Архив метки: vulnerability

Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid

Игры с кальмаром: full disclosure для незафикшенных уязвимостей Squid.

1. Squid это кеширующий web прокси-сервер. Может использоваться, например, для ограничения доступа сотрудников организации к определенным сайтам в Интернете. Очень популярная штука.
2. В феврале 2021 года ресерчер Joshua Rogers провёл аудит безопасности Squid, обнаружил 55 уязвимостей в C++ коде проекта. 35 из них за 2 года не пофиксили, поэтому Роджерс вывалил всё в паблик. 🤷‍♂️ Ну типа, а почему бы и нет, сколько можно ждать-то. 🙂
3. В основном там, судя по названиям, ошибки работы с памятью, некоторые приводят к крашам. Описания выглядят детальными, хотя я особенно не вчитывался. Роджерс пишет, что на гитхабе есть PoC-и, но видимо имеются ввиду примеры в описаниях. Утилиты "введи ip-адрес и сломай Squid полностью" пока не наблюдается. Но, возможно, кто-то вдохновится выложенным и запилит.

Что с этим делать не особенно понятно. Фиксов-то нет. На большую часть даже CVEшек нет. Видимо остаётся только ждать фиксов (и эксплоитов 😏) или отказываться от Squid. Классическая тема с опенсурсом: вроде всё классно, бесплатно, а случись что, то и спросить не с кого. Вся поддержка и разработка на энтузиастах-волонтерах.

Про уязвимости curl

4 комментария

Про уязвимости curl. 11-ое число пришло. Обещанные уязвимости в cURL и libcurl вышли. 🧐 Под "худшая уязвимость за длительное время" Daniel Stenberg видимо имел ввиду, что curl насколько безопасен, что даже худшие уязвимости там не особо впечатляют.

SOCKS5 heap buffer overflow (CVE-2023-38545), High. Уязвимость существует, если curl/libcurl используется вместе c SOCKS5 прокси-сервером (в режиме proxy-resolver-mode) и пользователь соединяется с зловредным HTTP сервером, который делает редирект на специальный URL. Происходящее переполнение буфера может привести к RCE. В общем, должны сойтись звёзды. 🤷‍♂️ Но если вы используете cURL/libcurl через SOCKS5 прокси, то обновляйтесь конечно.

Cookie injection with none file (CVE-2023-38546), Low. Злоумышленник может вставлять cookie в работающую программу с помощью libcurl, если соблюдается ряд условий. Как дальше использовать этот Cookie injection не очевидно, но если ваше приложение использует libcurl, то обновитесь.

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

3 комментария

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday. Что в ТОПе:

1. Memory Corruption - Microsoft Edge (CVE-2023-5217). Уязвимость в библиотеке libvpx, которая отвечает за проигрывание видео в формате VP8. Как и в недавнем случае с libwebp, аффектит уйму софтов, но в первую очередь браузеры. Публичного эксплоита пока нет, но есть признаки эксплуатации вживую.

2. Elevation of Privilege - Skype for Business (CVE-2023-41763). По факту скорее information disclosure. Неаутентифицированный злоумышленник может отправить специальный запрос на уязвимый сервер Skype для бизнеса, что приведёт к раскрытию конфиденциальной информации, которая может быть использована для получения доступа к внутренним сетям. 🤷‍♂️ Есть признаки эксплуатации вживую, публичного эксплоита нет. Для Skype for Business вышло также и несколько RCE.

3. Information Disclosure - Microsoft WordPad (CVE-2023-36563). Пользователь открывает зловредный файл, в результате чего злоумышленник может получить NTLM хэши. Или, если у злоумышленника есть доступ к хосту, он сам может запустить зловредное ПО на хосте с тем же результатом. Выглядит опасно. Есть признаки эксплуатации вживую, публичного эксплоита нет.

4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Фикс для IIS (HTTP.sys), .NET (Kestrel) и Windows против новой эффективной DDoS-атаки "HTTP/2 Rapid Reset". Проблема универсальная, о том, что их атаковали через "HTTP/2 Rapid Reset" сообщали на днях Amazon, Cloudflare и Google, так что признаки эксплуатации вживую присутствуют.

Больше ничего в активной эксплуатации или с публичным эксплоитом пока нет. Можно ещё обратить внимание на:

🔻 20 уязвимостей Microsoft Message Queuing, среди которых есть и RCE.
🔻 Remote Code Execution - Microsoft Exchange (CVE-2023-36778). "Для успешной эксплуатации необходимо, чтобы злоумышленник находился в той же сети, что и хост Exchange Server, и использовал валидные учетные данные пользователя Exchange в удаленной сессии PowerShell". Не выглядит особенно критичной, хотя "Exploitation More Likely".
🔻 Elevation of Privilege - Windows IIS Server (CVE-2023-36434). Достигается через упрощённый брутфорс пароля. 🤷‍♂️
🔻 Пачка Elevation of Privilege в Windows Win32k и Windows Graphics Component. Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии SYSTEM.

upd. 🟥 PT относит уязвимости Information Disclosure - Microsoft WordPad (CVE-2023-36563) и Denial of Service - HTTP/2 protocol (CVE-2023-44487) к трендовым.

🗒 Vulristics report

По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились

5 комментариев

По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились. Злоумышленнику действительно не требуется предварительно иметь пользователя в Confluence, чтобы получить администратора. Действительно имеет место обход аутентификации.

Коллеги из PT SWARM воспроизвели эту уязвимость и записали видео с демонстрацией. На видео они показывают, что пользователя в инсталляции Confluence нет, затем они запускают python скрипт с логином/паролем желаемого пользователя и тут же получают его в Confluence с правами админа. Magic. 🪄

Что я вынес из доклада "Успеть за 24 часа: как работать с трендовыми уязвимостями"

Добавить комментарий

Что я вынес из доклада "Успеть за 24 часа: как работать с трендовыми уязвимостями".

1. Публичное подтверждение: MaxPatrol EDR будет собирать инвентаризационную информацию для расчета уязвимостей. Т.е. это полноценное агентное сканирование! EDR агент будет регулярно отправлять данные в сторону сервера и не надо будет запариваться активными сканами, заведением учёток, пропиливанием сетевых доступов и т.п. Крутейшая долгожданная фича. 🥳
2. Определение трендовых уязвимостей: "Уязвимости, которые представляют наибольшую опасность для организации или активно эксплуатируются злоумышленниками, либо уязвимости нулевого дня, для которых есть подтвержденные механизмы эксплуатации". Т.е. в фокусе
🔻 контекст клиентов, применяются ли уязвимые продукты в их инфраструктуре;
🔻 злоумышленники, какие уязвимости они эксплуатируют в атаках;
🔻 технические средства, которые позволяют эксплуатировать уязвимости.
3. Достижения этого года: Compliance Management (HCC), поддержка методики ФСТЭК по оценке критичности уязвимостей, SLA в 12 часов по доставке детектов для трендовых уязвимостей, поддержка LAPS, публичный API, новый сайзинг-гайд.
4. В следующем году собираются представить: сканирование веб-приложений, Linux collector для всех режимов сканирования (коллектор это новое название для сканирующей ноды, ранее это называлось агентом), сканирование в технологические окна, сканирование docker, новые форматы отчетов, проверка подключения и тестирование транспортов, патчи на уязвимости, поддержка иерархических инсталляций, мобильный сканер 2.0, сертифицированная сборка, приоритизация задач сбора, добавление PDQL-запросов в задачи, возможность настроить права только для чтения.
5. Из более отдаленных планов наиболее интригует прямоугольничек "Свои детекты и уязвимости". 😏

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад

1 комментарий

Непосредственно по нашей VM-ной теме на сегодняшнем Positive Security Day будет вот этот доклад.

Успеть за 24 часа: как работать с трендовыми уязвимостями
Зал 1, 15:10 - 15:30
Speaker: Павел Попов, Анна Цыбина
Расскажем, почему важно быстро реагировать на самые опасные уязвимости, как в этом может помочь MaxPatrol VM и почему vulnerability management — неотъемлемый компонент РКБ

РКБ - Результативная Кибербезопасность

Прожектор по ИБ, выпуск №6 (08.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №6 (08.10.2023). Записали очередной эпизод. В основном мы говорили про уязвимости прошлой недели.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по просмотрам предыдущего выпуска
02:18 Саша вышел на работу в Positive Technologies и чем же он там будет заниматься
04:50 RCE без аутентификации в почтовом сервере Exim (CVE-2023-42115)
08:16 SSRF/RCE в TorchServe (CVE-2023-43654, CVE-2022-1471), ShellTorch
12:05 В Cisco Emergency Responder нашли root-овые учётки с захардкоженными паролями (CVE-2023-20101)
16:44 Новый криптографический протокол аутентификации OpenPubkey
17:56 EoP или обход аутентификации в Atlassian Confluence (CVE-2023-22515)
23:42 Грядет опасная уязвимость cURL и libcurl (CVE-2023-38545)
27:07 Новая bug bounty программа Минцифры
30:32 Система бронирования "Леонардо" вновь подверглась DDOS-атаке из-за рубежа
35:22 Экосистема Xiaomi вышла из строя по всей России
36:38 Qualys-ы наресерчили EoP/LPE уязвимость во всех Linux-дистрибах, а конкретно в glibc (CVE-2023-4911)
39:19 XSpider-у 25 лет. Ровно как и всему современному Vulnerability Management-у. Обсуждаем в какую сторону развивается VM.
46:42 Прощание от Mr. X

Александр В. Леонов

Управление Уязвимостями и прочее