Судя по новостям, объявляется неделя безопасности VMware. Особенно VMware vSphere. 😏 Что там было в конкретном курьерском кейсе, надеюсь, узнаем из результатов расследования. В любом случае появился неплохой повод проверить как обстоят дела с VMware в вашей организации:
🔻 Точно никакие управляющие интерфейсы не торчат в Интернет?
🔻 Точно всё, что нужно покрыто регулярными сканами уязвимостей и сканер уязвимостей детектирует адекватно?
🔻 Точно есть регламент по регулярной установке обновлений безопасности (независящий от сканов на уязвимости)?
🔻 Точно в моменте нет незакрытых уязвимостей высокого уровня критичности?
🔻 Точно выполняли харденинг и есть регулярный контроль настроек?
🔻 Точно есть мониторинг событий безопасности и реагирование на них?
🔻 Точно есть планы по импортозамещению продуктов VMware? Хороший повод их форсировать.
@avleonovrus #VMware #vSphere #CourierCase2024 #checklist
🔻 Точно никакие управляющие интерфейсы не торчат в Интернет?
🔻 Точно всё, что нужно покрыто регулярными сканами уязвимостей и сканер уязвимостей детектирует адекватно?
🔻 Точно есть регламент по регулярной установке обновлений безопасности (независящий от сканов на уязвимости)?
🔻 Точно в моменте нет незакрытых уязвимостей высокого уровня критичности?
🔻 Точно выполняли харденинг и есть регулярный контроль настроек?
🔻 Точно есть мониторинг событий безопасности и реагирование на них?
🔻 Точно есть планы по импортозамещению продуктов VMware? Хороший повод их форсировать.
@avleonovrus #VMware #vSphere #CourierCase2024 #checklist
По поводу критичных уязвимостей Remote Code Execution - VMware vCenter (CVE-2024-37079, CVE-2024-37080). vCenter это продукт для централизованного управление виртуальной инфраструктурой на платформе VMware vSphere.
Обе уязвимости были исправлены 17 июня. У них одинаковое описание и CVSS 9.8.
Уязвимости связаны с переполнением кучи в реализации протокола DCERPC. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специально подготовленный сетевой пакет и потенциально получить RCE.
Публичного эксплоита и признака эксплуатации вживую пока нет, однако:
🔸 Уязвимости очень похожи по описанию на прошлогоднюю эксплуатируемую RCE уязвимость vCenter (CVE-2023-34048). И CVSS вектор такой же.
🔸 "Скриншот vSphere Client", интерфейса для vCenter, стал своеобразным мемом злоумышленников, подтверждающим, что в ходе атаки им удалось скомпрометировать виртуальную инфраструктуру организации. Цель очень лакомая!
Обязательно обновляйтесь!
@avleonovrus #vCenter #VMware #vSphere #DCERPC
Обе уязвимости были исправлены 17 июня. У них одинаковое описание и CVSS 9.8.
Уязвимости связаны с переполнением кучи в реализации протокола DCERPC. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специально подготовленный сетевой пакет и потенциально получить RCE.
Публичного эксплоита и признака эксплуатации вживую пока нет, однако:
🔸 Уязвимости очень похожи по описанию на прошлогоднюю эксплуатируемую RCE уязвимость vCenter (CVE-2023-34048). И CVSS вектор такой же.
🔸 "Скриншот vSphere Client", интерфейса для vCenter, стал своеобразным мемом злоумышленников, подтверждающим, что в ходе атаки им удалось скомпрометировать виртуальную инфраструктуру организации. Цель очень лакомая!
Обязательно обновляйтесь!
@avleonovrus #vCenter #VMware #vSphere #DCERPC
Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
YouTube
AirPods подслушивают / Трекеры убивают / Мир сходит с ума / 156
— Шпион в ушной раковине. Как AirPods предали миллионы пользователей.
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…