Управление Уязвимостями и прочее

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #SecLab #Microsoft #StreamingService #KernelStreaming #DEVCORE #kssys #MSHTML #ZDI #VoidBanshee #AtlantidaStealer #XWiki #Linux #Kernel #HumanVM #VMprocess #Remediation #fun

К нам сегодня приезжали ребята из Хабра. Рассказывали как писать хорошие посты и не писать плохие. Сыграли с нами в обучающую карточную игру на определение паттернов и анти-паттернов при написании статей (как делать заголовки, лиды, иллюстрации и т.д.). Игру в нашей тройке участников вёл сам Алексей Boomburum Шевелёв! 😉 Легенда того самого Хабра начала 2010-х, который я, естественно, активно читал. Очень рад был пообщаться в реале. Выиграл лимитированного чёрного мозгового слизня (дочка уже отобрала 🙂). Ещё сегодня позитивную хабра-худи подарили. Приятненько. 😇

Узнал про формат "постов" на Хабре, которые ограничены 1500 символами. Очень похоже на посты в Телеграм-каналах. Это к вопросу о том, куда бежать, если телегу начнут блочить. Вполне себе вариант. Прямо все-все посты из канала кросспостить на Хабр, наверное, опрометчиво, но некоторые новостные и технические дублировать там должно быть вполне неплохо. 🤔

@avleonovrus #Habr #PositiveTechnologies #дыбр #offtopic

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе. В канале Positive Technologies выложили прикольные картинки по мотивам моего поста про технику саботажа VM-процесса "докажи-покажи". Приглашаю их заценить. 😇🦇

➡️ Также приглашаю поделиться в комментариях возражениями (от IT-шников, овнеров систем, бизнеса и т.д.), с которыми вы сталкиваетесь в процессе Управления Уязвимостями. За самые интересные отговорки Positive Technologies вручит призы. 😉🎁

Совместными усилиями мы соберём базу возможных возражений и научимся эффективно с ними работать. 😏

@avleonovrus #PositiveTechnologies #exploitability #VMprocess #fun

Ноябрьский Linux Patch Wednesday. Только я обрадовался в октябре, что количество уязвимостей постепенно снижается до приемлемого уровня, как снова получил пик. Всего 803 уязвимостей. Из них 567 в Linux Kernel. Какое-то безумие. 😱

2 уязвимости в Chromium с признаками эксплуатации вживую:

🔻 Security Feature Bypass - Chromium (CVE-2024-10229)
🔻 Memory Corruption - Chromium (CVE-2024-10230, CVE-2024-10231)

Для 27 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них я бы обратил внимание на:

🔸 Remote Code Execution - PyTorch (CVE-2024-48063)
🔸 Remote Code Execution - OpenRefine Butterfly (CVE-2024-47883) - "web application framework"
🔸 Code Injection - OpenRefine tool (CVE-2024-47881)
🔸 Command Injection - Eclipse Jetty (CVE-2024-6763)
🔸 Memory Corruption - pure-ftpd (CVE-2024-48208)

🗒 Отчёт Vulristics по ноябрьскому Linux Patch Wednesday

@avleonovrus #LinuxPatchWednesday #Vulristics #Linux

В понедельник провёл закрытый вебинар по Управлению Уязвимостями в рамках Бауманского курса профессиональной переподготовки по Управлению ИБ, онлайн-контент для которого я записывал в прошлом году. Вебинар прошёл живенько, разобрали с Олесей Томах много интересных вопросов. Кое-что, думаю, достойно отдельных постов в канале. 😉

📊 Кроме прочего, там был и опрос по состоянию процесса Управления Уязвимостями в организациях. Статистика не особо радужная. Но, с другой стороны, 15% со зрелым процессом и 15% с нормальными сканами - это очень круто. 👍

➡️ Хотелось бы повторить замеры на большей аудитории, приглашаю поучаствовать в опросе. 😉

@avleonovrus #education #BMSTU #poll

Про уязвимость Remote Code Execution - FortiManager "FortiJump" (CVE-2024-47575). FortiManager - решение для централизованного конфигурирования, применение политик, обновление и мониторинга сетевых устройств Fortinet.

🔻 Уязвимость вышла 23 октября. Отсутствие аутентификации для критической функции в демоне fgfmd (FortiGate-to-FortiManager) на устройствах FortiManager позволяет удалённому злоумышленнику выполнять произвольный код или команды с помощью специальных запросов. Сразу были признаки эксплуатации вживую и уязвимость добавили в CISA KEV.

🔻 15 ноября WatchTowr Labs опубликовали пост об этой уязвимости, которую они назвали "FortiJump". В посте есть видео эксплуатации и ссылка на PoC эксплоита. Исследователи указали, что индикаторы компрометации из бюллетеня Fortinet можно обходить. А сам патч оказался неполным. На пропатченном устройстве можно повышать привилегии, эксплуатируя уязвимость, которую watchTowr Labs назвали "FortiJump Higher".

@avleonovrus #Fortinet #FortiManager #FortiJump #watchTowrLabs

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:

🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)

Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂

Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅

Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.

В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.

@avleonovrus #CyberMedia #PositiveTechnologies #MaxPatrol #MaxPatrol8 #MaxPatrolVM #RVision #RVisionVM #AltxSoft #RedCheck #ScanFactory #ScanFactoryVM #ScanOVAL #SecurityVision #SecurityVisionVM #NPOEchelon #ScanerVS

13 ноября NIST NVD наконец признали очевидное: им не удалось разобрать бэклог по анализу CVE до конца фискального года (30 сентября). Что, в общем-то, видно в их же статистике. На текущий момент в бэклоге 19860 идентификаторов. За эту неделю новых CVE поступило 1136, а проанализировали они только 510. И это не какая-то аномальная неделя, это сейчас норма. Они не справляются с разбором нового, чего уже говорить о бэклоге. Кризис продолжается.

При этом в сообщении они почему-то пишут, что у них полная команда аналитиков, и они обрабатывают все входящие CVE по мере их загрузки в систему. Но почему тогда их статистика показывает обратное?

Они пишут, что теперь обрабатывают все уязвимости из CISA KEV. И это хорошо. Но в CISA KEV за 2024 год добавили пока только 162 CVE. Круто, что они осилили эти идентификаторы, но достижение, мягко говоря, не впечатляет.

Почему NVD не справляются с бэклогом?

Они пишут, что дело в формате данных от Authorized Data Providers (ADPs), видимо имея в виду под этим CISA Vulnrichment. NVD не могут эффективно импортировать и улучшать данные в этом формате. Чтобы это делать они разрабатывают какие-то "новые системы".

То есть мало того, что они расписались в неспособности анализировать уязвимости самостоятельно и готовы использовать чужие данные as is, они ещё и не могут парсеры-конвертеры писать за адекватное время. 🐾 Просто удивительные. 🤦‍♂️

И тут ещё прошла новость, что сенатор Рэнд Пол, новый председатель Senate Homeland Security Committee пообещал серьезно сократить полномочия CISA или полностью их ликвидировать. Наш слоняра! 😁🐘 Весь движ там из-за работы CISA "по противодействию дезинформации" перед американскими выборами. Но под это дело могут угробить единственного американского ИБ-регулятора, который делает хоть что-то полезное и в адекватные сроки. Молодцы, так держать. 👍

Ничего кроме дальнейшей деградации ждать не приходится.

@avleonovrus #NIST #NVD #CISA #Vulnrichment #thoseamericans

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров. Натравляем его на образ и получаем список уязвимостей (а-ля Trivy).

Поддерживает:

"Local Runtimes: Scan images from Docker, Containerd, or Podman.
Local Archives: Analyze Docker images or OCI layouts from local files.
Remote Registries: Connect to AWS ECR, Azure Container Registry, JFrog, GHCR, and more."

Возможности:

🔹 детектирует уязвимости пакетов ОС
🔹 Software Composition Analysis (SCA) для приложений на Ruby, Rust, PHP, Java, Go, Python, .NET и Node.js.
🔹 детектирует секреты (пароли, ключи API и токены)

Но не бесплатно. 🤷‍♂️💸🙂 Все кейсы, кроме генерации SBOM, требуют ACCESS_TOKEN и Platform POD. Т.е. нужен Qualys Container Security, где будут сохраняться результаты сканирования QScanner-ом.

Можно использовать для:

🔸 сканирования локальных образов на десктопах разрабоов
🔸 интеграции в CI/CD пайплайны
🔸 интеграции с реестрами

Концепция интересная. 👍

@avleonovrus #Qualys #QScanner #ContainerSecurity #SCA

Участвовал сегодня в записи подкаста Global Digital Space про сканеры уязвимостей. Моими собеседниками были Владимир Иванов (ScanFactory), Кирилл Селезнев (CICADA8). Модерировал Лука Сафонов.

Меня сегодня больше всего поразило насколько разные подходы к сканеру уязвимостей могут быть у

🔹 дефенсеров и оффенсеров
🔹 вендоров EASM-а и вендоров VM-а
🔹 апсеков и инфрасеков

Я, естественно, был со стороны дефенса-VM-инфры 🙂. Получилось дискуссионно и местами жарко. 🔥🙂 С минимумом маркетинга и максимумом техники.

От записи остались очень приятные впечатления. Надеюсь, что после монтажа (и отрезания всего того, что в паблик лучше не выкладывать 😅), окончательный результат будет интересным. Когда ждать итоговое видео пока непонятно, но думаю через месяц-полтора.

Кстати, у GDS вышло несколько подкастов про уязвимости. В основном это, правда, не в сторону VM-а, а в сторону пентестов-багбаунти-триажа, но тоже любопытно посмотреть. 😉📺

@avleonovrus #GlobalDigitalSpace #PositiveTechnologies #ScanFactory #CICADA8

Сегодня только и разговоров, что о кибербезе в Индонезии. 🙂 🇮🇩 Алексей Лукацкий выступает там с презентациями про утечки, шифровальщики и киберпреступность. Погружение в региональный контекст - очень круто, но с этнорелигиозными отсылками стоит быть аккуратнее, даже если с Бали не выезжать. 😉

Канал Кибервойна отмечает, что Индонезия в пятёрке стран по числу утечек данных, но при этом возглавляет индекс кибербезопасности МСЭ. 🤷‍♂️ Такие вот индексы. Также у них вышла подборка событий в сфере индонезийского кибербеза.

Евгений Баклушин напоминает о своей статье про ИБ Индонезии, из которой я делал выжимку.

Очень радует, что российские ИБ компании начали проявлять интерес к Индонезии. Появляются образовательные проекты. Kaspersky недавно провёл там конфу. 👍 Имхо, страна очень перспективная.

Приглашаю ИБшников, связанных с Индонезией, синхронизироваться в закрытом чатике Нусантара Кибербез (добавляю через личку). 😉

@avleonovrus #Indonesia #NKB

Ноябрьский Microsoft Patch Tuesday. 125 CVE, из которых 35 были добавлены с октябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)
🔻 Disclosure/Spoofing - NTLM Hash (CVE-2024-43451)

Без признаков эксплуатации, но с приватным PoC-ом эксплоита:

🔸 Remote Code Execution - Microsoft Edge (CVE-2024-43595, CVE-2024-43596)
🔸 Authentication Bypass - Azure Functions (CVE-2024-38204)
🔸 Authentication Bypass - Microsoft Dataverse (CVE-2024-38139)
🔸 Spoofing - Microsoft Exchange (CVE-2024-49040)

Из остальных можно выделить:

🔹Remote Code Execution - Windows Kerberos (CVE-2024-43639)
🔹Elevation of Privilege - Windows Win32k (CVE-2024-43636)
🔹Elevation of Privilege - Windows DWM Core Library (CVE-2024-43629)
🔹Elevation of Privilege - Windows NT OS Kernel (CVE-2024-43623)

🗒 Полный отчёт Vulristics

@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows

Трансформировал свой англоязычный сайт avleonov.com. Русскоязычный сайт avleonov.ru я сразу задумывал как автоматизированное зеркало телеграм-канала @avleonovrus. А с развитием англоязычного сайта было непонятно. 🤔

Я его веду с 2016 года. Долгое время это была моя основная площадка для VM-ного контента. С февраля 2020 я выкладывал там посты исключительно с видео. 🪧 Выпустил 94 видяшки. Но постепенно мне жутко надоел этот формат. 😮‍💨 Интереснее и проще было делать ролики на русском (сначала в "Прожекторе по ИБ", потом в SecLab "В тренде VM"). А на английский их, при необходимости, переводить.

С марта 2024 на англоязычном сайте посты не выходили. 🤷‍♂️ Выходили только на канале @avleonovcom. В итоге я решил, что и англоязычный сайт станет зеркалом Telegram-канала. 🪞

✅ Доработал скрипты и залил на сайт 117 постов из ТГ, вышедшие с марта 2024. Весь контент, который я добавлял до этого руками остался без изменений.

@avleonovrus #blogging #Telegram #Mirror #ПрожекторпоИБ #ВтрендеVM #SecLab

A6СПК: как делать больше, а напрягаться меньше. Сформулирую способ ведения задач, который у меня выработался за последний год-два.

Основные моменты:

🔻 Держать задачи и идеи в голове очень вредно. Мало того, что они забываются в самый неподходящий момент, так это ещё и ОЧЕНЬ энергозатратно. Тут отсылаю к концепции "мыслетоплива" Максима Дорофеева. Я считаю его джедайские техники какими-то излишне замороченными, но базовые вещи про "мыслетопливо" и "обезьянку" я разделяю. Если есть идея или задача, важно её записать. Я пришёл к тому, что удобнее всего записывать на листочках формата A6 (четверть A4 или половина листа из стандартного мерчёвого блокнота с конференции 😅). Необязательно сразу садиться работать над этой задачей, можно отложить листок в стопочку и вернуться к ней в более удобное время. Но записать следует обязательно. И задачи без такого листочка в работу не брать.

🔻 Когда начали работать над задачей, берём соответствующий листочек A6 и начинаем разбивать эту большую задачу на последовательность конкретных простых микрозадач в прямоугольничках, последовательно связанных стрелочками. Длительность микрозадачи не должна быть больше 5-10 минут. Чем проще и конкретнее микрозадача, тем лучше. Не экономьте бумагу в ущерб своему мыслетопливу! Необязательно расписывать задачу на микрозадачи полностью, но 3-4 микрозадачи лучше сразу зафиксировать. Чтобы этап планирования и этап выполнения были разнесены. Закончили планировать - без рефлексий берём первую микрозадачу в работу.

🔻 Когда начинаем работать с микрозадачей, ставим в соответствующий прямоугольничек точку, рисуем от него стрелочку и кружочек, в который вписываем время, когда планируем закончить работу с микрозадачей. Если сейчас 18:10, пятиминутную задачку планируем выполнить в 18:15, пишем в кружочке крайнее время - 15. Начиная с текущего момента и до крайнего времени в кружочке делаем только эту микрозадачу. Выполняем её ни на что не отвлекаясь. Какое бы срочное дело ни было, уж 5-10 минут оно подождёт. И на 5-10 минут сохранить полный фокус не так сложно. Ни над чем, что не оформлено как микрозадача в принципе не работаем.

🔻 По завершении микрозадачи с чувством глубокого морального удовлетворения перечёркиваем прямоугольничек и кружочек (отмечая, что по времени уложились 👍; но если не уложились - не беда). И без рефлексии сразу переходим к следующей микрозадаче. И так далее пока вся задача не будет выполнена. Тогда перечёркиваем листок, рвем его на кусочки (с удовлетворением от того, что задача выполнена) и берём следующую задачу в работу.

Может показаться, что всё это какая-то излишняя фигня и проще делать задачи без какой-либо фиксации, просто в состоянии потока. Меня самого такие мысли неоднократно посещали, но пока каждый раз оказывалось, что вдолгую без фиксации поддерживать рабочий темп ГОРАЗДО сложнее. Это приводило к потерям времени и сил несопоставимо большим, чем любое планирование на листочке. 🤷‍♂️

@avleonovrus #offtopic #GTD #A6СПК

Мини-отпуск в Сергиевом Посаде прошёл успешно. 👍 Лавру посетили, про историю этого важнейшего религиозного центра послушали. ☦️ Съездили на производство матрёшек и поучились их расписывать. 🎨 Добрались до Богородского на фабрику резных деревянных игрушек. В кухмистерской XIX века поучаствовали в приготовлении карамели. 😅 И много ещё чего интересного поделали.

Теперь с новыми силами буду возвращаться в VM-ный контекст. 😇

@avleonovrus #offtopic #trip #дыбр #vacation

VM Dev Tasks: Разработка консольной утилиты - сканера уязвимостей. Сканер уязвимостей взаимодействует с сетевыми хостами в инфраструктуре организации и определяет для них известные (CVE, БДУ) уязвимости. Взаимодействие может подразумевать выполнение команд на самом хосте (подключение к установленному на хосте агенту или безагентное подключение по SSH, WinRM и т.д.) или не подразумевать этого (взаимодействие с сервисами на открытых портах хоста).

В рамках проекта потребуется реализовать:

🔹 парсеры для источников информации об уязвимостях для некоторого набора софтов/ОС/сетевых устройств (лучше выбирать не самое очевидное и распространённое, но при этом востребованное); на основе этой информации сгенерировать формальные правила детектирования уязвимостей (например, на языке OVAL)
🔹 скрипты инвентаризации состояния хоста
🔹 скрипты детектирования уязвимостей по сгенерированным ранее правилам

В идеале попробовать реализовать генерацию правил детектирования с помощью LLM.

@avleonovrus #VMDevTasks #Detection