Ну, с почином: моя первая статья на сайте Positive Technologies, подсвеченная в том числе и на официальном канальчике. 😊 Статья посвящена трендовым уязвимостям за 2023 год. По контенту примерно то, что я рассказывал на Код ИБ ИТОГИ.

🔻 Так как это была первая статья такого рода, упор был на то, что такое трендовые уязвимости, зачем нужно их выделять и почему это сложно (почему нельзя использовать публичные источники as is).
🔻 Привёл статистику по типам уязвимостей, продуктам и группам продуктов.
🔻 Все уязвимости в отчёте не перечислял, указывал только некоторые яркие кейсы. Пока список трендовых уязвимостей доступен только пользователям MaxPatrol VM. Также о некоторых трендовых уязвимостях выходят посты в телеграмм-канале PT (искать можно по тегу #втрендеVM).

➡️ В общем, милости прошу ознакомиться со статьёй. 😉

PS: Только не спрашивайте меня зачем крутить точку гаечным ключём. Видимо это про тщету мирского бытия или что-то такое. 😅

@avleonovrus #publication #TrendVulns #PositiveTechnologies

Выхожу на широкую аудиторию: рассказываю про трендовые уязвимости в выпуске новостей SecLab-а. 🤩 Рубрика "В тренде VM" начинается с 16:05. 🎞

По контенту это февральский дайджест трендовых уязвимостей, но поданный в более живом формате: простыми фразами, со всякими прикольными перебивками, мемасиками, шутейками и прочим. Как это сейчас принято в эдьютейнменте. 😏 Уровень продакшена у команды SecLab News, конечно, потрясный. Круче я пока не видел. Очень профессиональные ребята, работать одно удовольствие. 🔥

В общем, пробный шар пущен - дальнейшая судьба рубрики (а может и не только рубрики 😉) зависит от вас.

➡️ Перейдите, пожалуйста, по ссылке, посмотрите выпуск, поставьте лайк, оставьте комментарий по поводу рубрики. Что понравилось, что можно было бы и получше сделать.

Прям очень ждём ваш фидбек. 🫠

@avleonovrus #SecLab #ВтрендеVM #PositiveTechnologies #TrendVulns #Ivanti #Fortinet #Microsoft

Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab-а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.

Вся кухня сейчас выглядит вот так:

1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab-а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Analytics.
4️⃣ Собираю итоговый текст для Хабра.

В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉

@avleonovrus #PositiveTechnologies #Vulristics #JetBrains #TeamCity #Fortinet #Microsoft #втрендеVM #TrendVulns

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Outlook и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как NetSPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Outlook)

PT SWARM всё проверил –
Pаботает, как надо.
No back connect required!
Для Outlook вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Outlook запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей...

@avleonovrus #Microsoft #PatchTuesday #Outlook #NetSPI #Ruler #TrendVulns #втрендеVM #поёмCVE #fun #music

Эксплуатируемая вживую уязвимость Remote Code Execution - Palo Alto Networks PAN-OS (CVE-2024-3400) с CVSS 10/10. Продолжаю играться с музыкальной подачей. 😅

RCE в NGFW от Palo Alto...
Максимальная критичность и атаки in the wild...

Palo Alto шлёт горячий пятничный привет
Инъекция команды в фиче GlobalProtect
Без аутентификации и без хлопот
Злодей исполнит от root-а произвольный код

(chorus)
RCE в файрволе от Пальто
Реальное Next Generation решето
CVSS десятка - опять!
Давно пора его импортозамещать!

Согласно ShadowServer в России в данный момент
600 хостов с Palo Alto доступно из Интернет
На общем фоне немного, это да
Но ты проверь своё пальто, чтоб не случилась беда

Хорошего уикенда, планета Земля!
Удачи с фиксом CVE-2024-3400!

Уязвимые версии:
🔹 PAN-OS 11.1: версии < 11.1.2-h3
🔹 PAN-OS 11.0: версии < 11.0.4-h1
🔹 PAN-OS 10.2: версии < 10.2.9-h1

Upd. 15.04 "Исправления PAN-OS теперь доступны, и на подходе новые исправления, разъяснены workaround-ы и меры по снижению рисков при использовании шаблонов Panorama".

@avleonovrus #PaloAlto #PANOS #TrendVulns #втрендеVM #поёмCVE #fun #music

Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞

По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.

Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.

Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.

@avleonovrus #SecLab #ВтрендеVM #PositiveTechnologies #TrendVulns #JetBrains #TeamCity #Fortinet #Microsoft

Детали по Remote Code Execution - Palo Alto PAN-OS (CVE-2024-3400). Пост с деталями вышел в блоге Palo Alto 19 апреля.

🔹В Palo Alto узнали об этой уязвимости в среду 10 апреля. Информация о подозрительной активности в инфраструктуре клиента пришла от компании Volexity, это вендор решений по компьютерной форензике и безопасности оперативной памяти. Совместно эксперты из компании Palo Alto и Volexity обнаружили источник подозрительного трафика - скомпрометированный файервол. В пятницу 12 апреля, когда в Москве был уже вечер, Palo Alto выпустили блогпост и публичный бюллетень безопасности с описанием уязвимости и workaround-а. А в понедельник 15 апреля были выпущены новые версии PAN-OS для исправления уязвимости.

🔹 Для уязвимости сразу была определена максимальная критичность по CVSS (10). CISA сразу добавила уязвимость в Known Exploited Vulnerabilities Catalog.

🔹 Что представляет собой уязвимость? Комбинируя две ошибки в PAN-OS, злоумышленники могут выполнить двухэтапную атаку и добиться выполнения команд на уязвимом устройстве. На первом этапе злоумышленник отправляет в GlobalProtect (компонент PAN-OS для защиты мобильных сотрудников) специально подготовленную shell-команду вместо идентификатора сессии. В результате на устройстве создаётся пустой файл, в имени которого содержится необходимая злоумышленнику команда. 🤷‍♂️ На втором этапе на устройстве запускается валидная задача cron, которая использует имя этого пустого файла, тем самым непосредственно выполняя команду злоумышленника с повышенными привилегиями. 😏

🔹 Первые попытки эксплуатации уязвимости были зафиксированы 26 марта. Для этих атак исследователи выбрали название "операция MidnightEclipse" ("ПолуночноеЗатмение"). В ходе атак злоумышленники устанавливали на уязвимые устройства кастомный бэкдор на Python, который исследователи из Volexity назвали UPSTYLE, а также другие утилиты для упрощения эксплуатации. Например, утилиту для тунелирования GOST (GO Simple Tunnel).

🔹 На следующий день после выпуска патчей, 16 апреля, вышло подробное техническое исследование уязвимости от компании Rapid7 с указанием PoC-а. Уже 17 апреля эксплоит стал доступен виде модуля для Metasploit. Так что сейчас эксплуатация этой уязвимости максимально упрощена.

🔹 Количество потенциально уязвимых хостов доступных из Интернет, по состоянию на 19 апреля, Shadowserver оценивали на уровне 22500. Большая часть из них в США (9626), в России совсем немного (44). Но тут вопрос, конечно, насколько сейчас достоверны детекты Shadowserver для России.

Выводы?

🔻 Next Generation решето, которое давно пора импортозамещать. Всякое бывает, но это какие-то особенно позорные уязвимости для ИБ-вендора.

🔻 Дата выхода патча для громкой уязвимости = дата выхода публичного эксплоита. Это практически гарантировано. Слишком соблазнительно ресерчерам попиариться на этом первыми. 🤷‍♂️ Поэтому нужно подпрыгивать и патчить сразу, не дожидаясь появления публичных эксплоитов и атак скрипткидисов.

@avleonovrus #PaloAlto #PANOS #TrendVulns #втрендеVM #MidnightEclipse #Shadowserver #Volexity #Rapid7 #Metasploit #UPSTYLE #GOST #GlobalProtect

Зарелизили материалы по апрельским трендовым уязвимостям. Всего выделили 5 уязвимостей.

🔻 Удалённое выполнение команд в устройствах PaloAlto (CVE-2024-3400) [Горячий пятничный привет]
🔻 4 уязвимости Microsoft Windows (CVE-2022-38028, CVE-2023-35628, CVE-2024-29988, CVE-2024-26234)

🗣 Моя статья на Хабре по мотивам постов из канала
🚀 Дайджест на сайте PT (коротко и по делу)
🟥 Пост в канале PT
🎞 Рубрика "В тренде VM" в ролике SecLab-а выйдет в понедельник 🙂 Upd. Выложили.

@avleonovrus #PositiveTechnologies #PaloAlto #Microsoft #втрендеVM #TrendVulns

Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям апреля. 🙂 Рубрика "В тренде VM" начинается с 14:31. 🎞

Подробности по трендовым уязвимостям апреля читайте в дайджесте и на Хабре.

@avleonovrus #SecLab #PositiveTechnologies #PaloAlto #Microsoft #втрендеVM #TrendVulns

Трендовые уязвимости мая по версии Positive Technologies. Как обычно, в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)

@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #FluentBit #Tenable #LinguisticLumberjack #Atlassian #Confluence #Vulners #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #DWM #Kaspersky #QakBot #BDU #FSTEC

Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)

@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication

Перезалил "В Тренде VM" за 5 месяцев. Я тут затих в последние дни, потому что всё свободное время на это уходило. Вырезать, подправлять, размечать, оформлять и описывать ролики было довольно муторно, но результатом я доволен. 🙂

Теперь "В Тренде VM" это не только рубрика внутри новостных выпусков SecLab-а, но и отдельные ролики на моём канале с таймкодами по конкретным уязвимостям и описаниями. 😊 Т.е. теперь для каждой трендовой уязвимости, начиная с февраля, есть краткое видео-обоснование почему мы считаем её трендовой. Надеюсь, что и индексироваться это будет неплохо.

По договоренности новые ролики буду добавлять через неделю после выхода рубрики "В Тренде VM" в видео-новостях SecLab-а.

В моменте выкладываю только в плейлист моего канала на YouTube. Иронично, что руки дошли этим заняться аккурат к завершению работы платформы в России. 🙂

Upd. Залил ролики в плейлисты "В Тренде VM" на российские площадки:
🔹 RuTube
🔹 VK Видео

@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #YouTube

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer #Artifex #Ghostscript #CodeanLabs #Acronis #ACI #CISAKEV

Рубрика "В Тренде VM" на английском. Вернулся к теме автоматизированного переозвучания роликов на другой язык. На примере июльского ролика "В Тренде VM".

Сейчас появилось довольно много сервисов, которые позволяют это делать. Топовые решения делают не просто аналог "синхронного перевода", а клонируют голос c сохранением оригинальных интонаций и даже изменяют мимику говорящего под нужный язык.

Какие недостатки у этих сервисов?

🔹 Как правило, они стоят денег. 🪙🙂 С учётом проблем с западными платёжными системами, заплатить этим сервисам, при всём желании, не так просто.

🔹 Они не предоставляют достаточный уровень контроля и пытаются всё делать автоматически. Это приводит к ошибкам и на уровне распознавания речи, и на уровне перевода. Думаю те, кто пользовались автоматическим переводом роликов в Яндекс Браузере с этим сталкивались. Задача слишком амбициозная. Если тематика ролика достаточно сложная и там используется какая-то специфическая лексика и термины, то полностью автоматизированные решения (пока?) не справляются. 🤷‍♂️

Поэтому, изучив альтернативы, я вернулся к своему старому проекту subtivo, которым последний раз занимался 3 года назад. Утилита позволяет генерировать аудиодорожку по файлу субтитров. Далее эту аудиодорожку можно добавить в видео, используя программу для монтажа или даже просто ffmpeg-ом.

Основная сложность состоит в том, что нужно каким-то образом получить качественный файл субтитров. Но, оказалось, что это не такая уж проблема, если видео записывалось по уже готовому тексту для суфлёра и нет задачи делать субтитр для каждой произнесенной фразы отдельно. Берём автоматически распознанные субтитры в YouTube Studio, находим временные метки, где начинается абзац и вставляем туда готовый текст абзаца из файла для суфлёра. И так далее для всех абзацев. Конечно, на экране такие субтитры выглядят монструозно и некрасиво, но делать их гораздо проще и быстрее. Для переозвучания роликов и таких субтитров достаточно.

Автоматический перевод субтитров в YouTube Studio также достаточно хорош и их удобно там редактировать. Готовые переведённые субтитры можно оттуда свободно скачивать. 👍

Следующий этап - это подключить Text-To-Speech движок к subtivo. По сути нужна утилита (скрипт), которая создаст wav-файл по тексту с заданной скоростью произношения. Если такая утилита есть, то интегрировать её в subtivo тривиально.

TTS движок, который я использовал, работает не идеально. Иногда прорываются какие-то посторонние шумы. Это можно решать отслушиванием и перегенерацией звуковых файлов для отдельных фрагментов, но в данном случае я этим не заморачивался.

В общем, оказалось не так уж и напряжно делать такое переозвучание роликов. Буду практиковать. 😉

@avleonovrus #TTS #voiceover #втрендеVM #TrendVulns #YouTube #YouTubeStudio #subtivo

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #MadLicense #RDP #RDL #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate #AFDsys #GenDigital #Lazarus #Fudmodule #WordPress #LiteSpeedCache

Есть такая работа - желать. Вчера делал перевод августовского эпизода "В Тренде VM" для англоязычного канала и соцсеточек. Поймал себя на мысли, что я крепко подсел на разнообразные AI-сервисы:

🔹 Перевод субтитров - Google Translate
🔹 Генерация звуковой дорожки на английском - subtivo с подключенным сервисом генерации речи
🔹 Фоновая картинка для иллюстрации - Ideogram
🔹 Апофеоз: генерация заключительного джингла 🎶 с QR-кодом для англоязычного канала: рифмованный текст сгенерировал с помощью ToolBaz, а трек сделал в Suno

Это похоже на то, что у тебя есть множество помощников-аутсорсеров, которые делают свою работу очень быстро и очень дёшево (даже бесплатно). Остаётся только принять результаты. Сказать: "отлично, подходит" или "не, всё фигня, давай переделывай".

Т.е. роль человека сводится к тому, чтобы сформулировать своё желание и оценить было ли оно выполнено или пока нет. По сути все мы становимся менеджерами, только управляем не живыми людьми, а сервисами на нейронках.

@avleonovrus #AI #втрендеVM

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.

📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA