Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading. "Эксплуатируемым уязвимостям требуются месяцы на то, чтобы попасть в CISA KEV". Показывают на примерах:
1. RCE уязвимость в Adobe Acrobat и Reader (CVE-2023-21608). Вышла эта уязвимость 18 января. PoC для неё вышел в феврале. С июня эксплоит доступен в коммерческих фреймворках. А в CISA KEV уязвимость добавили только 10 октября. 🤷♂️ 10 месяцев получается потребовалось.
2. Множественные уязвимости в Juniper серий EX и SRX. Объявили об уязвимостях в середине августа. 25 августа Shadowserver сообщили о попытках эксплуатации вживую. В CISA KEV добавили только 13 ноября.
3. Обход аутентификации Veeam Backup & Replication (CVE-2023-27532). Обнаруженна в марте, начала эксплуатироваться позже в том же месяце, добавлена в список KEV только в августе.
И почему так?
Всё из-за жёстких критериев к доказательствам фактов эксплуатации уязвимости вживую и к наличию исправления от вендора (т.к. CISA KEV это фактически перечень требований для федеральных агентств по исправлению уязвимостей).
В статье рекомендуют использовать дополнительные источники данных об уязвимостях эксплуатируемых вживую.
Тоже порекомендую такой источник -
Трендовые Уязвимости
от 🟥 Positive Technologies
😉
@avleonovrus #CISAKEV #Adobe #Juniper #Veeam #PositiveTechnologies #TrendVulns #DarkReading
1. RCE уязвимость в Adobe Acrobat и Reader (CVE-2023-21608). Вышла эта уязвимость 18 января. PoC для неё вышел в феврале. С июня эксплоит доступен в коммерческих фреймворках. А в CISA KEV уязвимость добавили только 10 октября. 🤷♂️ 10 месяцев получается потребовалось.
2. Множественные уязвимости в Juniper серий EX и SRX. Объявили об уязвимостях в середине августа. 25 августа Shadowserver сообщили о попытках эксплуатации вживую. В CISA KEV добавили только 13 ноября.
3. Обход аутентификации Veeam Backup & Replication (CVE-2023-27532). Обнаруженна в марте, начала эксплуатироваться позже в том же месяце, добавлена в список KEV только в августе.
И почему так?
Всё из-за жёстких критериев к доказательствам фактов эксплуатации уязвимости вживую и к наличию исправления от вендора (т.к. CISA KEV это фактически перечень требований для федеральных агентств по исправлению уязвимостей).
В статье рекомендуют использовать дополнительные источники данных об уязвимостях эксплуатируемых вживую.
Тоже порекомендую такой источник -
Трендовые Уязвимости
от 🟥 Positive Technologies
😉
@avleonovrus #CISAKEV #Adobe #Juniper #Veeam #PositiveTechnologies #TrendVulns #DarkReading
Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X
@avleonovrus #ПрожекторПоИБ #Кибердом #PTVMcourse #PTVMbook #CISAKEV #Adobe #Juniper #Veeam #PositiveTechnologies #TrendVulns #DarkReading #ОМП #РедСофт #РедОСМ #Минцифры #OpenAI #WindowsHello
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X
@avleonovrus #ПрожекторПоИБ #Кибердом #PTVMcourse #PTVMbook #CISAKEV #Adobe #Juniper #Veeam #PositiveTechnologies #TrendVulns #DarkReading #ОМП #РедСофт #РедОСМ #Минцифры #OpenAI #WindowsHello
YouTube
Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44…
🔸 Максим Хараск, "Global Digital Space"
00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44…
По поводу критичной уязвимости Authentication Bypass - Veeam Backup & Replication (CVE-2024-29849). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.
Уязвимость нашли в компоненте Backup Enterprise Manager - веб-консоль для управления и создания отчетов. Неаутентифицированный злоумышленник может войти в веб-консоль от имени любого пользователя. CVSS 9.8.
🔸 Уязвимость была исправлена вендором 21 мая.
🔸 Через 3 недели, 10 июня, исследователь под ником SinSinology выложил в своём блоге разбор этой уязвимости (на основе анализа патча) и PoC для неё.
Подтверждений эксплуатации уязвимости в реальных атаках пока нет, но, вероятнее всего, скоро будут. Компрометация бэкапов не менее лакомая цель, чем компрометация виртуальной инфраструктуры.
До 2022 года продукты Veeam были популярны в России и наверняка остаётся ещё много инсталляций. 🤔
Обязательно обновляйтесь!
@avleonovrus #Veeam #Backup #Replication
Уязвимость нашли в компоненте Backup Enterprise Manager - веб-консоль для управления и создания отчетов. Неаутентифицированный злоумышленник может войти в веб-консоль от имени любого пользователя. CVSS 9.8.
🔸 Уязвимость была исправлена вендором 21 мая.
🔸 Через 3 недели, 10 июня, исследователь под ником SinSinology выложил в своём блоге разбор этой уязвимости (на основе анализа патча) и PoC для неё.
Подтверждений эксплуатации уязвимости в реальных атаках пока нет, но, вероятнее всего, скоро будут. Компрометация бэкапов не менее лакомая цель, чем компрометация виртуальной инфраструктуры.
До 2022 года продукты Veeam были популярны в России и наверняка остаётся ещё много инсталляций. 🤔
Обязательно обновляйтесь!
@avleonovrus #Veeam #Backup #Replication
Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
YouTube
AirPods подслушивают / Трекеры убивают / Мир сходит с ума / 156
— Шпион в ушной раковине. Как AirPods предали миллионы пользователей.
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711). Бюллетень вендора вышел 4 сентября. В описании уязвимости её причиной называют десериализацию ненадежных данных с вредоносной полезной нагрузкой. Уязвимость обнаружил исследователь из компании CODE WHITE.
Через 5 дней, 9 сентября, исследователи из другой компании, watchTowr Labs, выложили в своём блоге подробный write-up, код эксплоита и видео с демонстрацией его работы.
Признаков эксплуатации вживую этой уязвимости пока не наблюдается. Как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R исправленные в марте 2022-го года, которые добавили в каталог только в декабре 2023-го. 😉
Обновляйтесь заранее!
@avleonovrus #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs
Через 5 дней, 9 сентября, исследователи из другой компании, watchTowr Labs, выложили в своём блоге подробный write-up, код эксплоита и видео с демонстрацией его работы.
Признаков эксплуатации вживую этой уязвимости пока не наблюдается. Как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R исправленные в марте 2022-го года, которые добавили в каталог только в декабре 2023-го. 😉
Обновляйтесь заранее!
@avleonovrus #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs
В своём write-up-е watchTowr Labs обращают внимание на странности, связанные с исправлением уязвимости Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711).
🔹 Описание уязвимости в NVD говорит нам о том, что аутентификация для эксплуатации уязвимости не требуется, но в CVSS векторе в бюллетене вендора значится что аутентификация требуется ("PR:L").
🔹 Большое количество изменений в патче намекает на то, что вендор исправлял некоторые уязвимости, не информируя клиентов (silent patching).
🔹 Исследователи пришли к выводу, что исправление CVE-2024-40711 происходило в несколько этапов. Сначала эксплуатация уязвимости не требовала аутентификации, потом выпустили патч и эксплуатация стала требовать аутентификацию и, наконец, второй патч полностью исправил эту уязвимость. Как обычно, лучше всего обновляться до последней версии. 😉
❗ Эксплуатация уязвимости позволяет уничтожить бэкапы и значительно затруднить восстановление инфраструктуры организации после атаки.
@avleonovrus #Veeam #watchTowrLabs
🔹 Описание уязвимости в NVD говорит нам о том, что аутентификация для эксплуатации уязвимости не требуется, но в CVSS векторе в бюллетене вендора значится что аутентификация требуется ("PR:L").
🔹 Большое количество изменений в патче намекает на то, что вендор исправлял некоторые уязвимости, не информируя клиентов (silent patching).
🔹 Исследователи пришли к выводу, что исправление CVE-2024-40711 происходило в несколько этапов. Сначала эксплуатация уязвимости не требовала аутентификации, потом выпустили патч и эксплуатация стала требовать аутентификацию и, наконец, второй патч полностью исправил эту уязвимость. Как обычно, лучше всего обновляться до последней версии. 😉
❗ Эксплуатация уязвимости позволяет уничтожить бэкапы и значительно затруднить восстановление инфраструктуры организации после атаки.
@avleonovrus #Veeam #watchTowrLabs
RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷♂️
Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.
"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."
🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.
@avleonovrus #Veeam #Backup #Replication #PositiveTechnologies #Sophos #TrendVulns #Akira #Fog
Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.
"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."
🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.
@avleonovrus #Veeam #Backup #Replication #PositiveTechnologies #Sophos #TrendVulns #Akira #Fog
Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
VK Видео
В тренде VM: уязвимости сентября
Эксперты Positive Technologies выделили семь критичных уязвимостей сентября. Некоторые из них уже используют злоумышленники, а остальные могут стать их следующей мишенью. В этом выпуске разбираем трендовые уязвимости, включая повышение привилегий в установщике…