Архив метки: vulnerability

Сидим в кафе за столиком с прикольным видом на рыбок

Добавить комментарий

Сидим в кафе за столиком с прикольным видом на рыбок
Сидим в кафе за столиком с прикольным видом на рыбокСидим в кафе за столиком с прикольным видом на рыбокСидим в кафе за столиком с прикольным видом на рыбок

Сидим в кафе за столиком с прикольным видом на рыбок. Смотрю на них и думаю: вот и в Vulnerability Management-е также. Масса мелких уязвимостей-рыбёшек. Ты с ними возишься, исправляешь по мере сил. А потом в произвольный момент флегматично из-за поворота выплывает супер-мега-критикал акула. 😱 Только в VM-е прикольнее, т.к. маленькая рыбка мгновенно в акулу не превратится, а с уязвимостями такое сплошь и рядом случается. 😏

Есть бородатый анекдот, когда студентам разных специальностей показывают кирпич и спрашивают о чём каждый из них в этот момент думает. Архитектор о том, какой дом можно построить из таких кирпичей, математик о свойствах параллелепипеда и т.д. А курсант военного ВУЗа думает о женщинах. Почему? А он всегда о них думает. 🤷‍♂️😉

На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого

1 комментарий

На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого

На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого. Нашлось там место и для предложенной мной альтернативы CVSS под названием ОСОКА ("Общая Система Оценки Критичности Автоматизируемая"), а также там упоминается моя утилита для приоритизации уязвимостей Vulristics. Видимо действительно пора доводить ОСОКу от разрозненных заметок до спецификации, делать калькулятор и интегрировать её в Vulristics. 🤔

Рассматриваемые в статье методы разбиты на 3 группы:

🔹Зарубежные: CVSS, EPSS, CISA SSVC, CISA KEV, CVEShield (CVE Crowd, CVETrends), CMU SSVC, CVE Prioritizer, Vulners AI Score, Zoom VISS, SSPP

🔹 Российские: методика ФСТЭК, алгоритм НКЦКИ, трендовые уязвимости Positive Technologies, ОСОКА

🔹Проприетарные / закрытые: Coalition ESS, Tenable VPR, Qualys TruRisk, MVSF, PRIOn. Здесь же упоминаются внедряемые технологии приоритизации (VPT): Vulnera VSCORE, Outpost24 VPT, Vulcan, Ridge RidgeBot

Тоже сделал мемчик с крутым Юсуфом Дикечем

Добавить комментарий

Тоже сделал мемчик с крутым Юсуфом Дикечем

Тоже сделал мемчик с крутым Юсуфом Дикечем. 😅

🔹 Каждая существующая в инфраструктуре уязвимость должна быть продетектирована.
🔹 Для каждой продетектированной уязвимости должна быть заведена задача на исправление.

Это суровая база. А когда вам говорят, что этого можно не делать, потому что есть какой-то супер-современный инструмент оценки уязвимостей, к этому стоит относиться со скепсисом. 😉

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у

Добавить комментарий

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у

По поводу прошедшего вчера мероприятия Qualys по Patch Management-у. В первую очередь хочу поблагодарить Дмитрия и Никиту за компанию, текстовая трансляция с обсуждением удалась. 🙂👍

Понравилось:

✅ Крутой доклад Eran Livne про Patch Management в Qualys. 👍 Особенно про создание связанных задач на патчинг (сначала на тестовом скоупе, а через неделю на полном скоупе) и про возможность изолировать хосты в качестве митигейшена (остаётся доступ только из облака Qualys). Про новый TruRisk Eliminate было тоже интересно.
✅ Adam Gray красиво обосновал необходимость обязательного патчинга (т.к. prevention толком не работает 🤷‍♂️).

Не понравилось:

❌ Большую часть времени докладчики говорили не про Patch Management, а про другие ИБ темы. Хотелось бы большего фокуса.
❌ Тезисы типа "вам не нужно патчить все уязвимости" не могу принять. 🤷‍♂️ Моя позиция: нужно патчить всё. А workaround-ы это хорошо, но это временные костыли ДО полноценной установки патча.

Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249)

1 комментарий

Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249)

Про уязвимость Remote Code Execution - Acronis Cyber Infrastructure (CVE-2023-45249). Благодаря используемым паролям по умолчанию, удалённый неаутентифицированный злоумышленник может получить доступ к серверу Acronis Cyber Infrastructure (ACI) и выполнить на нём произвольный код.

ACI - это гиперконвергентная платформа для хранения, бэкапирования, вычислений, виртуализации и сетевых функций.

🔻 Патчи, исправляющие эту уязвимость, вышли 30 октября 2023 (❗️) года.
🔻 Через 9-10 месяцев, 24 июля этого года, Acronis отметили в бюллетене, что для уязвимости появились признаки эксплуатации вживую. Пишут, что целью эксплуатации была установка криптомайнера. 29 июля уязвимость добавили в CISA KEV.

Ряд источников сообщает о 20 000 сервис-провайдеров, использующих ACI. Я не нашёл подтверждений этому. Возможно тут путаница с Acronis Cyber Protect. Однако, крупных компаний, использующих ACI, наверняка, довольно много. Если вы работаете в такой компании, обязательно обратите внимание.

Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510)

1 комментарий

Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510)

Про уязвимость Remote Code Execution - Artifex Ghostscript (CVE-2024-29510). Memory corruption позволяет обойти песочницу SAFER и выполнить произвольный код.

Ghostscript - это интерпретатор языка PostScript и PDF документов. Используется в ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS и д.р. Доступен для множества операционных систем.

🔻 Версия Ghostscript 10.03.1, исправляющая уязвимость, вышла 2 мая.
🔻 Через 2 месяца, 2 июля, эксперты Codean Labs опубликовали подробный разбор этой уязвимости и PoC. В видео демонстрации они запускают калькулятор, открывая специальный ps-файл утилитой ghostscript или специальный odt-файл в LibreOffice.
🔻 10 июля на GitHub появился функциональный эксплоит. А 19 июля, появился и модуль в Metasploit.

👾 СМИ пишут, что уязвимость эксплуатируется вживую. Правда все они ссылаются на единственный пост в микроблоге от какого-то разраба из Портленда. 🤷‍♂️ Думаю скоро появятся и более надёжные доказательства эксплуатации в атаках.

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а

2 комментария

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а

Qualys представляют TruRisk Eliminate для дополненного Patch Management-а. Не стали Qualys нагнетать интригу вплоть до мероприятия и опубликовали блог-пост с анонсом. Дело оказалось не в иммутабельной инфре, и не в виртуальном патчинге. Если одним словом - это workaround-ы.

На скриншоте TruRisk Eliminate видим отфильтрованный список уязвимостей на активах, критичность уязвимостей в виде QDS, колонки Remediations и Mitigations.

🔹 Remediations - это установка патча или установка патча с переконфигурированием.

🔹 Mitigations - это workaround-ы, нейтрализующие уязвимость без патчинга: изменение ключа реестра, изменение конфига, удаление приложения, блокировка порта, изоляция устройства и т.д.

И есть кнопка для выполнения действия на активе с помощью агента с выбором Remediations/Mitigations опции.

Логичное развитие. Раз дали возможность патчить, чего бы не дать возможность применять workaround-ы. Но сложностей с этим у Qualys будет - атас. 🫣