Архив метки: Vulristics

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vulristics

Размышляю о детектировании имени уязвимого продукта в Vulristics. Коллеги из PT ESC выложили крутую статью про атаки группировки (Ex)Cobalt на российские компании. Там, среди прочего, упоминается, что злоумышленники эксплуатируют уязвимости CVE-2023-38831 и CVE-2023-3519. Забил их в Vulristics.

🔻 WinRAR-ную уязвимость CVE-2023-38831 я уже тут подсвечивал и по ней всё более-менее неплохо продетектилось.
🔻А для уязвимости Citrix CVE-2023-3519 Vulristics не смог продетектировать уязвимый продукт по описанию уязвимости. Потому что всё описание в NVD это: "Unauthenticated remote code execution". И всё. 😄 NVD не перестаёт удивлять.

Чем такое скомпенсировать?

🔹 Брать название продукта и тип уязвимости из CISA KEV. Решение только для ~1000 уязвимостей и +1 коннектор. Такое себе.
🔹 Детектить уязвимый продукт на основе cpe. ⬅️ склоняюсь к этому, т.к. можно разом получить черновые детекты для множества продуктов из cpe dictionary.

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday. Посмотрим какие уязвимости Linux начали исправляться вендорами Linux дистрибутивов с октябрьского LPW. На самом деле отчёт требует допиливания в части детектов продуктов и типов уязвимостей, но выкладываю как есть. 🙂

🔹 Есть одна уязвимость с признаком эксплуатации вживую (CISA KEV). Это Cross Site Scripting - Roundcube (CVE-2023-5631). Это клиент для работы с электронной почтой с веб-интерфейсом, часто используется как компонент веб-почты в почтовых пакетах и платформах групповой работы. Злоумышленник шлёт зловредное письмо, у пользователя выполняется произвольный JavaScript код. 💥
🔹 Есть ~50 уязвимостей, для которых вроде как есть эксплоиты и PoCи (в основном ссылки с тэгом "exploit" на NVD).
🔹 Больше чем для половины уязвимостей не детектируются продукты и не детектируются типы уязвимостей. 🤷‍♂️ Буду добавлять детекты.

🗒 Vulristics report

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON. Что открывает новые возможности по автоматизации работы с ним. По-простому: задаем на вход список CVE-шек и комментарии к ним (если есть), получаем на выходе оцененные CVE-шки (с типом уязвимости, продуктом, эксплуатацией вживую, публичными эксплоитами и прочим). А учитывая возможность добавлять данные по уязвимостям через Custom Data Source и управлять правилами детектов софтов (products.json) и типов уязвимостей (data_classification_vulnerability_types.py), получается очень гибкая штуковина. 😇

Можно выпускать отчёты сразу и в JSON, и в HTML:

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. Выпустил отчёт Vulristics, посмотрел. Всего 98 CVE-шек, 40 из них набежало с октябрьского MSPT. Выглядит очень блекло. 🤷‍♂️

1. Самая критичная Security Feature Bypass - Windows SmartScreen (CVE-2023-36025). Эксплуатируется вживую. Уязвимость в том, что можно создать файл .URL и при переходе по этому файлу на зловредный сайт Defender не спасёт. 🤨 Ерундень.
2. Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2023-36036) и Elevation of Privilege - Windows DWM Core Library (CVE-2023-36033). Вживую эксплуатируются, можно SYSTEM получить.
3. 3 Spoofing уязвимости в Exchange (CVE-2023-36035, CVE-2023-36039, CVE-2023-36050). Требуют аутентификацию, но потенциально могут использоваться в NTLM Relay атаках.

Из забавного - фиксы для уязвимостей Curl. Оказывается используется в Windows Update. 🙈 Ещё какая-то уязвимость в Bluetooth - видимо в какой-то их старой железке.

🗒 Vulristics report

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM-у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

---

Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.

00:29 Back to Positive Technologies
00:59 Vulristics NVD Data Source
02:20 Vulristics Custom Data Source
03:22 Linux Patch Wednesday Project
04:16 Linux Patch Wednesday October 2023
05:49 Microsoft Patch Tuesday October 2023
09:12 Other Vulnerabilities October 2023
10:14 Miercom released a report "Vulnerability Management Competitive Assessment"
10:54 Vulners presented AI Score v2
11:31 My PhysTech Lecture

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

Добавил кастомный источник данных в Vulristics

Добавил кастомный источник данных в Vulristics

Добавил кастомный источник данных в Vulristics. Небольшое, но довольно полезное дополнение. Иногда точно знаешь, что для уязвимости есть эксплоит или признак эксплуатации вживую, но в тех источниках, который Vulristics поддерживает, этих данных нет. 🤷‍♂️ Как же их учесть в отчёте Vulristics?

Теперь есть custom data source. Он не делает никакие запросы к внешним источникам, просто читает файлы из директории data/custom_cve. Можно добавить в эту директорию JSON-чик для CVEшки и задать в нём параметры, которые хочется определить для уязвимости. Все параметры задавать необязательно, можно только нужные. Например, только ссылки на эксплоиты.

А можно не руками, а нагенерить такие файлы скриптом на основе тех данных, которые у вас есть. 😉

Пример такого файла: