Архив метки: vulnerability

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра

1 комментарий

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра. Вебинар проходил в рамках курса Inseca по VM, который я сейчас активно прохожу (3 недели уже прошло, осталось ещё 3). 🙂 Выписал тезисы по вебинару.

Цель в том, чтобы прийти к идеальному состоянию периметра:

🔹 Периодичность проверки каждого хоста на внешнем периметре составляет 24 часов.
🔹 На периметре отсутствуют уязвимости критичностью выше X.
🔹 Назначение каждого порта на внешнем периметре известно ИБ, понятно с какими активами во внутрянке он связан и кто за них отвечает.

Чтобы этого достичь нужны ресурсы, а значит нужно начать с продажи идеи ИБ руководству компании. Как это сделать?

🔻 Нужны союзники со стороны сетевиков и админов. Хорошо помогает сбор рабочей группы с ними.
🔻 Контроль периметра со стороны ИБ должен быть регулярным процессом организации с планерками, реагированием на аномалии и т.д.
🔻 Нужно научиться говорить на бизнес-языке. Идеально продемонстрировать возможность совершения недопустимого события. Но даже XSS-ки с потенциальным имиджевым риском может быть достаточно.

На что обратить внимание:

🔸 ИБ должно участвовать в управлении DNS и публикации сервисов.
🔸 Должен быть реестр сетевых портов. Отдельно выделяем сервисы, которых не должно быть на периметре в принципе (telnet, ssh, rpc, sql и т.д.), и сервисы, которые не были нормально продетектированы - нужно дорабатывать детекты.
🔸 Брутилки, как правило, заточены под конкретные протоколы - разбирайтесь с утилитами (или берите коммерческие сервисы-комбайны). В Метаскане, например, 28 инструментов.
🔸 Вендор настолько хорош, насколько хорош его RnD. Пусть покажет, что умеет писать детект. Готовые движки не пойдут: "в Nessus никогда не будет Битрикса". И что вы будете с этим делать?
🔸 Ошибочная выкладка файлов на периметре (папка с логами, дампами, скрипт с захардкоженными паролями и т.п.), чем вы это будете ловить? Это не CVE.
🔸 Случайно опубликованную админку сканер не найдет, нужны специальные инструменты.
🔸 Сканеры web-приложений должны поддерживать web2.0. В современных приложениях client-side rendering. Должен использоваться виртуальный браузер.

Преимущества сканов с аутентификацией из блог-поста Tenable

Добавить комментарий

Преимущества сканов с аутентификацией из блог-поста Tenable

Преимущества сканов с аутентификацией из блог-поста Tenable. Подборка неплохая и касается любых VM-решений.

1. Гораздо более подробное профилирование активов. "Вы купите дом, который видели только снаружи? Конечно нет! Вам нужно будет увидеть интерьер и проверить все комнаты. Сканирование без аутентификации обеспечивает только вид «снаружи дома»."

2. Возможность проводить анализ безопасности конфигураций в соответствии с лучшими практиками и требованиями регуляторов.

3. Более достоверная информация об уязвимостях. Уязвимости браузеров, мессенджеров, программных библиотек и компонентов вы не найдете без аутентификации.

4. Вендоры ПО стали выставлять меньше информации наружу - сложнее делать баннерные детекты. RCE Barracuda ESG (CVE-2023-2868) затрагивала только физические устройства. А понять физическое это устройство или виртуальное можно было только после аутентификации. 🤷‍♂️

5. PCI DSS v.4 будет требовать проводить сканирования с аутентификацией.

Забавная интерпретация статистики от Tenable

1 комментарий

Забавная интерпретация статистики от Tenable

Забавная интерпретация статистики от Tenable. У них вышел блог-пост "Увеличьте эффективность сканирования на наличие уязвимостей с помощью сканов с аутентификацией". По теме вопросов нет - сканирование с аутентификацией это важно и нужно. Но КАК они к этому подводят. 🙂

В первом абзаце пишут "значительное количество пользователей Tenable Nessus склонны к сканированию без аутентификации".

Ого! И как об этом узнали? 🧐

"Конфигурации сканирования, которые мы наблюдаем в SaaS-продуктах Tenable, говорят сами за себя: наши клиенты запускают неаутентифицированные сканирования в 20 раз чаще, чем аутентифицированные. Почему такой существенный разрыв?"

И дальше пишут о том, что дело в недостаточной осведомленности клиентов. 🤤

А может настоящие причины разрыва в том, что SaaS продукт Tenable (TenableVM / ex-TenableIO) в основном используют как периметровый сервис, а для сканов внутрянки с аутентификацией берут что-то более подходящее, тот же заброшенный on-prem Tenable SC? 😏

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

3 комментария

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345)

Снова эксплуатируемая вживую уязвимость Chrome и снова в распространенной библиотеке (Skia, CVE-2023-6345). Skia — это библиотека 2D-графики с открытым исходным кодом, которая предоставляет общие API-интерфейсы, работающие на различных аппаратных и программных платформах. Согласно документации, служит графическим движком для Google Chrome и ChromeOS, Android, Flutter, Mozilla Firefox и Firefox OS (лол, давно видимо доку не правили 😏), а также многих других продуктов.

"Целочисленное переполнение в Skia в Google Chrome до версии 119.0.6045.199 позволяло удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы с помощью вредоносного файла".

Похоже затронет множество продуктов, полный перечень которых мы толком и не узнаем. 🤷‍♂️ Можно поставить в один ряд с уязвимостями libwep и libvpx.

НПО "Эшелон" зарелизили Сканер-ВС 6

Добавить комментарий

НПО Эшелон зарелизили Сканер-ВС 6

НПО "Эшелон" зарелизили Сканер-ВС 6. Это первая версия Сканер-ВС, которая не использует в качестве движка OpenVAS/GVM. К слову о том, стоит ли вам использовать OpenVAS/GVM для сканирования инфраструктуры, если даже эшелоновцы, у которых опыт использования и модификации этого опенсурсного решения был очень большой, в итоге от него отказались и сделали свой движок.

На что можно обратить внимание в пресс-релизе:

🔹 Сканер-ВС используют 5000 организаций в России. Это, видимо, по 5-ой версии.
🔹 Заявлена функциональность по управлению активами, в том числе с назначением уровня критичности узлам и инвентаризацией ПО.
🔹 База уязвимостей на основе NVD, БДУ и вендорских бюллетеней ("Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др."). Детект идёт хитрым быстрым поиском по этой базе "без скриптов". Где-то это наверняка cpe-детекты, где-то поиск по версиям пакетов. Это самая интересная часть и, естественно, самая закрытая.
🔹 Подчёркивают, что у них есть разнообразные брутилки.
🔹 Есть комплаенс-режим для Windows и Linux.
🔹 Работают под Astra Linux 1.7. Доступно в виде Docker Compose или ISO Live USB образа.
🔹 Стандартные фичи: API, запуск по расписанию, ежедневное обновление базы, лицензия по контролируемым активам (без привязки к конкретным хостам), триалка на 2 месяца и 16 IP.

Есть демо видео на ~8 минут. Там делают следующее:

🔻 сканят сетку
🔻 создают теги и назначают их хостам
🔻 сканируют хосты "черным ящиком" с построением карты сети
🔻 по результатам сканирования "чёрным ящиком" ищут уязвимости в NVD (по cpe - на вкладке показывают результаты cpe-match) c подсветкой уязвимых активов на карте сети
🔻 заводят SSH пользователя для актива с аутентификацией по паролю (у пользака есть опции аутентификации по ntlm, kerberos и ключам)
🔻 cканируют хост Ubuntu с аутентификацией (учётка берётся из актива)
🔻 брутят ssh пароль пользователя для актива
🔻 проводят комплаенс-скан ("Аудит") актива, для Ubuntu выполняется 10 проверок (опции монтирования файловых систем, auditd, sudo, требования к паролям, блокировка пользователя при неудачных попытках входа)
🔻 выпускают отчёт (html, pdf)

В целом, прикольный сканер вроде получился. Понятное дело, что со своими ограничениями. Перед закупкой следует его тщательно тестировать, в особенности обращать внимание на качество детектирования уязвимостей и принципиальные возможности детектирования (про сканирование сетевых устройств с аутентификацией, например, ничего не пишут). Но видно, что продукт получился самобытный и интересный. 👍

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

1 комментарий

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103)

Интересная уязвимость раскрытия данных в ownCloud (CVE-2023-49103). А точнее в плагине-приложении graphapi, благодаря которому становится доступен URL:

"owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php"

При доступе к этому URL-адресу раскрываются детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера. В контейнерных развертываниях эти переменные среды могут включать конфиденциальные данные, такие как пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. 🤷‍♂️

Есть немудрёный PoC. 🙂 Если у вас ownCloud - проверяйтесь, обновляйтесь, меняйте креды.

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Добавить комментарий

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X