Архив метки: vulnerability

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Добавить комментарий

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS. 26 сентября исследователь Simone Margaritelli (evilsocket) раскрыл 4 уязвимости в сервере печати CUPS для Linux систем (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) в компонентах cups-browsed, libcupsfilters, libppd и cups-filters.

Цепочка уязвимостей позволяет удаленному неаутентифицированному злоумышленнику незаметно заменять существующие IPP URL-ы принтеров на вредоносные, посылая специальные пакеты на 631/UDP. Затем при инициировании задания печати происходит RCE. Возможна массовая эксплуатация в локальных сетях через mDNS или DNS-SD.

В бюллетене OpenPrinting/cups-browsed есть PoC эксплоита.

Сколько потенциально уязвимых хостов доступно из Интернет?
🔻 Оценка Qualys и Rapid7 - 75000.
А в Рунете?
🔻 Оценка СайберОК - 5000

Патчей пока нет. 🤷‍♂️ Ждём, режем сетевые доступы и отключаем cups-browsed, где не нужен.

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями

Добавить комментарий

В следующую среду буду участвовать в эфире Безопасной среды Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями. Также в качестве экспертов там будут Евгений Мельников из МегаФона и Игорь Смирнов из Alpha Systems (у меня был вчера пост про их VM-решение).

Вынесенные на обсуждение вопросы повторяют вопросы из моего недавнего интервью CISOCLUB (что, естественно, просто совпадение 😉), так что должно быть много хардкорного и болезненного про управление активами, качество детектирования, приоритизацию уязвимостей, отслеживание тасков на устранение уязвимостей и т.д.

Регистрируйтесь на сайте Код ИБ и до встречи в среду 2 октября в 12:00.

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014). Чтобы не выглядело, что эта уязвимость может эксплуатироваться абсолютно универсально.

🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.

🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.

🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014). Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Её обнаружил Michael Baer из SEC Consult. 12 сентября вышел их блог-пост с деталями эксплуатации.

MSI файлы - стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При том, что сама функция может выполняться в контексте NT AUTHORITY\SYSTEM. 🤔

Злоумышленник запускает MSI файл уже установленного приложения, выбирает режим repair и взаимодействует со всплывающим окном консоли, запущенным от SYSTEM. Через несколько шагов он получает интерактивную консоль с правами SYSTEM.

Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI установщик выполняет действие с повышенными привилегиями, т.е. до появления окна консоли. Это блокирует атаку.

Vulnerability Management от Alpha Systems

Добавить комментарий

Vulnerability Management от Alpha Systems

Vulnerability Management от Alpha Systems. В последнее время довольно часто натыкаюсь на медийную активность этой российской компании по теме Управления Уязвимостями. 👍 Почитал их сайт.

AlphaSense - решение класса Vulnerability Auditor / Vulnerability Management для IT-инфраструктуры. "Представляет из себя конвейер из различных сканеров и утилит безопасности с открытым исходным кодом". Заявляются возможности детектирования активов, определения web-компонентов, обнаружения и обхода WAF, активного сканирования хостов на наличие уязвимостей (также проверки образов Docker и кластеров k8s), эксплуатации уязвимостей. Подчёркиваются расширенные возможности репортинга и нотификаций.

Какие именно утилиты используются непонятно, но в описании функциональных характеристик упоминаются фиды CVE, CCE OpenVAS, OVAL, Vulners. Возможно это указывает на способы детектирования, а возможно нет. 🤷‍♂️

В любом случае вполне себе кандидат на включение в карту VM-решений (сегмент СДУИ). 😉

На Anti-Malware вышла статья "Эффективное управление уязвимостями с Security Vision VM"

Добавить комментарий

На Anti-Malware вышла статья Эффективное управление уязвимостями с Security Vision VM

На Anti-Malware вышла статья "Эффективное управление уязвимостями с Security Vision VM". В статье разбираются фичи обновленного продукта. Имхо, наибольший интерес вызывает собственный сканер уязвимостей. Сканер как продукт (VS) у них на сайте значился довольно давно, но сейчас появилась конкретика.

Сканирование агентное и безагентное.

Заявляется поддержка:

🔹 Дистрибутивов Linux: Astra Linux, Alt Linux, РЕД ОС, Ubuntu, Red Hat, CentOS, AlmaLinux, Oracle Linux, Debian (включая все возможные системы на его основе),
🔹 Настольных и серверных версии Windows,
🔹 Прикладного ПО (включая Microsoft Office с версиями «click-to-run», Exchange, SharePoint)
🔹 Баз данных (Microsoft SQL, PostgreSQL, MySQL, Oracle, Elasticsearch и др.)
🔹 Сетевых устройств (Cisco, Juniper, Check Point, Palo Alto, Sun и др.)
🔹 Docker контейнеров (запущенных и остановленных) и образов, в том числе в среде Kubernetes

Если и правда нарастили собственную экспертизу в таком объеме, это весьма впечатляюще. 👍

Oпрос про OSINT и Vulnerability Analysis

Добавить комментарий

Oпрос про OSINT и Vulnerability Analysis

Oпрос про OSINT и Vulnerability Analysis. Меня попросили разместить ссылку на опрос по OSINT (разведка по открытым источникам), который проводят совместно СберКорус и Angara Security. Я сначала думал отказаться, так как это не особенно по теме канала. А потом посмотрел вопросы и решил, что я, по большому счёту, занимаюсь OSINT-ом каждый день, когда ищу данные по какой-то уязвимости или анализирую новости VM-ных вендоров. 😅 Все мы в какой-то степени OSINT-еры. 😏

Даже почитать варианты ответа на вопрос про используемые методы мониторинга открытых источников на предмет угроз безопасности компании может наводить на всякого рода полезные мысли:

🔹Мониторю веб-ресурсы/специализированные базы (базы утечек, DarkNet, DeepWeb)
🔹 Использую специальные сервисы (Shodan, Maltego, и т.п.)
🔹 Использую ИИ (Сhat GPT и т.п.)
🔹 Анализирую соц сети и блоги

➡️ Опрос