Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее. Авторка этого отчета DEBRA M. FEZZA REED 🧡🌻 (She/Her) обиделась на меня, потому что я указал на ее ошибки публично, а не в личном сообщении в одной американской соцсеточке для профессионального общения. ¯\_(ツ)_/¯
> почему вы сочли необходимым пойти сразу на публичное осмеяние, а не обратиться ко мне напрямую, в профессиональной манере, чтобы исправить эту ошибку?
Честно говоря, у меня не было мотивации делать это после того, как Qualys ушла с российского рынка и оборвала все связи. Я даже не посмотрел, кто автор этого поста. И чего так серьезно-то? Это была просто невинная шутка с моей стороны, потому что описание получилось забавное.
> Я очень много работала, чтобы создать профессиональную репутацию, основанную на добросовестности, прозрачности, ответственности и подотчетности. Восприятие — это все, и действия имеют последствия. Вопреки вашему намерению, я не интерпретирую ваш пост как "невинную шутку".
Хорошо, продолжайте обвинять меня в своей ошибке. Видимо я помешал вам перечитать пост перед его публикацией. Видимо это моя вина, что с 8 ноября 2022 года больше никто не читал этот пост (ни в Qualys, ни во вне) и не указал вам на эти ошибки. Во всем виноват рандомный парень из России, который не написал вам в личку. Как непрофессионально с моей стороны. 🙂
PS: на QSC меня теперь вряд ли когда-нибудь пригласят. 😅
@avleonovrus #qualys #microsoft #patchtuesday #funny #thoseamericans
> почему вы сочли необходимым пойти сразу на публичное осмеяние, а не обратиться ко мне напрямую, в профессиональной манере, чтобы исправить эту ошибку?
Честно говоря, у меня не было мотивации делать это после того, как Qualys ушла с российского рынка и оборвала все связи. Я даже не посмотрел, кто автор этого поста. И чего так серьезно-то? Это была просто невинная шутка с моей стороны, потому что описание получилось забавное.
> Я очень много работала, чтобы создать профессиональную репутацию, основанную на добросовестности, прозрачности, ответственности и подотчетности. Восприятие — это все, и действия имеют последствия. Вопреки вашему намерению, я не интерпретирую ваш пост как "невинную шутку".
Хорошо, продолжайте обвинять меня в своей ошибке. Видимо я помешал вам перечитать пост перед его публикацией. Видимо это моя вина, что с 8 ноября 2022 года больше никто не читал этот пост (ни в Qualys, ни во вне) и не указал вам на эти ошибки. Во всем виноват рандомный парень из России, который не написал вам в личку. Как непрофессионально с моей стороны. 🙂
PS: на QSC меня теперь вряд ли когда-нибудь пригласят. 😅
@avleonovrus #qualys #microsoft #patchtuesday #funny #thoseamericans
Telegram
Управление Уязвимостями и прочее
Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает". Уязвимость Print Spooler оказывается каким-то боком касается JScript9 scripting language. 😜
Qulays по ошибке…
Qulays по ошибке…
Ещё один пример того, что NIST и MITRE не справляются с ведением базы уязвимостей. И американским регуляторам, включая CISA, видимо наплевать.
Mozilla Foundation Security Advisory 2022-09
Announced March 5, 2022
CVE-2022-26486: Use-after-free in WebGPU IPC Framework
Эта уязвимость есть в CISA Known Exploited Vulnerabilities Catalog. Значит эта критичная уязвимость эксплуатируется в реальных атаках.
Но если вы попробуете перейти по ссылке на CVE-2022-26486, например из той же CISA KEV, на сайт на NVD, то вы увидете "CVE ID Not Found". В MITRE аналогично: "RESERVED". Статус 9 месяцев не менялся (и видимо не поменяется). Что-то где-то пошло не так.
Могли бы CISA попушить NIST, MITRE или Mozilla, чтобы с этой критичной CVE навели порядок? Запросто. Но они это не делают. Им видимо норм ссылаться в никуда.
А вот в БДУ ФСТЭК для CVE-2022-26486 видим вполне адекватное описание с CVSS и всем, что нужно. ФСТЭК молодцы. 👍
@avleonovrus #CISA #NIST #MITRE #BDU #FSTEC #Firefox #thoseamericans
Mozilla Foundation Security Advisory 2022-09
Announced March 5, 2022
CVE-2022-26486: Use-after-free in WebGPU IPC Framework
Эта уязвимость есть в CISA Known Exploited Vulnerabilities Catalog. Значит эта критичная уязвимость эксплуатируется в реальных атаках.
Но если вы попробуете перейти по ссылке на CVE-2022-26486, например из той же CISA KEV, на сайт на NVD, то вы увидете "CVE ID Not Found". В MITRE аналогично: "RESERVED". Статус 9 месяцев не менялся (и видимо не поменяется). Что-то где-то пошло не так.
Могли бы CISA попушить NIST, MITRE или Mozilla, чтобы с этой критичной CVE навели порядок? Запросто. Но они это не делают. Им видимо норм ссылаться в никуда.
А вот в БДУ ФСТЭК для CVE-2022-26486 видим вполне адекватное описание с CVSS и всем, что нужно. ФСТЭК молодцы. 👍
@avleonovrus #CISA #NIST #MITRE #BDU #FSTEC #Firefox #thoseamericans
Помните бывшего CSO из Twitter, который в августе прошлого года вывалил в паблик грязное белье компании связанное с ИБ? Аккурат во время подготовки сделки о продаже соцсетки (но так-то это, конечно, совпадение, убежденный борец за правду и whistleblower он просто не мог больше молчать 😏). Peiter "Mudge" Zatko его зовут. Так вот, вышел на новую работу. Причем в VM-ную контору, в Rapid7. Поздравляем Rapid7 с приобретением ценного сотрудника, ждем интересных подробностей теперь о Rapid7. 🙂
@avleonovrus #Twitter #Rapid7 #Mudge #thoseamericans
@avleonovrus #Twitter #Rapid7 #Mudge #thoseamericans
CVE для рекомендательного алгоритма Twitter-а. 🤡 Для какого только мусора CVEшки не заводят. Представляете, в Твиттере можно было массово заминусить автора и у него от этого репутационный скор уменьшался. Да не может быть! 😱 На NVD ещё в "UNDERGOING ANALYSIS". Даже интересно, что они в CVSS напишут и в CPE. Не удивлюсь, если как для обычного DoS. 😅 Похлеще музыкального клипа ломающего жёсткие диски.
А нормальных исследователей с реальными критичными уязвимостями мурыжат и прокатывают. И так у них всё.
@avleonovrus #fun #Twitter #CVE #Mitre #thoseamericans
А нормальных исследователей с реальными критичными уязвимостями мурыжат и прокатывают. И так у них всё.
@avleonovrus #fun #Twitter #CVE #Mitre #thoseamericans
Коллизии CVE идентификаторов. Вспомнился давнишний кейс с WinRAR. Помимо неоднозначной функциональности в WinRAR иногда находят и уязвимости. В 2021 эксперт Positive Technologies Игорь Сак-Саковский нашел RCE уязвимость в WinRAR. Она НЕ связана с открытием вредоносного архива. Дело в окне-нотификации об окончании триального периода. Если провести MiTM атаку, можно выполнять код на хосте с уязвимой версией WinRAR: "запуск приложений, получение информации о хосте и запуск калькулятора". Эксплуатация не самая простая, но уязвимость была, вендор её признал и исправил в 6.02, а PT получил для неё CVE-2021-35052.
Теперь смотрим эту CVE в NVD. EoP в Kaspersky PM?! 🙄 Номер CVE отдали ZDI! Хотя бюллетень ZDI от 29 ноября 2021, а у PT пресс-релиз вышел 26 октября 2021. То, что я имел ввиду под "мусор про Twitter заводят, а нормальных исследователей прокатывают".
PS: В БДУ это BDU:2021-05327 без CVE. По CVE-2021-35052 в БДУ ничего не ищется.
@avleonovrus #PositiveTechnologies #WinRAR #CVE #thoseamericans
Теперь смотрим эту CVE в NVD. EoP в Kaspersky PM?! 🙄 Номер CVE отдали ZDI! Хотя бюллетень ZDI от 29 ноября 2021, а у PT пресс-релиз вышел 26 октября 2021. То, что я имел ввиду под "мусор про Twitter заводят, а нормальных исследователей прокатывают".
PS: В БДУ это BDU:2021-05327 без CVE. По CVE-2021-35052 в БДУ ничего не ищется.
@avleonovrus #PositiveTechnologies #WinRAR #CVE #thoseamericans
Управление Уязвимостями и прочее
Photo
В комментах в ВК (а туда всё дублируется и вы можете там комментить) мне написали, что в последнем посте слишком много аббревиатур и непонятно даже в чём весь цимес. Видимо я слишком усушил текст, чтобы в лимиты поста с картинкой уложиться, сорри. 😅 Дело вот в чем.
1. Есть уязвимость в архиваторе WinRAR, для которой Positive Technologies предварительно получили CVE идентификатор.
2. После того как уязвимость была исправлена, Mitre Corporation (они держат реестр CVE идентификаторов и являются апстримом для National Vulnerability Database) по какой-то причине начали использовать этот ранее выданный CVE идентификатор для какой-то другой уязвимости, которая к WinRAR никак не относится.
3. Можно подумать, что случилась какая-то ошибка и Mitre завели эту уязвимость WinRAR под другим CVE идентификатором. Но нет, других уязвимостей WinRAR с похожим описанием за 2021 год и позже не наблюдается. Просто забили.
Почему так вышло? Кто его знает, Mitre нам не расскажут. Можно предположить такую логику Mitre: "вы, Positive Technologies, под санкциями, мы от вас больше уязвимости принимать не будем". В итоге сложилась ситуация, когда один и тот же CVE идентификатор CVE-2021-35052 используется для ссылки на две совершенно разные уязвимости. Коллизия. 🤷♂️
Разумеется, это очень странное и контрпродуктивное поведение со стороны Mitre. Но дело не только в них. Было несколько похожих эпизодов с западными IT-вендорами, когда PT на сообщение об уязвимости либо не отвечали, либо в acknowledgement не ставили. А, например, в случае с Citrix сначала добавили acknowledgement, потом тихонько убрали, а после публичного обсуждения вернули назад. Насколько я понимаю, такое было не только с PT, но и с Digital Security, и с другими исследовательскими компаниями под американскими санкциями.
В общем, здорово, что у нас есть национальная база уязвимостей в виде БДУ ФСТЭК, где есть, кроме прочего, и уязвимости для которых Mitre отказались по каким-то причинам идентификаторы выдавать.
@avleonovrus #PositiveTechnologies #WinRAR #CVE #thoseamericans #FSTEC #BDU
1. Есть уязвимость в архиваторе WinRAR, для которой Positive Technologies предварительно получили CVE идентификатор.
2. После того как уязвимость была исправлена, Mitre Corporation (они держат реестр CVE идентификаторов и являются апстримом для National Vulnerability Database) по какой-то причине начали использовать этот ранее выданный CVE идентификатор для какой-то другой уязвимости, которая к WinRAR никак не относится.
3. Можно подумать, что случилась какая-то ошибка и Mitre завели эту уязвимость WinRAR под другим CVE идентификатором. Но нет, других уязвимостей WinRAR с похожим описанием за 2021 год и позже не наблюдается. Просто забили.
Почему так вышло? Кто его знает, Mitre нам не расскажут. Можно предположить такую логику Mitre: "вы, Positive Technologies, под санкциями, мы от вас больше уязвимости принимать не будем". В итоге сложилась ситуация, когда один и тот же CVE идентификатор CVE-2021-35052 используется для ссылки на две совершенно разные уязвимости. Коллизия. 🤷♂️
Разумеется, это очень странное и контрпродуктивное поведение со стороны Mitre. Но дело не только в них. Было несколько похожих эпизодов с западными IT-вендорами, когда PT на сообщение об уязвимости либо не отвечали, либо в acknowledgement не ставили. А, например, в случае с Citrix сначала добавили acknowledgement, потом тихонько убрали, а после публичного обсуждения вернули назад. Насколько я понимаю, такое было не только с PT, но и с Digital Security, и с другими исследовательскими компаниями под американскими санкциями.
В общем, здорово, что у нас есть национальная база уязвимостей в виде БДУ ФСТЭК, где есть, кроме прочего, и уязвимости для которых Mitre отказались по каким-то причинам идентификаторы выдавать.
@avleonovrus #PositiveTechnologies #WinRAR #CVE #thoseamericans #FSTEC #BDU
Tenable переименовывают свои продукты. Обратно. 🤩 Отчётливо помню как это было. Например, для SecurityCenter:
"Nov 28, 2018 — Tenable SecurityCenter was renamed Tenable.sc to better reflect its position as a core element of the Tenable Cyber Exposure platform."
Прошло 5 лет и они переименовывают его обратно в Tenable Security Center (теперь с пробелом). С другими продуктами аналогично.
"May 15, 2023 — Tenable is changing its products’ names to make them more descriptive, so that it’s easier for people to understand our portfolio and the capabilities we offer."
Сразу видно, что делом люди заняты, молодцы. 🤡 Зато у Tenable наконец появился продукт Tenable Vulnerability Management. 😏
@avleonovrus #Tenable #thoseamericans #naming #fun
"Nov 28, 2018 — Tenable SecurityCenter was renamed Tenable.sc to better reflect its position as a core element of the Tenable Cyber Exposure platform."
Прошло 5 лет и они переименовывают его обратно в Tenable Security Center (теперь с пробелом). С другими продуктами аналогично.
"May 15, 2023 — Tenable is changing its products’ names to make them more descriptive, so that it’s easier for people to understand our portfolio and the capabilities we offer."
Сразу видно, что делом люди заняты, молодцы. 🤡 Зато у Tenable наконец появился продукт Tenable Vulnerability Management. 😏
@avleonovrus #Tenable #thoseamericans #naming #fun
Более 826 новых уязвимостей добавили в NVD за один день 3 мая. Картинка из сервиса CVE.icu, который визуализирует изменения NVD. Также есть выгрузка этих уязвимостей. Большую часть из них, 709, добавили ZDI. А чего это они вдруг? 🤔
В ноябре прошлого года у меня был пост, что ряд трендовых уязвимостей, которые репортили ZDI, отображаются в NVD как "CVE ID Not Found". Так вот, похоже гении из Trend Micro ZDI наконец обратили внимание на то, что их CVE-шки до NVD не доходят и решили это пофиксить таким вот массовым импортом проблемных CVEшек. 🤷♂️ При этом наглядно продемонстрировав масштаб бедствия. 🙂
Не, ну так-то лучше поздно, чем никогда. Но задержку между заведением ZDI-CAN идентификатора и появлением уязвимости в NVD теперь будет занятно посчитать. 😏 Например, для эксплуатируемой в фишинговых атаках RCE - WinRAR CVE-2023-40477 она составила 260 дней. 🤠
PS: окончательная цифра за 3 мая - 847 CVE, но не суть.
@avleonovrus #NVD #ZDI #thoseamericans #CVEicu
В ноябре прошлого года у меня был пост, что ряд трендовых уязвимостей, которые репортили ZDI, отображаются в NVD как "CVE ID Not Found". Так вот, похоже гении из Trend Micro ZDI наконец обратили внимание на то, что их CVE-шки до NVD не доходят и решили это пофиксить таким вот массовым импортом проблемных CVEшек. 🤷♂️ При этом наглядно продемонстрировав масштаб бедствия. 🙂
Не, ну так-то лучше поздно, чем никогда. Но задержку между заведением ZDI-CAN идентификатора и появлением уязвимости в NVD теперь будет занятно посчитать. 😏 Например, для эксплуатируемой в фишинговых атаках RCE - WinRAR CVE-2023-40477 она составила 260 дней. 🤠
PS: окончательная цифра за 3 мая - 847 CVE, но не суть.
@avleonovrus #NVD #ZDI #thoseamericans #CVEicu
Уточнил у автора статьи откуда именно были цитаты Tanya Brewer из NIST. Она это говорила в сессии "NVD Symposium". Эта сессия есть в программе, но её запись в канал VulnCon 2024 НЕ выложили, несмотря на "TLP:CLEAR". Такие дела. 😏
@avleonovrus #VULNCON24 #NVD #NIST #thoseamericans
@avleonovrus #VULNCON24 #NVD #NIST #thoseamericans