Архив метки: vulnerability

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала "Кибербез образование", вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями

Добавить комментарий

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала Кибербез образование, вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению УязвимостямиУ моего коллеги Дмитрия Фёдорова, автора телеграмм-канала Кибербез образование, вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению УязвимостямиУ моего коллеги Дмитрия Фёдорова, автора телеграмм-канала Кибербез образование, вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала "Кибербез образование", вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями.

Похоже на правду, но хотелось бы расставить акценты.

1. По мне так скиллы IT-администратора для VMщика первичны, т.к. именно с админами ему придётся контактировать больше всего. Важно, чтобы они не водили его за нос.

2. Необходимо разбираться в VM-ной методологии, т.к. ваш замечательный VM процесс, построенный из соображений реальной безопасности, должен как-то биться с требованиями регуляторов. Как минимум чтобы аудиты проходить.

3. Нужны ли Offensive скиллы? Неплохо бы для базового понимания контекста того, с чем мы боремся, и более адекватной приоритизации уязвимостей. Но помогут ли эти знания в ежедневном пропушивании фиксов для уязвимостей, о которых мы знаем только пару строк описания на NVD? Да вряд ли. 🌝 VM это не про докажи-покажи. С Offensive скиллами лучше в RedTeam.

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе

3 комментария

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе. Уже во второй раз, первый был 5 лет назад. На этот раз удалённо. По случаю обновил учебную презентацию. В отличие от материала для Бауманского курса, выделил 4 примерно равные части:

🔹 Анализ Защищённости - уязвимости и детект уязвимостей
🔹 Управление Активами - избавляемся от хаоса в инфраструктуре
🔹 Управление Уязвимостями - построение процесса с фокусом на приоритизацию уязвимостей
🔹 Управление Обновлениями - всё, что касается исправления уязвимостей и взаимоотношений с IT

В основном переработал Управление Активами и Управление Уязвимостями. Кажется, получилось неплохо сопрячь РезБез/PTшный подход, методические указания регуляторов и собственные соображения. Пойдёт и для гостевых лекций, и понятно как это с пользой расширить до 4 отдельных лекций (а то и побольше). Доволен. 🙂

Кстати, Физтех под санкциями ЕС, США, Великобритании, Японии, Швейцарии и Новой Зеландии. Достойное заведение. 🙂👍

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051)

3 комментария

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051)

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051).

🔴 RCE в vCenter Server (CVE-2023-34048). Злоумышленник с сетевым доступом к vCenter Server может потенциально получить RCE из-за out-of-bounds write уязвимости в реализации протокола DCERPC. CVSSv3 Base Score 9,8. Судя по CVSS вектору, сложность атаки низкая, аутентификация не нужна, взаимодействие с пользователем не требуется. Есть патчи (даже для EOL продуктов), workaround-а нет. Публичного POCа и признака эксплуатации вживую пока нет.

🟡 Обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Неаутентифицированный злоумышленник может внедрить файлы в операционную систему уязвимого устройства, что может привести к RCE. Есть публичный PoC. Признаков эксплуатации вживую пока нет. Кажется в России этот продукт для управления логами встречается редко. Если в вашей практике попадался, ставьте посту 🐳.

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2

3 комментария

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2. Как видно из названия, обработка данных там идёт с использованием машинного обучения, а конкретно с использованием библиотеки CatBoost. Анализируются связи между объектами (в Vulners более 3 млн. объектов), значения CVSS Base Score объектов-предков, тип объекта, текстовое описание объекта и прочее. Механизм расчёта довольно хитрый. 🤯 В итоге получается что-то вроде предсказанного CVSS Base Score.

Зачем это нужно, если уже есть CVSS на NVD или EPSS?

1. Зачастую у новых уязвимостей нет ни CVSS, ни EPSS, а приоритизацию уже надо как-то делать. AI Score есть всегда и сразу.
2. Второе мнение. Это как с врачом или юристом. Лучше не полагаться полностью на одно мнение, а сходить проконсультироваться к другому специалисту. Если будут расхождения, будет повод серьезнее покопаться.

А главное AI Score бесплатно доступен всем пользователям Vulners! 😉

Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями"

1 комментарий

Компания Miercom выпустила отчёт Конкурентная Оценка Управления Уязвимостями

Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями". Исследование они делали по заказу Tenable, поэтому особой интриги кто из Tenable, Qualys и Rapid7 победит быть не могло. 😏 В отличие от подобных маркетинговых сравнений, Miercom решили не делать опрос клиентов и не сравнивать по высокоуровневым фичам. Они сравнивали по базовой функциональности, а именно по полноте базы детектов:

1. Покрытие CVE-шек из NVD с 1999 по 2022. FYI, даже лидер покрывает только 71к из 192к на конец 2022. 😉
2. Покрытие CVE-шек для 24 топовых IT-вендоров (видимо по CPE).
3. Покрытие эксплуатируемых вживую CVE-шек из CISA KEV. Также сравнили по среднему времени добавления детекта, но абсолютные величины не написали, только разницу на сколько Tenable быстрее. 😏🤷‍♂️
3. Покрытие по CIS-бенчмаркам.

Методику сравнения, в целом, одобряю. Приятно осознавать, что я сам занимался сравнением баз знаний по CVE и выявлением "слепых пятен" до того, как это стало мейнстримом. 😅

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

2 комментария

Про уязвимость Citrix Bleed NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966)

Про уязвимость "Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway (CVE-2023-4966). Обновления вышли 10 октября, вендор сразу заявил об эксплуатации вживую (перехват сессии, session hijacking). Вчера Assetnote выпустили подробный обзор этой уязвимости и выложили PoC для утечки памяти. Так что эксплуатаций должно стать ещё больше.

Уязвимы продукты:

NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300
NetScaler ADC и NetScaler Gateway version 12.1

В конфигурациях

Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy)
и
AAA virtual server

Если у вас эти продукты ещё используются, обновляйтесь и импортозамещайтесь.

Добавил кастомный источник данных в Vulristics

2 комментария

Добавил кастомный источник данных в Vulristics

Добавил кастомный источник данных в Vulristics. Небольшое, но довольно полезное дополнение. Иногда точно знаешь, что для уязвимости есть эксплоит или признак эксплуатации вживую, но в тех источниках, который Vulristics поддерживает, этих данных нет. 🤷‍♂️ Как же их учесть в отчёте Vulristics?

Теперь есть custom data source. Он не делает никакие запросы к внешним источникам, просто читает файлы из директории data/custom_cve. Можно добавить в эту директорию JSON-чик для CVEшки и задать в нём параметры, которые хочется определить для уязвимости. Все параметры задавать необязательно, можно только нужные. Например, только ссылки на эксплоиты.

А можно не руками, а нагенерить такие файлы скриптом на основе тех данных, которые у вас есть. 😉

Пример такого файла: