Первые впечатления от апрельского Microsoft Patch Tuesday. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tuesday.
Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoofing - Proxy Driver (CVE-2024-26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not disclosed any information about the vulnerability". 😅 ZDI ещё утверждает, что вживую эксплуатируется Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988), которая представляет собой обход Mark of the Web (MotW).
Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Execution - RPC (CVE-2024-20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoofing - Outlook for Windows (CVE-2024-20670). ZDI пишет, что это Information Disclosure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Execution - Windows DNS Server (CVE-2024-26221, CVE-2024-26222, CVE-2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231, CVE-2024-26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024-26221.
🔸 Remote Code Execution - Microsoft Defender for IoT (CVE-2024-21322, CVE-2024-21323, CVE-2024-29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.
Есть просто неприлично массовые фиксы:
🔹 Remote Code Execution - Microsoft OLE DB Driver for SQL Server / Microsoft WDAC OLE DB Provider for SQL Server / Microsoft WDAC SQL Server ODBC Driver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Security Feature Bypass - Secure Boot. 23 CVE!
🗒 Отчёт Vulristics
Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoofing - Proxy Driver (CVE-2024-26234) и Spoofing - Outlook for Windows (CVE-2024-20670).
@avleonovrus #Vulristics #PatchTuesday #Microsoft #ProxyDriver #Excel #RPC #Outlook #DNS #ZDI #Qualys #DefenderForIoT #OLE #SQLServer #SecureBoot
Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoofing - Proxy Driver (CVE-2024-26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not disclosed any information about the vulnerability". 😅 ZDI ещё утверждает, что вживую эксплуатируется Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988), которая представляет собой обход Mark of the Web (MotW).
Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Execution - RPC (CVE-2024-20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoofing - Outlook for Windows (CVE-2024-20670). ZDI пишет, что это Information Disclosure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Execution - Windows DNS Server (CVE-2024-26221, CVE-2024-26222, CVE-2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231, CVE-2024-26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024-26221.
🔸 Remote Code Execution - Microsoft Defender for IoT (CVE-2024-21322, CVE-2024-21323, CVE-2024-29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.
Есть просто неприлично массовые фиксы:
🔹 Remote Code Execution - Microsoft OLE DB Driver for SQL Server / Microsoft WDAC OLE DB Provider for SQL Server / Microsoft WDAC SQL Server ODBC Driver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Security Feature Bypass - Secure Boot. 23 CVE!
🗒 Отчёт Vulristics
Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoofing - Proxy Driver (CVE-2024-26234) и Spoofing - Outlook for Windows (CVE-2024-20670).
@avleonovrus #Vulristics #PatchTuesday #Microsoft #ProxyDriver #Excel #RPC #Outlook #DNS #ZDI #Qualys #DefenderForIoT #OLE #SQLServer #SecureBoot
Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab-а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.
Вся кухня сейчас выглядит вот так:
1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab-а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Analytics.
4️⃣ Собираю итоговый текст для Хабра.
В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉
@avleonovrus #PositiveTechnologies #Vulristics #JetBrains #TeamCity #Fortinet #Microsoft #втрендеVM #TrendVulns
Вся кухня сейчас выглядит вот так:
1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab-а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Analytics.
4️⃣ Собираю итоговый текст для Хабра.
В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉
@avleonovrus #PositiveTechnologies #Vulristics #JetBrains #TeamCity #Fortinet #Microsoft #втрендеVM #TrendVulns
Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday. За прошедший месяц Linux-вендоры начали выпускать исправления для рекордного количества уязвимостей - 348. Есть признаки эксплуатации вживую для 7 уязвимостей (данные об инцидентах из БДУ ФСТЭК). Ещё для 165 есть ссылка на эксплоит или признак наличия публичного/приватного эксплоита.
Начнём с 7 уязвимостей с признаком активной эксплуатации вживую и эксплоитами:
🔻 В ТОП-е, внезапно, январская трендовая уязвимость Authentication Bypass - Jenkins (CVE-2024-23897). Насколько я понимаю, обычно Linux-дистрибутивы не включают пакеты Jenkins в официальные репозитарии и, соответственно, не добавляют детекты уязвимостей Jenkins в свой OVAL-контент. В отличие от отечественного RedOS. Поэтому самый ранний таймстемп исправления этой уязвимости именно у RedOS.
🔻 2 RCE уязвимости. Самая интересная это Remote Code Execution - Exim (CVE-2023-42118). Когда я выпускал отчёт, я специально не учитывал описание уязвимости и продукты из БДУ (флаги --bdu-use-product-names-flag, --bdu-use-vulnerability-descriptions-flag). Иначе это привело бы к тому, что часть отчёта была бы на английском, а часть на русском. Но оказалось, что для этой уязвимости адекватное описание есть пока только в БДУ. 🤷♂️ К этой уязвимости нужно присмотреться, т.к. Exim является достаточно популярным почтовым сервером. Вторая RCE уязвимость браузерная, Remote Code Execution - Safari (CVE-2023-42950).
🔻 2 DoS уязвимости. Denial of Service - nghttp2/Apache HTTP Server (CVE-2024-27316) и Denial of Service - Apache Traffic Server (CVE-2024-31309). Последняя в отчёте классифицируется как Security Feature Bypass, но это из-за некорректного CWE в NVD (CWE-20 - Improper Input Validation)
🔻 2 браузерные Security Feature Bypass - Chromium (CVE-2024-2628, CVE-2024-2630)
Из уязвимостей, для которых пока есть только признак наличия эксплоита, можно обратить внимания на следующее:
🔸 Большое количество RCE уязвимостей (71). Большая часть из них в продукте gtkwave. Это программа просмотра файлов VCD (Value Change Dump, дамп изменения значения), которые обычно создаются симуляторами цифровых схем. Выглядят опасными уязвимости Remote Code Execution - Cacti (CVE-2023-49084, CVE-2023-49085), это решения для мониторинга серверов и сетевых устройств.
🔸 Security Feature Bypass - Sendmail (CVE-2023-51765). Позволяет внедрить сообщения электронной почты с поддельным адресом MAIL FROM.
🔸 Пачка Cross Site Scripting в MediaWiki, Cacti, Grafana, Nextcloud.
В общем, в этот раз аж глаза разбегаются. 🤩
🗒 Апрельский Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #BDU #FSTEC #Jenkins #RedOS #Exim #Safari #Apache #nghttp2 #ApacheTrafficServer #Chromium #gtkwave #Cacti #Sendmail #MediaWiki #Grafana #Nextcloud
Начнём с 7 уязвимостей с признаком активной эксплуатации вживую и эксплоитами:
🔻 В ТОП-е, внезапно, январская трендовая уязвимость Authentication Bypass - Jenkins (CVE-2024-23897). Насколько я понимаю, обычно Linux-дистрибутивы не включают пакеты Jenkins в официальные репозитарии и, соответственно, не добавляют детекты уязвимостей Jenkins в свой OVAL-контент. В отличие от отечественного RedOS. Поэтому самый ранний таймстемп исправления этой уязвимости именно у RedOS.
🔻 2 RCE уязвимости. Самая интересная это Remote Code Execution - Exim (CVE-2023-42118). Когда я выпускал отчёт, я специально не учитывал описание уязвимости и продукты из БДУ (флаги --bdu-use-product-names-flag, --bdu-use-vulnerability-descriptions-flag). Иначе это привело бы к тому, что часть отчёта была бы на английском, а часть на русском. Но оказалось, что для этой уязвимости адекватное описание есть пока только в БДУ. 🤷♂️ К этой уязвимости нужно присмотреться, т.к. Exim является достаточно популярным почтовым сервером. Вторая RCE уязвимость браузерная, Remote Code Execution - Safari (CVE-2023-42950).
🔻 2 DoS уязвимости. Denial of Service - nghttp2/Apache HTTP Server (CVE-2024-27316) и Denial of Service - Apache Traffic Server (CVE-2024-31309). Последняя в отчёте классифицируется как Security Feature Bypass, но это из-за некорректного CWE в NVD (CWE-20 - Improper Input Validation)
🔻 2 браузерные Security Feature Bypass - Chromium (CVE-2024-2628, CVE-2024-2630)
Из уязвимостей, для которых пока есть только признак наличия эксплоита, можно обратить внимания на следующее:
🔸 Большое количество RCE уязвимостей (71). Большая часть из них в продукте gtkwave. Это программа просмотра файлов VCD (Value Change Dump, дамп изменения значения), которые обычно создаются симуляторами цифровых схем. Выглядят опасными уязвимости Remote Code Execution - Cacti (CVE-2023-49084, CVE-2023-49085), это решения для мониторинга серверов и сетевых устройств.
🔸 Security Feature Bypass - Sendmail (CVE-2023-51765). Позволяет внедрить сообщения электронной почты с поддельным адресом MAIL FROM.
🔸 Пачка Cross Site Scripting в MediaWiki, Cacti, Grafana, Nextcloud.
В общем, в этот раз аж глаза разбегаются. 🤩
🗒 Апрельский Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #BDU #FSTEC #Jenkins #RedOS #Exim #Safari #Apache #nghttp2 #ApacheTrafficServer #Chromium #gtkwave #Cacti #Sendmail #MediaWiki #Grafana #Nextcloud
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tuesday 2023.
"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥"
И вот через 4 месяца Akamai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Windows File Explorer. 🤔
А где zero-click RCE в Outlook? Такая эксплуатация возможна вместе с EoP - Microsoft Outlook (CVE-2023-23397):
"This vulnerability can be triggered through Outlook (0-click using CVE-2023-23397)".
Впрочем, CVE-2023-23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏
По данным из БДУ ФСТЭК уязвимость CVE-2023-35628 эксплуатируется вживую (флаг vul_incident).
@avleonovrus #Vulristics #CreateRCE #Microsoft #MSHTML #Akamai #Outlook
"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥"
И вот через 4 месяца Akamai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Windows File Explorer. 🤔
А где zero-click RCE в Outlook? Такая эксплуатация возможна вместе с EoP - Microsoft Outlook (CVE-2023-23397):
"This vulnerability can be triggered through Outlook (0-click using CVE-2023-23397)".
Впрочем, CVE-2023-23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏
По данным из БДУ ФСТЭК уязвимость CVE-2023-35628 эксплуатируется вживую (флаг vul_incident).
@avleonovrus #Vulristics #CreateRCE #Microsoft #MSHTML #Akamai #Outlook
4 RCE в оборудовании HPE Aruba Networking. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS - это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.
Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.
Уязвимые продукты:
🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways
Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.
Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉
@avleonovrus #Aruba #HPE #Vulristics
Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.
Уязвимые продукты:
🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways
Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.
Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉
@avleonovrus #Aruba #HPE #Vulristics
Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.
У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):
🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.
Из остальных можно отметить:
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.
🗒 Vulristics report
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #QakBot #DWM #MoTW #SharePoint #SearchService #Excel
У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):
🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.
Из остальных можно отметить:
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.
🗒 Vulristics report
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #QakBot #DWM #MoTW #SharePoint #SearchService #Excel
Майский Linux Patch Wednesday. В прошлом месяце мы совместно решили, что стоит ввести правило по Unknown датам с мая 2024. Что я, собственно, и реализовал. Теперь, если я вижу oval definition, для которого нет даты публикации (даты появления исправлений для соответствующих уязвимостей), то я номинально присваиваю сегодняшнюю дату. Таким образом 32406 oval definition-ов без даты получили номинальную дату 2024-05-15. Можно было бы предположить, что мы получим огромный пик для уязвимостей, которые "начали исправляться в мае" исходя из номинальной даты. А как вышло на самом деле?
На самом деле пик получился не очень большой. В майском Linux Patch Wednesday 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024-05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.
Как обычно, я сгенерировал отчёт Vulristics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Linux Kernel. Это следствие того, что Linuх Kernel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.
На первом месте уязвимость из CISA KEV.
🔻Path Traversal - Openfire (CVE-2023-32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Linux дистрибутивах её не фиксили? Похоже, что нет. В Vulners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Openfire отсутствуют.
На втором месте уязвимость с признаком активной эксплуатации по AttackerKB.
🔻 Path Traversal - aiohttp (CVE-2024-23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.
По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.
🔻 Memory Corruption - nghttp2 (CVE-2024-27983)
🔻 Memory Corruption - Chromium (CVE-2024-3832, CVE-2024-3833, CVE-2024-3834, CVE-2024-4671)
🔻 Memory Corruption - FreeRDP (CVE-2024-32041, CVE-2024-32458, CVE-2024-32459, CVE-2024-32460)
🔻 Memory Corruption - Mozilla Firefox (CVE-2024-3855, CVE-2024-3856)
🔻 Security Feature Bypass - bluetooth_core_specification (CVE-2023-24023)
🔻 Security Feature Bypass - Chromium (CVE-2024-3838)
🔻 Denial of Service - HTTP/2 (CVE-2023-45288)
🔻 Denial of Service - nghttp2 (CVE-2024-28182)
🔻 Incorrect Calculation - FreeRDP (CVE-2024-32040)
Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:
🔸 Security Feature Bypass - putty (CVE-2024-31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Execution - GNU C Library (CVE-2014-9984)
🔸 Remote Code Execution - Flatpak (CVE-2024-32462)
🔸 Command Injection - aiohttp (CVE-2024-23829)
🔸 Security Feature Bypass - FreeIPA (CVE-2024-1481)
Думаю, что в качестве улучшения в отчёте Vulristics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.
🗒 Отчёт Vulristics по майскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Openfire #aiohttp #nghttp2 #Chromium #FreeRDP #Mozilla #Firefox #bluetooth #HTTP2 #putty #GNUC #Flatpak #FreeIPA
На самом деле пик получился не очень большой. В майском Linux Patch Wednesday 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024-05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.
Как обычно, я сгенерировал отчёт Vulristics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Linux Kernel. Это следствие того, что Linuх Kernel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.
На первом месте уязвимость из CISA KEV.
🔻Path Traversal - Openfire (CVE-2023-32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Linux дистрибутивах её не фиксили? Похоже, что нет. В Vulners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Openfire отсутствуют.
На втором месте уязвимость с признаком активной эксплуатации по AttackerKB.
🔻 Path Traversal - aiohttp (CVE-2024-23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.
По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.
🔻 Memory Corruption - nghttp2 (CVE-2024-27983)
🔻 Memory Corruption - Chromium (CVE-2024-3832, CVE-2024-3833, CVE-2024-3834, CVE-2024-4671)
🔻 Memory Corruption - FreeRDP (CVE-2024-32041, CVE-2024-32458, CVE-2024-32459, CVE-2024-32460)
🔻 Memory Corruption - Mozilla Firefox (CVE-2024-3855, CVE-2024-3856)
🔻 Security Feature Bypass - bluetooth_core_specification (CVE-2023-24023)
🔻 Security Feature Bypass - Chromium (CVE-2024-3838)
🔻 Denial of Service - HTTP/2 (CVE-2023-45288)
🔻 Denial of Service - nghttp2 (CVE-2024-28182)
🔻 Incorrect Calculation - FreeRDP (CVE-2024-32040)
Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:
🔸 Security Feature Bypass - putty (CVE-2024-31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Execution - GNU C Library (CVE-2014-9984)
🔸 Remote Code Execution - Flatpak (CVE-2024-32462)
🔸 Command Injection - aiohttp (CVE-2024-23829)
🔸 Security Feature Bypass - FreeIPA (CVE-2024-1481)
Думаю, что в качестве улучшения в отчёте Vulristics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.
🗒 Отчёт Vulristics по майскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Openfire #aiohttp #nghttp2 #Chromium #FreeRDP #Mozilla #Firefox #bluetooth #HTTP2 #putty #GNUC #Flatpak #FreeIPA
Июньский Microsoft Patch Tuesday. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tuesday. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
Linux Patch Wednesday: вот где этот майский пик! 🤦♂️ Также об июньском Linux Patch Wednesday. Помните, я в посте про майский Linux Patch Wednesday радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval definition-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷♂️
То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Linux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024-1086. Вот она в феврале:
Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vulristics отчёт для него только с использованием 2 источников: Vulners и БДУ. И даже из Vulners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Execution - Apache HTTP Server (CVE-2021-42013), я не буду подробно их разбирать - кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.
🗒 Отчёт Vulristics по майскому Linux Patch Wednesday (31.3 мб.)
Что касается июньского Linux Patch Wedneday, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Linux Kernel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021-47489 с NVD Published Date 05/22/2024. 🤔 Что-то странное творит CNA Linux Kernel.
🔻 С признаками эксплуатации вживую опять Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947), как и Microsoft Patch Tuesday. Судя по данным БДУ, Remote Code Execution - Libarchive (CVE-2024-26256) также активно эксплуатируется.
🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Execution - Cacti (CVE-2024-25641) и Remote Code Execution - onnx/onnx framework (CVE-2024-5187).
🗒 Отчёт Vulristics по июньскому Linux Patch Wednesday (4.4 мб.)
upd. 30.06 Обновил отчёт.
@avleonovrus #LinuxPatchWednesday #Vulristics #NVD #Linux #Cacti #onnx #Chromium #Libarchive #OVAL #Apache #БДУ #BDU #Vulners
То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Linux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024-1086. Вот она в феврале:
$ grep "CVE-2024-1086" bulletins/*
bulletins/2024-02-21.json: "CVE-2024-1086": [
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vulristics отчёт для него только с использованием 2 источников: Vulners и БДУ. И даже из Vulners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Execution - Apache HTTP Server (CVE-2021-42013), я не буду подробно их разбирать - кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.
🗒 Отчёт Vulristics по майскому Linux Patch Wednesday (31.3 мб.)
Что касается июньского Linux Patch Wedneday, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Linux Kernel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021-47489 с NVD Published Date 05/22/2024. 🤔 Что-то странное творит CNA Linux Kernel.
🔻 С признаками эксплуатации вживую опять Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947), как и Microsoft Patch Tuesday. Судя по данным БДУ, Remote Code Execution - Libarchive (CVE-2024-26256) также активно эксплуатируется.
🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Execution - Cacti (CVE-2024-25641) и Remote Code Execution - onnx/onnx framework (CVE-2024-5187).
🗒 Отчёт Vulristics по июньскому Linux Patch Wednesday (4.4 мб.)
upd. 30.06 Обновил отчёт.
@avleonovrus #LinuxPatchWednesday #Vulristics #NVD #Linux #Cacti #onnx #Chromium #Libarchive #OVAL #Apache #БДУ #BDU #Vulners
Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics. Общее количество уязвимостей снизилось с 1053 до 1040. Видимо для них стали доступны более ранние таймстемпы фиксов. Но уязвимости с признаком эксплуатации вживую и с публичным эксплоитом это не зацепило, они остались теми же.
🗒 Отчёт Vulristics по июньскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
🗒 Отчёт Vulristics по июньскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Июльский Microsoft Patch Tuesday. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tuesday.
Есть 2 уязвимости с признаком эксплуатации вживую:
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).
Из остального можно выделить:
🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077)
🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021)
🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.
🗒 Отчёт Vulristics по июльскому Microsoft Patch Tuesday
Vulristics показывает эксплоит для Spoofing - RADIUS Protocol (CVE-2024-3596) на GitHub, но на самом деле это просто утилита для детектирования.
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #HyperV #Office #TIFF #SharePoint
Есть 2 уязвимости с признаком эксплуатации вживую:
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).
Из остального можно выделить:
🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077)
🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021)
🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.
🗒 Отчёт Vulristics по июльскому Microsoft Patch Tuesday
Vulristics показывает эксплоит для Spoofing - RADIUS Protocol (CVE-2024-3596) на GitHub, но на самом деле это просто утилита для детектирования.
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #HyperV #Office #TIFF #SharePoint
Выпустил новую версию Vulristics 1.0.6.
🔹 Упростил работу с данными об эксплоитах. Теперь все Data Sources приносят эти данные в едином формате и они обрабатываются единообразно. В том числе признаки наличия эксплоита в Microsoft CVSS Temporal Vector (отношу их к приватным эксплоитам). Сначала смотрю наличие публичных эксплоитов, если их нет, то приватных эксплоитов.
🔹 Поправил багу из-за которой не получалось принудительно выставлять тип уязвимости из Custom Data Source.
🔹 При упрощённом детектировании наименования продуктов для генерённых описаний уязвимостей Microsoft описание продуктов теперь подтягивается и по alternative_names.
🔹 Исправил багу с падением Vulristics при генерации отчёта Microsoft Patch Tuesday во время поиска обзора MSPT от Qualys. Теперь падать не будет, просто отчёт Qualys не будет учитываться. Чтобы учитывался, нужно прописать ссылку в файле comments_links. Пример описания добавил в help и README.
Changelog
Непожатая картинка
@avleonovrus #Vulristics #VulristicsUpdate #Qualys
🔹 Упростил работу с данными об эксплоитах. Теперь все Data Sources приносят эти данные в едином формате и они обрабатываются единообразно. В том числе признаки наличия эксплоита в Microsoft CVSS Temporal Vector (отношу их к приватным эксплоитам). Сначала смотрю наличие публичных эксплоитов, если их нет, то приватных эксплоитов.
🔹 Поправил багу из-за которой не получалось принудительно выставлять тип уязвимости из Custom Data Source.
🔹 При упрощённом детектировании наименования продуктов для генерённых описаний уязвимостей Microsoft описание продуктов теперь подтягивается и по alternative_names.
🔹 Исправил багу с падением Vulristics при генерации отчёта Microsoft Patch Tuesday во время поиска обзора MSPT от Qualys. Теперь падать не будет, просто отчёт Qualys не будет учитываться. Чтобы учитывался, нужно прописать ссылку в файле comments_links. Пример описания добавил в help и README.
Changelog
Непожатая картинка
@avleonovrus #Vulristics #VulristicsUpdate #Qualys
Июльский Linux Patch Wednesday. Всего 705 уязвимостей, из них 498 в Linux Kernel. С признаком эксплуатации вживую уязвимостей пока нет, у 11 есть признак наличия публичного эксплоита:
🔻 В абсолютном топе RCE - OpenSSH "regreSSHion" (CVE-2024-6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE - OpenSSH (CVE-2024-6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC-и для DoS уязвимостей Suricata (CVE-2024-38536) и QEMU (CVE-2024-3567).
Согласно БДУ, существуют публичные эксплоиты для:
🔸 AuthBypass - RADIUS Protocol (CVE-2024-3596), её фиксили и в июльском MSPT
🔸 Security Feature Bypass - Exim (CVE-2024-39929) - обход блокировок по mime_filename, а также в Nextcloud (CVE-2024-22403) - вечные OAuth коды
🔸 DoS - OpenTelemetry (CVE-2023-45142)
🔸 Memory Corruption - 7-Zip (CVE-2023-52168)
🗒 Отчёт Vulristics по июльскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #regreSSHion
🔻 В абсолютном топе RCE - OpenSSH "regreSSHion" (CVE-2024-6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE - OpenSSH (CVE-2024-6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC-и для DoS уязвимостей Suricata (CVE-2024-38536) и QEMU (CVE-2024-3567).
Согласно БДУ, существуют публичные эксплоиты для:
🔸 AuthBypass - RADIUS Protocol (CVE-2024-3596), её фиксили и в июльском MSPT
🔸 Security Feature Bypass - Exim (CVE-2024-39929) - обход блокировок по mime_filename, а также в Nextcloud (CVE-2024-22403) - вечные OAuth коды
🔸 DoS - OpenTelemetry (CVE-2023-45142)
🔸 Memory Corruption - 7-Zip (CVE-2023-52168)
🗒 Отчёт Vulristics по июльскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #regreSSHion
На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого. Нашлось там место и для предложенной мной альтернативы CVSS под названием ОСОКА ("Общая Система Оценки Критичности Автоматизируемая"), а также там упоминается моя утилита для приоритизации уязвимостей Vulristics. Видимо действительно пора доводить ОСОКу от разрозненных заметок до спецификации, делать калькулятор и интегрировать её в Vulristics. 🤔
Рассматриваемые в статье методы разбиты на 3 группы:
🔹Зарубежные: CVSS, EPSS, CISA SSVC, CISA KEV, CVEShield (CVE Crowd, CVETrends), CMU SSVC, CVE Prioritizer, Vulners AI Score, Zoom VISS, SSPP
🔹 Российские: методика ФСТЭК, алгоритм НКЦКИ, трендовые уязвимости Positive Technologies, ОСОКА
🔹Проприетарные / закрытые: Coalition ESS, Tenable VPR, Qualys TruRisk, MVSF, PRIOn. Здесь же упоминаются внедряемые технологии приоритизации (VPT): Vulnera VSCORE, Outpost24 VPT, Vulcan, Ridge RidgeBot
@avleonovrus #Prioritization #ОСОКА #Vulristics #РезБез
Рассматриваемые в статье методы разбиты на 3 группы:
🔹Зарубежные: CVSS, EPSS, CISA SSVC, CISA KEV, CVEShield (CVE Crowd, CVETrends), CMU SSVC, CVE Prioritizer, Vulners AI Score, Zoom VISS, SSPP
🔹 Российские: методика ФСТЭК, алгоритм НКЦКИ, трендовые уязвимости Positive Technologies, ОСОКА
🔹Проприетарные / закрытые: Coalition ESS, Tenable VPR, Qualys TruRisk, MVSF, PRIOn. Здесь же упоминаются внедряемые технологии приоритизации (VPT): Vulnera VSCORE, Outpost24 VPT, Vulcan, Ridge RidgeBot
@avleonovrus #Prioritization #ОСОКА #Vulristics #РезБез
Выпустил новую версию Vulristics 1.0.7.
🔹 Теперь, если вы видите в отчёте эксплоиты, которые на самом деле эксплоитами не являются (а являются, например, скриптами для детектирования), вы можете исключить их из рассмотрения. Для этого создайте для CVE идентификатора custom data source (json файл) и добавьте идентификаторы эксплоитов, которые хотите исключить, в тег ignore_exploits.
🔹 Добавил возможность управлять баннером html-отчёта через ключ --result-html-label. Можно указать баннер для Linux Patch Wednesday (lpw), баннер для Microsoft Patch Tuesday (mspt) или URL произвольной картинки.
Changelog
Непожатая картинка
@avleonovrus #Vulristics #VulristicsUpdate
🔹 Теперь, если вы видите в отчёте эксплоиты, которые на самом деле эксплоитами не являются (а являются, например, скриптами для детектирования), вы можете исключить их из рассмотрения. Для этого создайте для CVE идентификатора custom data source (json файл) и добавьте идентификаторы эксплоитов, которые хотите исключить, в тег ignore_exploits.
🔹 Добавил возможность управлять баннером html-отчёта через ключ --result-html-label. Можно указать баннер для Linux Patch Wednesday (lpw), баннер для Microsoft Patch Tuesday (mspt) или URL произвольной картинки.
Changelog
Непожатая картинка
@avleonovrus #Vulristics #VulristicsUpdate
Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Августовский Linux Patch Wednesday. 658 уязвимостей. Из них 380 в Linux Kernel. Около 10 c признаками эксплуатации вживую. Можно выделить:
🔻 Уязвимости IT Asset Management системы GLPI: AuthBypass (CVE-2023-35939, CVE-2023-35940) и Code Injection (CVE-2023-35924, CVE-2023-36808, CVE-2024-27096, CVE-2024-29889). Фиксы в RedOS.
🔻 InfDisclosure - Minio (CVE-2023-28432). Старая и трендовая, но также фиксы засветились только в RedOS.
🔻 DoS - PHP (CVE-2024-2757). Если бы я учитывал бюллетени Fedora или Alpine, то эта ушла бы в более ранний LPW. 🤔 В 2DO.
Около 30 без эксплуатации вживую, но с эксплоитами. Можно выделить:
🔸 Command Injection - Apache HTTP Server (CVE-2024-40898)
🔸 AuthBypass - Apache HTTP Server (CVE-2024-40725)
🔸 AuthBypass - Neat VNC (CVE-2024-42458)
🔸 RCE - Calibre (CVE-2024-6782); да, та самая софтина для электронных книжек 🙂
🗒 Отчёт Vulristics по августовскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
🔻 Уязвимости IT Asset Management системы GLPI: AuthBypass (CVE-2023-35939, CVE-2023-35940) и Code Injection (CVE-2023-35924, CVE-2023-36808, CVE-2024-27096, CVE-2024-29889). Фиксы в RedOS.
🔻 InfDisclosure - Minio (CVE-2023-28432). Старая и трендовая, но также фиксы засветились только в RedOS.
🔻 DoS - PHP (CVE-2024-2757). Если бы я учитывал бюллетени Fedora или Alpine, то эта ушла бы в более ранний LPW. 🤔 В 2DO.
Около 30 без эксплуатации вживую, но с эксплоитами. Можно выделить:
🔸 Command Injection - Apache HTTP Server (CVE-2024-40898)
🔸 AuthBypass - Apache HTTP Server (CVE-2024-40725)
🔸 AuthBypass - Neat VNC (CVE-2024-42458)
🔸 RCE - Calibre (CVE-2024-6782); да, та самая софтина для электронных книжек 🙂
🗒 Отчёт Vulristics по августовскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Выпустил новую версию Vulristics 1.0.8 с небольшими улучшениями юзабилити. Люблю, когда прилетают pull-реквесты в мои опенсурсные проекты. 😊 В этот раз пришла помощь от пользователя dvppvd:
🔹 Установлены отступы (padding) в css таблице, чтобы сделать html отчет более читабельным.
🔹 При запуске утилиты без параметров показывается справка и примеры запуска утилиты для анализа Microsoft Patch Tuesday уязвимостей за определённый год и месяц, либо для анализа произвольного набора CVEшек.
🔹 Добавлены отступы для текстового баннера.
В TODO для следующих релизов:
🔸 Поддержать CVSS 4 для тех data sources, где это актуально.
🔸 Разработать автоматические тесты, проверяющие работу утилиты для известных CVE-идентификаторов.
🔸 Реализовать data source для GitHub репозитория CVEProject, чтобы массово анализировать CVE-идентификаторы (по аналогии с data source для БДУ ФСТЭК).
Если хотите поучаствовать, присоединяйтесь к AVLEONOV Start. 😉
Changelog
@avleonovrus #Vulristics #VulristicsUpdate
🔹 Установлены отступы (padding) в css таблице, чтобы сделать html отчет более читабельным.
🔹 При запуске утилиты без параметров показывается справка и примеры запуска утилиты для анализа Microsoft Patch Tuesday уязвимостей за определённый год и месяц, либо для анализа произвольного набора CVEшек.
🔹 Добавлены отступы для текстового баннера.
В TODO для следующих релизов:
🔸 Поддержать CVSS 4 для тех data sources, где это актуально.
🔸 Разработать автоматические тесты, проверяющие работу утилиты для известных CVE-идентификаторов.
🔸 Реализовать data source для GitHub репозитория CVEProject, чтобы массово анализировать CVE-идентификаторы (по аналогии с data source для БДУ ФСТЭК).
Если хотите поучаствовать, присоединяйтесь к AVLEONOV Start. 😉
Changelog
@avleonovrus #Vulristics #VulristicsUpdate
Сентябрьский Microsoft Patch Tuesday. 107 CVE, из которых 28 были добавлены с августовского MSPT. 6 уязвимостей с признаками эксплуатации вживую:
🔻 Remote Code Execution - Windows Update (CVE-2024-43491)
🔻 Elevation of Privilege - Windows Installer (CVE-2024-38014)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38217), Microsoft Publisher (CVE-2024-38226), Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
Без признаков эксплуатации, но с приватными эксплоитами:
🔸 Authentication Bypass - Azure (CVE-2024-38175)
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-43487)
🔸 Elevation of Privilege - Windows Storage (CVE-2024-38248)
Остальное интересное:
🔹 Remote Code Execution - Microsoft SQL Server (CVE-2024-37335 и ещё 5 CVE)
🔹 Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Elevation of Privilege - Windows Win32k (CVE-2024-38246, CVE-2024-38252, CVE-2024-38253)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 Remote Code Execution - Windows Update (CVE-2024-43491)
🔻 Elevation of Privilege - Windows Installer (CVE-2024-38014)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38217), Microsoft Publisher (CVE-2024-38226), Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
Без признаков эксплуатации, но с приватными эксплоитами:
🔸 Authentication Bypass - Azure (CVE-2024-38175)
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-43487)
🔸 Elevation of Privilege - Windows Storage (CVE-2024-38248)
Остальное интересное:
🔹 Remote Code Execution - Microsoft SQL Server (CVE-2024-37335 и ещё 5 CVE)
🔹 Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Elevation of Privilege - Windows Win32k (CVE-2024-38246, CVE-2024-38252, CVE-2024-38253)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Сентябрьский Linux Patch Wednesday. 460 уязвимостей. Из них 279 в Linux Kernel.
2 уязвимости c признаками эксплуатации вживую, но без публичных эксплоитов:
🔻 Security Feature Bypass - Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
29 уязвимостей без признака эксплуатации вживую, но со ссылкой на публичный эксплоит или признаком его наличия. Можно выделить:
🔸 Remote Code Execution - pgAdmin (CVE-2024-2044), SPIP (CVE-2024-7954), InVesalius (CVE-2024-42845)
🔸 Command Injection - SPIP (CVE-2024-8517)
Среди них уязвимости 2023 года, пофикшенные в репах только сейчас (в RedOS):
🔸 Remote Code Execution - webmin (CVE-2023-38303)
🔸 Code Injection - webmin (CVE-2023-38306, CVE-2023-38308)
🔸 Information Disclosure - KeePass (CVE-2023-24055)
Проблему с явно виндовыми уязвимостями RedOS больше НЕ наблюдаю. 👍 Upd. Зато Debian принёс уязвимости "Google Chrome on Windows". 😣
🗒 Отчёт Vulristics по сентябрьскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
2 уязвимости c признаками эксплуатации вживую, но без публичных эксплоитов:
🔻 Security Feature Bypass - Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
29 уязвимостей без признака эксплуатации вживую, но со ссылкой на публичный эксплоит или признаком его наличия. Можно выделить:
🔸 Remote Code Execution - pgAdmin (CVE-2024-2044), SPIP (CVE-2024-7954), InVesalius (CVE-2024-42845)
🔸 Command Injection - SPIP (CVE-2024-8517)
Среди них уязвимости 2023 года, пофикшенные в репах только сейчас (в RedOS):
🔸 Remote Code Execution - webmin (CVE-2023-38303)
🔸 Code Injection - webmin (CVE-2023-38306, CVE-2023-38308)
🔸 Information Disclosure - KeePass (CVE-2023-24055)
Проблему с явно виндовыми уязвимостями RedOS больше НЕ наблюдаю. 👍 Upd. Зато Debian принёс уязвимости "Google Chrome on Windows". 😣
🗒 Отчёт Vulristics по сентябрьскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux