О детекте уязвимостей софтов, установленных не из официального репозитория Linux-вендора. У моего коллеги по PT ESC Владислава Молькова на прошлом PHDays был доклад про детектирование уязвимостей Linux-хостов. Один из кейсов там был про софт установленный не из официального репозитория Linux-вендора, а из сторонних пакетов вендора софта (допустим, nginx) или из исходников. Как для такого софта уязвимости искать? Ведь детект по бюллетеням или OVAL-контенту Linux-вендора тут не поможет. 🤷‍♂️

Инсталляцию и версию запущенного софта можно найти в "ps -eo pid,cmd". Для nginx будет а-ля "nginx/1.22.1".

А откуда брать для них известные уязвимости? Брать их придётся из бюллетеней вендора софта, таких как nginx security advisories.

Т.е. для каждого подобного софта, придётся:

🔹 написать "непакетные" детекты
🔹 найти бюллетени вендора этого софта и превратить их в правила детектирования

И всё это для того, чтобы найти уязвимости Linux-софтов там, где сканер попроще их не найдёт. 😉

@avleonovrus #Linux #Detection

Методические рекомендации ЦБ по управлению уязвимостями и пентестам. 21 января был утверждён документ "Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка".

Документ на 21 страницу. Он содержит общие положения и рекомендации:

🔹 по проведению пентестов
🔹 по проведению анализа уязвимостей
🔹 по самостоятельному проведению этих работ и с привлечением сторонней организации
🔹 по информированию ЦБ о результатах работ (с формой отчёта)

В части Управления Уязвимостями наиболее важными видятся рекомендации:

🔻 3.7. проводить работы по анализу и устранению уязвимостей по руководству ФСТЭК по организации VM-процесса от 17.05.2023 ‼️
🔻 3.4. оценивать критичность уязвимостей по методике ФСТЭК от 28.10.2022 ❗
🔻 использовать сертифицированные ФСТЭК средства детектирования уязвимостей инфраструктуры 3.3. и исходного кода 3.5.

@avleonovrus #ЦБРФ #FSTEC #ФСТЭК #VMprocess

Про уязвимость Remote Code Execution - CommuniGate Pro (BDU:2025-01331). CommuniGate Pro - это универсальная серверная платформа для организации корпоративных коммуникаций. Она объединяет в себе множество сервисов, включая электронную почту, передачу голосовых данных, обмен сообщениями и автоматизацию совместной работы. Так как это отечественное решение, его часто используют для импортозамещения Microsoft Exchange.

Уязвимость позволяет удалённому неаутентифицированному злоумышленнику выполнить произвольный код на уязвимом сервере CommuniGate Pro. Причина уязвимости - Stack-based Buffer Overflow. Уязвимы версии с 6.3.0 до 6.3.39.

👾 По данным компании CyberOK, есть признаки эксплуатации уязвимости в реальных атаках. По состоянию на 14 февраля около 40% всех отслеживаемых хостов CommuniGate Pro были подвержены уязвимости.

⚡️ Это первая трендовая уязвимость в отечественном продукте с 2023 года.

@avleonovrus #CommuniGatePro #CyberOK

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности.

🔹Эта уязвимость из февральского Microsoft Patch Tuesday 2024 года (13.02.2024). На следующий день после MSPT на сайте СheckPoint вышел write-up и PoC. Ещё через день Microsoft поставили для уязвимости флаг "Exploited", но по каким-то причинам в тот же день этот флаг убрали. 🤷‍♂️ К 18 февраля на GitHub уже был код эксплоита и демка. "В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл". Каких-то сомнений в эксплуатабельности на тот момент уже не оставалось.
🟥 Естественно, к этому времени уязвимость уже была в трендовых.

🔹 А что CISA KEV? Они добавили эту уязвимость в каталог буквально недавно, 06.02.2025. Практически год спустя! 😏 И без каких-либо объяснений причин такой задержки.

@avleonovrus #Vulristics #PatchTuesday #Microsoft #Outlook #CheckPoint #MonikerLink #CISAKEV #CISA #TrendVulns

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости! Кейс с CVE-2024-21413, которую в CISA KEV добавили через год после появления эксплоита, отлично демонстрирует специфику CISA KEV. Были ли атаки с использованием этой уязвимости за прошедший год? Разумеется. 🙂 Их не могло не быть, учитывая наличие всех инструментов.

Но дело в том, что CISA абсолютно фиолетово даже на самую очевидную эксплуатабельность. 🤷‍♂️ Им важны ТОЛЬКО сигналы об успешных атаках. Что логично, они "known exploited", а не "exploitable". И эти сигналы должны быть либо от вендора (очевидно не любого, а то бы там одни уязвимости плагинов WordPress были бы 🙂), либо от расследователей атак (также не любых, а признаваемых CISA). Появился сигнал - добавили. А если б не появился, то и не добавили бы.

CISA KEV - очень специфическая выборка из всех эксплуатирующихся уязвимостей, отражающая своеобразное понимание того, какие уязвимости должны исправляться в федеральных агентствах США приоритетно. И только. 😉

@avleonovrus #CISAKEV #CISA

VM-ная загадка: есть 2 подразделения. 🙂 В одном Linux-админы на золотые образы и харденинг заточенные, в другом IT-шники исключительно работой приклада озабоченные (например, PostgreSQL).

Кому из них регулярный патчинг Linux-хостов (ядро и пакеты) с этим развёрнутым прикладом поручишь?

Имхо, обновлением хостов должны заниматься те же сотрудники, что обслуживают приклад на этих хостах. Иначе они будут постоянно вешать проблемы с прикладом на команду, которая делала обновление ОС: "вы опять нам всё сломали". Пусть лучше сами полностью обновляются и тестируются. 😇

А если прикладники брать это на себя не захотят, можно намекнуть, что Linux-админы будут тогда катать обновления ОС без всякого тестирования. А за сбои крайними будут прикладники, т.к. сами на такую схему подписались. 😉

➡️ Кстати, 24 февраля стартует новый поток курса "VM от теории к практике", где мы и такие вопросы тоже обсуждаем. 🙂 А ещё есть моя статья про работу VM-щиком, если кто не видел.

@avleonovrus #VMprocess #PTVMcourse #Linux

А вы в курсе, чем отличается центр обработки данных (ЦОД) от обычной серверной комнаты? 🙂 26 февраля в 11:00 Игорь Дорофеев из Академии Информационных Систем проведёт вебинар "ЦОД: актуальность и горизонты развития". Судя по описанию, нас ждёт ликбез и рассказ о перспективах развития отрасли ЦОДостроительства. Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 😉

А причём же здесь Управление Уязвимостями?

🔻 Неделю назад Гарда опубликовала результаты опроса российских компаний нефтегазового сектора. 30% опрошенных считают именно ЦОД-ы наиболее уязвимыми информационными системами.

🔻 В паблик кейсы с атаками на ЦОД-ы также периодически попадают [1, 2, 3].

Так что вебинар должен быть интересен не только тем, кто ЦОД-ы строит, обслуживает и использует, но и VM-щикам, которым и в этой части инфраструктуры необходимо устранять уязвимости. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте АИС
⏰ 26 февраля в 11:00

@avleonovrus #АИС #ЦОД #DataCenter #Гарда

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно. А что мешает конфигурировать безопасно? 🙂 Имхо, основная причина это отсутствие единого реестра, в котором были бы низкоуровневые рекомендации по настройке различных систем, обоснование от каких атак они защищают и что может отъехать от их применения. 🤔

Для уязвимостей, связанных с ошибками в ПО, эту роль худо-бедно выполняет CVE. У NIST и MITRE была аналогичная штука для безопасных конфигураций - CCE. И аналог CVSS - CCSS. Но они давно заброшены. 🤷‍♂️

Конечно, для многих систем есть Hardening Guides, которые перерабатываются в стандарты, такие как CIS Benchmarks. Есть стандарты американских военных DISA STIGS и SCAP-контент от OpenSCAP. Но всё это фрагментировано и с нестабильным качеством.

➡️ Завтра в 14:00 пройдёт вебинар Positive Technologies, про то, зачем нужен харденинг и как делать его проще с MaxPatrol HCC. 😉

@avleonovrus #hardening #PositiveTechnologies

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #SecLab #Microsoft #LDAP #LDAPNightmare #ConfigMgr #OLE #Outlook #Windows #HyperV #Fortinet #FortiProxy #FortiOS #ArcticWolf #ShadowServer #7zip #MoTW #SmartScreen #DarkNet

Февральский Linux Patch Wednesday. Всего уязвимостей: 561. 338 в Linux Kernel. Формально есть одна уязвимость с признаком эксплуатации вживую: RCE - 7-Zip (CVE-2025-0411). Но она про Windows MoTW и, естественно, не эксплуатируется на Linux.

Для 21 уязвимости есть публичные эксплоиты.

Из них можно выделить 5 уязвимостей системы мониторинга Cacti:

🔸 RCE - Cacti (CVE-2025-24367)
🔸 Command Injection - Cacti (CVE-2025-22604)
🔸 SQLi - Cacti (CVE-2024-54145, CVE-2025-24368)
🔸 Path Traversal - Cacti (CVE-2024-45598)

2 уязвимости OpenSSH, обнаруженные Qualys:

🔸 DoS - OpenSSH (CVE-2025-26466)
🔸 Spoofing/MiTM - OpenSSH (CVE-2025-26465)

Из остальных наиболее интересны:

🔸 RCE - Langchain (CVE-2023-39631), Snapcast (CVE-2023-36177), Checkmk (CVE-2024-13723),
🔸 EoP - Linux Kernel (CVE-2024-50066)
🔸 SQLi - PostgreSQL (CVE-2025-1094)
🔸 XSS - Checkmk (CVE-2024-13722), Thunderbird (CVE-2025-1015)

🗒 Полный отчёт Vulristics

@avleonovrus #LinuxPatchWednesday #Vulristics #Linux

Западные IT/ИБ-вендоры вернутся в Россию? Имхо, присутствие западных вендоров в России в обозримом будущем вернётся к уровню начала 2022 года. И это базовый сценарий. Просто потому, что непартнёрам такой расклад гораздо выгоднее, т.к. позволяет

🔻 "душить в зародыше" все попытки нашего самостоятельного развития
🔻 распространять в наши инфраструктуры бэкдоры под видом уязвимостей в поставляемых продуктах
🔻 пылесосить специалистов в свои R&D офисы
🔻 неплохо зарабатывать в процессе

Гораздо лучше и эффективнее, чем просто "ограничивать доступ к технологиям", так ведь? 😏 Наверняка новая администрация США это понимает и постарается вернуть всё как было.

Рассчитывать же на то, что российские клиенты САМИ больше не будут покупать продукты западных вендоров, которые один раз их уже кинули, довольно наивно. Разумеется, будут. Вопрос только в фичах и цене. 😉

@avleonovrus #thoseamericans #sanctions

И снова про Linux Антивирусы. В прошлом году я размышлял, что 2024 год - хорошее время, чтобы начать делать антивирусы под Linux. Благодаря импортозамещению, потребность в быстрой базовой защите Linux-систем от малварей растёт и с точки зрения реальной безопасности, и с точки зрения выполнения регуляторных требований. Кроме того, антивирус это хороший повод "занести агент на хост", который можно использовать и для других продуктов (включая VM 😉). А компетенции традиционных игроков в разработке Windows-антивирусов на Linux так просто не переносятся. Казалось бы: вот открытая ниша для новых игроков!

Но она прикрывается. 😏 Две новости за пару дней:

🔹 Kaspersky выпустили Linux-антивирус для b2c (❗). Т.е. уже даже для домашних линуксоидов появилась коммерческая опция защиты.

🔹 Positive Technologies купили долю в производителе антивируса VBA32 и получили доступ к технологиям. PT становится полноценным антивирусным вендором. 😉

@avleonovrus #Linux #Antivirus #Kaspersky #PositiveTechnologies

С днём защитника Отечества! 🇷🇺 В первую очередь, безусловно, поздравляю тех, кто защищает его прямо сейчас с оружием в руках! Здоровья, удачи и безусловного успеха в вашей самой трудной и самой важной работе!

Но и всех тех, кто имеет отношение к защите Отечества, включая защиту его информационных рубежей, тоже с праздником! 👨‍💻

Похвастаюсь немного подарками от доченьки. 😇

@avleonovrus #23feb

Выступил сегодня на конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Очень необычный опыт. 🙂 Вроде родные стены ЦМТ, но при этом вообще никого из знакомых. Народ что-то обсуждает на 1C-ном. Незнакомые названия систем и технологий. Очень интересно, но ничего не понятно. 😅

Территорию ЦМТ тоже использовали оригинально: залы первого этажа отвели под обеденную зону, а на втором этаже сделали большую зону коворкинга. 👨‍💻 Щедро! 👍

Само выступление прошло не без приключений: кликер перестал работать и на небольшой экран-подсказчика выводились сразу 2 полноразмерных слайда (с моим зрением было нечитабельно 😑). Пришлось импровизировать. 😅🕺 Но вышло живенько и в тайминг я уложился. 🙂 После выступления продуктивно пообщался с ребятами 1C-никами про уязвимости, откуда они берутся, о важности обновлений и т.п. Про инциденты посплетничали - куда ж без этого. 😏

В общем, понравилось. 👍 Стоит практиковать такие выходы за пределы ИБ-шной тусовки почаще. 😉

@avleonovrus #Event #INFOSTART #INFOSTART2025 #БОСПУУ

Настоящий Automated Pentest. 7 лет назад меня пригласили выступить на митапе в московском офисе израильского фонда PRYTEK.

Мероприятие проводили для продвижения ИБ-стартапа Cronus (сейчас уже дохлого 🤷‍♂️). Я рассказывал про недостатки VM-решений (во многом тезисы ещё актуальны). А спикеры от Cronus преподносили свой продукт как Automated Pentest. Видимо, по задумке организаторов я должен был начать этот продукт яростно нахваливать. Но я выдал такое:

"Да какой же это пентест, если вы не эксплуатируете никакие уязвимости, а только делаете выводы о возможных атаках на основе описания уязвимостей, информации об эксплоитах и сетевой связности! Это Breach and Attack Simulation обычный".

И в прочие недостатки решения тоже палочкой потыкал. 😇 Больше меня на мероприятия PRYTEK почему-то не звали. 😅

🟥 А вот настоящий автоматический пентест с реальной эксплуатацией уязвимостей - это PT Dephaze. И послезавтра в 14:00 этот продукт официально запустят.

@avleonovrus #PTDephaze #PositiveTechnologies #PRYTEK #Cronus