Архив метки: VulnerabilityManagement

Стоит ли использовать в вашей организации пиратское VM-решение?

Стоит ли использовать в вашей организации пиратское VM-решение?

Стоит ли использовать в вашей организации пиратское VM-решение? На аргументах про этичность и законность останавливаться не буду (см. 146, 272, 273 УК РФ и штрафы для юрлиц). 🙂 По технике:

🔻 Как вы можете гарантировать, что в скаченную откуда-то сборку не внесли НДВ? Троян, майнер, криптолокер с отложенным запуском. Это вполне естественный способ монетизации для релиз-команды. И чем вы оправдаетесь в случае инцидента?
🔻 В развернутое VM-решение будут забивать учётки для сканирования. Оно будет заходить на таргет-хосты и выполнять произвольные команды (как правило, с привилегиями рута/админа). Вы точно хотите "ZVER-сборку" туда пускать?
🔻 Если у вас правила детектирования уязвимостей не обновляются, то вы сможете определить с помощью такого решения только старый ли таргет-хост как гуано мамонта или нет. Полезность сомнительная. 🙂

А главное нафига рисковать, если можно официально запросить у вендора триалку и тестить сколько потребуется с поддержкой и прочим. 😉

После продолжительного перерыва выпустил англоязычную видяшку и блогопост

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vul­ris­tics. Во вторую — смотрю какие были интересные уязвимости в Microsoft Patch Tues­day, Lin­ux Patch Wednes­day и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tues­day, для которых за последние 3 месяца появились PoC‑и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Lin­ux Patch Wednes­day за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

Novem­ber 2023 – Jan­u­ary 2024: New Vul­ris­tics Fea­tures, 3 Months of Microsoft Patch Tues­days and Lin­ux Patch Wednes­days, Year 2023 in Review

Hel­lo every­one! It has been 3 months since the last episode. I spent most of this time improv­ing my Vul­ris­tics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tues­days vul­ner­a­bil­i­ties, Lin­ux Patch Wednes­days vul­ner­a­bil­i­ties and some oth­er inter­est­ing vul­ner­a­bil­i­ties that have been released or updat­ed in the last 3 months. Final­ly, I’d like to end this episode with a reflec­tion on how my 2023 went and what I’d like to do in 2024.

New Vul­ris­tics Fea­tures
00:32 Vul­ris­tics JSON input and out­put
02:37 CPE-based vul­ner­a­ble prod­uct names detec­tion
04:16 CWE-based vul­ner­a­bil­i­ty type detec­tion

3 Months of Vul­ner­a­bil­i­ties
07:03 Lin­ux Patch Wednes­day
11:22 Microsoft Patch Tues­days
13:59 Oth­er Vul­ner­a­bil­i­ties

16:14 About the results of 2023
18:45 What about 2024?

📘 Blog­post
🎞 VKVideo

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vul­ris­tics, запустил Lin­ux Patch Wednes­day (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tues­day, разобрался с кучей других уязвимостей и даже тему с обучением VM‑у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

Hel­lo every­one! Octo­ber was an inter­est­ing and busy month for me. I start­ed a new job, worked on my open source Vul­ris­tics project, and ana­lyzed vul­ner­a­bil­i­ties using it. Espe­cial­ly Lin­ux vul­ner­a­bil­i­ties as part of my new Lin­ux Patch Wednes­day project. And, of course, ana­lyzed Microsoft Patch Tues­day as well. In addi­tion, at the end of Octo­ber I was a guest lec­tur­er at MIPT/PhysTech uni­ver­si­ty.

00:29 Back to Pos­i­tive Tech­nolo­gies
00:59 Vul­ris­tics NVD Data Source
02:20 Vul­ris­tics Cus­tom Data Source
03:22 Lin­ux Patch Wednes­day Project
04:16 Lin­ux Patch Wednes­day Octo­ber 2023
05:49 Microsoft Patch Tues­day Octo­ber 2023
09:12 Oth­er Vul­ner­a­bil­i­ties Octo­ber 2023
10:14 Mier­com released a report "Vul­ner­a­bil­i­ty Man­age­ment Com­pet­i­tive Assess­ment"
10:54 Vul­ners pre­sent­ed AI Score v2
11:31 My Phys­Tech Lec­ture

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post

Прожектор по ИБ, выпуск №6 (08.10.2023)

Прожектор по ИБ, выпуск №6 (08.10.2023). Записали очередной эпизод. В основном мы говорили про уязвимости прошлой недели.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся, смотрим статистику по просмотрам предыдущего выпуска
02:18 Саша вышел на работу в Pos­i­tive Tech­nolo­gies и чем же он там будет заниматься
04:50 RCE без аутентификации в почтовом сервере Exim (CVE-2023–42115)
08:16 SSRF/RCE в Torch­Serve (CVE-2023–43654, CVE-2022–1471), Shell­Torch
12:05 В Cis­co Emer­gency Respon­der нашли root-овые учётки с захардкоженными паролями (CVE-2023–20101)
16:44 Новый криптографический протокол аутентификации Open­Pub­key
17:56 EoP или обход аутентификации в Atlass­ian Con­flu­ence (CVE-2023–22515)
23:42 Грядет опасная уязвимость cURL и libcurl (CVE-2023–38545)
27:07 Новая bug boun­ty программа Минцифры
30:32 Система бронирования "Леонардо" вновь подверглась DDOS-атаке из-за рубежа
35:22 Экосистема Xiao­mi вышла из строя по всей России
36:38 Qualys‑ы наресерчили EoP/LPE уязвимость во всех Lin­ux-дистрибах, а конкретно в glibc (CVE-2023–4911)
39:19 XSpider‑у 25 лет. Ровно как и всему современному Vul­ner­a­bil­i­ty Management‑у. Обсуждаем в какую сторону развивается VM.
46:42 Прощание от Mr. X

Подбил итоги сентября для англоязычного канала и блога

Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tues­day: обратите внимание, что lib­webp CVE-2023–4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.

Hel­lo every­one! On the last day of Sep­tem­ber, I decid­ed to record anoth­er ret­ro­spec­tive episode on how my Vul­ner­a­bil­i­ty Man­age­ment month went.

Edu­ca­tion
00:09 BMSTU online cyber secu­ri­ty course
00:33 Pos­i­tive Tech­nolo­gies online Vul­ner­a­bil­i­ty Man­age­ment course
00:52 Bahasa Indone­sia

Russ­ian Pod­casts
01:20 Прожектор по ИБ ("Infor­ma­tion Secu­ri­ty Spot­light") pod­cast
01:47 КиберДуршлаг ("Cyber Colan­der") by Pos­i­tive Tech­nolo­gies

Main Job
01:57 Good­bye Tin­koff

Patch Tues­day
02:54 Sep­tem­ber Microsoft Patch Tues­day
03:11 Remote Code Exe­cu­tion – Microsoft Edge/libwebp (CVE-2023–4863), Mem­o­ry Cor­rup­tion – Microsoft Edge (CVE-2023–4352)
04:11 Remote Code Exe­cu­tion – Win­dows Themes (CVE-2023–38146) "The­me­Bleed"
04:48 Infor­ma­tion Dis­clo­sure (NTLM relay attack) – Microsoft Word (CVE-2023–36761)
05:19 Ele­va­tion of Priv­i­lege – Microsoft Stream­ing Ser­vice Proxy (CVE-2023–36802)
05:36 Remote Code Exe­cu­tions — Microsoft Exchange (CVE-2023–36744, CVE-2023–36745, CVE-2023–36756)

Oth­er Vul­ner­a­bil­i­ties
06:54 Bitrix CMS RCE (BDU:2023–05857)
07:32 RHEL/CentOS 7 can’t be detect­ed, can’t be fixed vul­ner­a­bil­i­ty (CVE-2022–1012)
08:09 Qualys TOP 20 vul­ner­a­bil­i­ties

Vul­ner­a­bil­i­ty Man­age­ment Mar­ket
09:06 For­rester and GigaOm VM Mar­ket reports
09:49 R‑Vision VM

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post

Руководство ФСТЭК по Управлению Уязвимостями

Руководство ФСТЭК по Управлению Уязвимостями

Руководство ФСТЭК по Управлению Уязвимостями. Что изменилось от проекта к релизу. Часть 2. Что определяет руководство?

Продолжаем увлекательное сравнение. Видим в Общих положениях новый пункт 1.2.

"Руководство определяет состав и содержание работ по анализу и устранению уязвимостей (далее – управление уязвимостями),"

Отмечаем: "управление уязвимостями" = "анализ и устранение уязвимостей" ❗️

"выявленных в

программных,
программно-аппаратных средствах"

Ага, вот куда ПО и ПАС из названия документа переехали. ПО и ПАС относящихся к чему?

"информационных систем,
информационно-телекоммуникационных сетей,
автоматизированных систем управления,
информационно-телекоммуникационных инфраструктурах [м.б. инфраструктур?] центров обработки данных, на базе которых функционируют эти системы и сети (далее – информационные системы)."

Т.е., если у вас есть ИС, ИТС, АСУ, центр обработки данных — будьте любезны внедрить VM для ПО и ПАС. 😉👍

Часть 1