязательно будет активирована. И чем больше западных продуктов мы успеем выкорчевать и заменить отечественными или хотя бы продуктами из дружественных стран, тем менее катастрофичными будут последствия.

Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Добавить комментарий

Июньский В тренде VM: уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip. Традиционная ежемесячная подборка. 🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 7 трендовых уязвимости:

🔻 Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)
🔻 Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)
🔻 Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)
🔻 Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)
🔻 Remote Code Execution - 7-Zip (BDU:2025-01793)

Требования к мероприятиям по Управлению Уязвимостями согласно новому приказу ФСТЭК №117

Добавить комментарий

Требования к мероприятиям по Управлению Уязвимостями согласно новому приказу ФСТЭК №117

Требования к мероприятиям по Управлению Уязвимостями согласно новому приказу ФСТЭК №117. Приказ устанавливает требования о защите информации, содержащейся в ГИС, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений. Приказ опубликован 17.06.2025, вступает в силу с 01.03.2026. Он заменяет приказ ФСТЭК №17.

Требования к Управлению Уязвимостями раскрыты в пункте 38. Они устанавливают:

🔹 Общую структуру процесса: выявление, оценка, приоритизация, контроль устранения.

🔹 Сроки устранения уязвимостей критического и высокого уровня или исключение возможности их эксплуатации компенсирующими мерами. 24 часа и 7 дней соответственно. Для остальных уязвимостей сроки определяются внутренним регламентом.

🔹 Необходимость сообщать о выявлении уязвимостей, отсутствующих в БДУ ФСТЭК, в течение 5 рабочих дней.

Как видим, требования более чем облегчённые. Особенно если сравнивать с ранними драфтами. 😉