Архив метки: vulnerability

Qualys-ы опять наресерчили EoP/LPE уязвимость во всех Linux-дистрибах

5 комментариев

Qualys-ы опять наресерчили EoP/LPE уязвимость во всех Linux-дистрибах

Qualys-ы опять наресерчили EoP/LPE уязвимость во всех Linux-дистрибах. Речь о переполнении буфера в glibc (CVE-2023-4911). Название Looney Tunables уязвимость получила от переменной окружения GLIBC_TUNABLES. Qualys-ы пишут, что у них есть эксплоит для получения полных root-прав в основных дистрибутивах, таких как Fedora, Ubuntu и Debian. Эксплоит они выкладывать пока не собираются, но подозревают, что другие исследовательские группы могут вскоре создать и выпустить свои эксплоиты.

Qualys-ы вообще любят подобны LPE-шки. Навскидку вспоминаются их Baron Samedit, Sequoia, PwnKit.

Можно замерять, как быстро появятся фиксы в отечественных дистрибах. 😏

По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023-42115)

2 комментария

По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023-42115)

По поводу RCE без аутентификации в почтовом сервере Exim (CVE-2023-42115). Уязвимость зарепортили через ZDI. На первый взгляд выглядит страшновато, CVSS 9.8. Но пишут со ссылкой на разрабов, что уязвимы не все инсталляции, а только те, где используется "внешняя" схема аутентификации. 🤷‍♂️ Так что это, по идее, НЕ повторение CVE-2019-10149 "The Return of the WIZard", которая успешно и широко эксплуатировалась на дефолтных конфигурациях, а что-то менее критичное. Но в любом случае, если у вас почтовый сервер на Exim (да и вообще на чём-то нетривиальном, не на MS Exchange), лучше лишний раз "подпрыгнуть" и разобраться как оно там работает и как обновляется. Наверняка будут сюрпризы. Тем более, что в этой пачке для Exim ещё 5 уязвимостей, которые неплохо бы зафиксить.

На текущий момент Vulners показывает для CVE-2023-42115 только бюллетень безопасности/пакеты с исправлением под Debian. А остальные дистрибы видимо пока без фиксов, ждём.

🟥 PT относит уязвимость к трендовым.

Прожектор по ИБ, выпуск №5 (01.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №5 (01.10.2023). Вчера лампово пообщались с Антоном Лопаницыным. В основном мы разговаривали про недавно прошедший KazHackStan, компанию ЦАРКА и недавнее новоселье в Кибердоме.

Кто мы:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

00:00 Дурачимся
01:04 Здороваемся
02:02 Придумываем как нам увеличить просмотры, начнем стримить из RDR2?
03:08 Антон исполняет "Куда уходит Саша?" на гитаре для Guitar Hero. Куда уходит всё ещё непонятно, но теперь понятно, когда станет понятно.
05:08 Правительство РФ поддержало бонусную программу от Минцифры о выплате денежный компенсаций пользователям, пострадавшим от утечек ПДН
08:25 Разгоняем про ущерб от утечек и справедливую компенсацию (бесплатные суши?)
10:33 Каминсун бай ЦАРКА
11:07 Антон рассказывает историю откуда взялось название KazHackStan
13:03 Что Антон делал на KazHackStan 2023? "Самая уютная конфа"
13:35 Нейтральная территория для встречи с разъехавшимися
15:24 Что стало открытием?
16:49 Как туда люди попадают? CFP было?
18:40 За чей счёт банкет, если это невендорская история?
21:50 Насколько отличаются спикеры? Много тех, кто до России не доезжает?
22:39 Про новоселье в Кибердоме
23:42 Что это за проект-то такой, Кибердом?
27:44 А что по поводу резидентства? "Аналог абонемента в спортзал"
29:07 Отличное место для знакомств
30:11 Про усы Антона
31:16 Дружественные страны бывшего СССР как место выхода российского бизнеса по ИБ
33:44 ИБ вендоры Казахстана и других дружественных стран бывшего СССР
34:11 Про ЦАРКА
35:14 Антон рассказывает откуда взялась ЦАРКА и как они развивались
37:11 Дурачимся
38:59 Напутственные философские слова от Антона
40:27 Прощальная цитата от Mr. X

Подбил итоги сентября для англоязычного канала и блога

Добавить комментарий

Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.

---

Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.

Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia

Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies

Main Job
01:57 Goodbye Tinkoff

Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)

Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities

Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

Ещё одно размышление после конференции R-Vision, про таски на исправление уязвимостей

Добавить комментарий

Ещё одно размышление после конференции R-Vision, про таски на исправление уязвимостей

Ещё одно размышление после конференции R-Vision, про таски на исправление уязвимостей. На этой теме был акцент и в основном выступлении про R-Vision VM, и в кейсе НРД. Несмотря на то, что таски могут быть предметом долгих разбирательств IT и ИБ, имхо, таски должны быть. Почему?

1. Слова (как и дашборды, доступ для IT-шников в VM-систему, нотификации в почте/мессенджерах и прочее) к делу не пришьёшь. А тут формальная задачка. С критичностью, исполнителем и датой заведения. И для аудитов есть, что показать, и в случае инцидента пригодится. 😏
2. Вполне вероятно, что в организации уже внедрены процессы оценки эффективности работы подразделений на основе анализа статусов тасков, можно и исправление уязвимостей оценивать по аналогии.
3. Руководство ФСТЭК требует заводить таски. Можно, конечно, рассуждать об обязательности этого руководства, но если можно соответствовать, то лучше соответствовать. 😉

Какие это должны быть таски?

Имхо, это должны быть атомарные таски 1 актив и 1 уязвимость. Почему так?

1. Удобно отслеживать реальный прогресс. Иначе, если сделать связь один ко многим или многие ко многим, как абсолютно справедливо заметил в своём вчерашнем докладе Олег Кусеров, это будет приводить к большому количеству частично выполненных тасков.
2. Удобно менять критичность таска в случае изменения критичности уязвимости или актива.
3. Удобно делать интеграцию с системами управления уязвимостями. По сути таск просто привязывается к статусу уязвимости на активе.

Сколько таких тасков будет? Допустим, у нас для одного Linux хоста за месяц выходят 100 новых уязвимостей. Допустим, у нас 10000 Linux хостов в инфраструктуре. Получается миллион тасков за месяц. 12 миллионов в год. И это только Linux!

Отсюда следует:
1. Система для учёта тасков должна быть готова к таким объемам.
2. Вручную работать с такими тасками практически нереально.

Таски должны заводиться и закрываться автоматически по результатам детектирования уязвимостей.

✅ Таким образом ITшники, которые будут выполнять регулярный патчинг своих систем, возможно вообще без оглядки на продетектированные уязвимости, будут, в целом, автоматически соответствовать требованиям по исправлению уязвимостей и будут молодцы. 👍

❓А те ITшники, которые считают, что полное регулярное обновление им не подходит, смогут разбираться с каждой уязвимостью отдельно и тем способом, который сочтут нужным. Включая их ручную обработку. 🤷‍♂️ Может в процессе они скорректирую свои взгляды относительно регулярных обновлений. 😏

Что я вынес из доклада про R-Vision VM

3 комментария

Что я вынес из доклада про R-Vision VM

Что я вынес из доклада про R-Vision VM. Раньше конкурентным преимуществом R-Vision было то, что они интегрируются со всеми сторонними решениями для детектирования уязвимостей, существующими на рынке. Но они пришли к тому, что некоторые задачи могут быть решены только на своём стеке, включающих в том числе и свой детект. С другой стороны, закрываться от других продуктов они не собираются, возможности для интеграции останутся.

В части детектов R-Vision VM это OVAL/SCAP сканер. Пока, в рамках MVP, поддерживаются только Linux дистрибутивы.

Западные:
🔹 Debian v. 7-11
🔹 RHEL v. 6-9
🔹 Ubuntu v. 14.04-23.04
🔹 Suse SLED/SLES 11, 12, 15

Российские:
🔻 RedOS v. 7.3
🔻 AstraLinux v. 17

Расчёт уязвимостей происходит на сервере.

Поддержку Windows собираются добавить в конце года - начале следующего.

Куда идут? "VM третьего поколения":

🔸 Активо-центричный подход
🔸 Автоматические сценарии обработки
🔸 Приоритизация с учётом ценности актива
🔸 Патч менеджмент

Как и планировал, посмотрел сегодня вебинар ScanFactory

Добавить комментарий

Как и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactoryКак и планировал, посмотрел сегодня вебинар ScanFactory

Как и планировал, посмотрел сегодня вебинар ScanFactory. Выписал некоторые моменты.

1. ScanFactory делают не свой сканер, а агрегатор сканеров. Это сознательная стратегия. Выдают инфу 1 в 1 как выдаёт её сканер (но могут делать дополнительную ручную верификацию). Как именно запускают сканеры и делают дедупликацию - это и есть суть проекта и ноу-хау. Работают только с юрлицами для сканирования их собственных IP-адресов.
2. Одно из преимуществ - возможность on-prem установки. Тогда все данные будут храниться внутри компании, а интеграция с облаком будет производиться только для обновления сканеров. Опция для клиентов со сканированием > 2000 хостов. От меня: переход EASM-решений к разворачиванию on-prem это логичный путь к реализации black-box сканированию внутренней инфраструктуры. В Q&A про это прямо спрашивали, ответ: "Сейчас возможности сканировать внутреннюю инфраструктуру нет, но мы думаем, чтобы двигаться в этом направлении".
3. Отслеживают блокировки сканирования, например Qrator-ом (зачеркивают в результатах).
4. Для портов собирают скриншоты - красиво и полезно для поиска неприкрытых админок.
5. Прогнозы по угрозам сбываются. С Битриксом отдельная беда - нероссийские сканеры уязвимости в нём не находят, российских сканеров мало.
6. Находили у клиентов RCE на периметре в зарубежных продуктах: Confluence, Exchange, Fortinet (SSL VPN FortiGate), Citrix, Ivanti EMM (MobileIron), Juniper, vBulletin.
7. Другие типы уязвимостей, которые находили у клиентов: пароли по умолчанию, ошибки конфигурации, забытые файлы, перехваты поддоменов.
8. Собираются расширять набор сканеров, автоматизировать техники пентестеров. Хотят добавить AI для автоматической верификации уязвимостей, генерации правил детектов, написания инструкций по исправлению. - Интересная подборка тем для применения AI
9. Находятся в процессе получения сертификата ФСТЭК.

Отдельное спасибо, что подсветили в презентации канал @avleonovrus! Было очень приятно. 😊