Привет!

Я - Влад, основатель компании ScanFactory. В прошлом я был руководителем отдела пентестеров Positive Technologies, работал Principle Security Consultant в Сингапуре, выступал на BlackHat USA, а 2 года назад основал компанию ScanFactory. Мы делаем лучшее в России решение по мониторингу внешнего периметра.

На этом канале я рассказываю, как развивается платформа. Если тебе интересно следить за развитием проекта - подписывайся.

———

ScanFactory - это решение по анализу защищённости внешнего периметра компаний.
Платформа проводит регулярное сканирование с помощью 19 самых популярных в мире сканеров безопасности; а затем наши специалисты вручную приоритизируют результаты.

https://scan-factory.ru/

Добрый вечер!

Газета Известия сегодня опубликовала наш масштабный рисёрч про перехваты поддоменов.

Подробнее про исследование и про баг читайте у них на сайте - написано легко, как раз подходит для воскресного вечера)

@scanfactory

Рассказал, как мы нашли на периметре пароль доменного админа в открытом виде, в компании с оборотом в 10 ярдов рублей)

https://www.anti-malware.ru/analytics/Technology_Analysis/EASM-in-Russia

@scanfactory

Александр Леонов (ведущий аналитик ИБ в Тинькофф) написал обзор на российские решения по мониторингу периметра

С большим удовольствием делаю репост из его тг-канала:

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Непосредственно тестил Metascan и СКАНФЭКТОРИ. Решения идеологически разные, но вполне рабочие и команды очень адекватные. 👍

Предыдущая картинка по СДУИ.

@avleonovrus #Metascan #ScanFactory #GroupIB #BiZone #CPT #ASM #VMmap

Пользуетесь Defect Dojo в качестве VM-а?

Теперь вы можете настроить автоматическую выгрузку уязвимостей из ScanFactory в ваш Defect Dojo

Инструкция по установке

@scanfactory

🔥 Опубликован эксплоит: RCE без авторизации в форуме vBulletin (CVSS: 9.8)

Согласно Netlas, в России на данный момент существует ~1000 уязвимых серверов, которые будут атакованы злоумышленниками в самое ближайшее время

Если у вас в инфраструктуре используется vBulletin — срочно проверяйте его версию и обновляйте ПО

Если вы клиент ScanFactory - ваш периметр уже был автоматически просканирован на эту уязвимость

Ссылка на исследование

@scanfactory

8 минут назад вышла новость - взломали интегратора 1С - 1cbit.ru. Требуют выкуп 5 BTC до 28.04.2023

Судя архивной копии сайта, эта компания работает на 9 стран, у них 300 000+ успешных внедрений 1С, и "7000+ специалистов"

Описание компании 1сbit.ru на сайте 1c.ru

Подробнее - в посте хакеров

@scanfactory

Взломали sk.ru (Сколково). Сейчас домен sk.ru недоступен. Слили всё что можно, пошифровали всё что можно. Ссылку на пост хакеров с пруфами приводить не буду, чтобы не распространять утечку.

Эта история печальна лично для меня, потому что ещё в январе 2023 мы пытались сдать коллегам RCE на периметре, искали контакт ИБшников, но ответа не дождались.

Коллегам - скорейшего восстановления!

@scanfactory

Час назад опубликовали скрипт для быстрой проверки уязвимости RCE в Citrix-е (CVE-2023-3519):

https://github.com/securekomodo/citrixInspector

Шаблон для nuclei: https://github.com/projectdiscovery/nuclei-templates/pull/7734/files

Проверьте свои ресурсы - ещё есть время просканировать и запатчиться, пока не выложили эксплоит

С большим удовольствием делаю репост из канала Александра Леонова (главный российский блоггер по Vulnerability Management-у)

ScanFactory проведут вебинар 27 сентября. Это один из топовых российских сервисов для сканирования периметра на уязвимости, т.е. EASM или СДУСП.

Обещают рассказать:

🔻 Какие сканеры они поддерживают (их фишка это использование и объединение результатов из множества готовых движков, включая, кстати, Nessus и BurpSuite 😉)
🔻 Как они делают ручную верификацию уязвимостей (в рамках доп. сервиса)
🔻 Как у них работают нотификации в телеграмм
🔻 Какие критические уязвимости они находили у клиентов
🔻 Как они планируют развивать продукт до 2025 года

Рассказывать будет основатель ScanFactory Владимир Иванов. Крутой парень, знаком с ним. Он тоже бывший PT-шник, был тимлидом пентестеров. Вебинар собираюсь заслушать. Тех, кто темой периметрового сканирования интересуется, тоже приглашаю зарегаться.

@avleonovrus #ScanFactory #EASM #webinar

Уязвимость в Juniper, которые вендор отметил как "Medium", оказалась "Critical"

Предыстория: 28 августа эксплоит впервые опубликовала компания watchtowr. Массовая атака устройств была затруднена тем, что созданный эксплоит работал не на всех системах.
18 сентября (вчера) опубликовали универсальный 1-line RCE без авторизации для атаки этих устройств, с помощью 1 команды curl:

curl -ik "https://IP/" -F $'auto_prepend_file="/etc/passwd\n"' -F 'PHPRC=/dev/fd/0' --ciphers DEFAULT@SECLEVEL=1

По оценкам shodan и netlas, на Российских IP публично-доступны ~300 единиц этого оборудования (и ~18000 единиц всего в мире). По оценкам автора статьи, ~80% устройств в мире остаются не запатчены.

Рекомендуется обновить устройства, или отключить публичный доступ к этому веб-интерфейсу.

@scanfactory CVE-2023-36844 #juniper

А вот как выглядят атаки на цепочку поставок

Сегодня опубликовали PoC на JetBrains TeamCity < 2023.05.4 - Remote Code Execution. Подтверждаем, что эксплоит рабочий. В РФ замечено ~300 хостов (и ~4000 хостов в мире). С момента публикации CVE до публикации эксплоита прошло 9 дней.
В первую очередь пострадают компании по ИТ-аутсорсу, тк как правило они размещают системы хранения кода на периметре, и редко их обновляют.

Если у вас используется TeamCity - обновляйтесь до версии 2023.05.4

@scanfactory CVE-2023-42793 #jetbrains #teamcity

3 часа назад выложили nuclei template для RCE в Confluence (CVSS: 10.0)

Уязвимы версии 8.0.*-8.5.3

PoC: https://github.com/projectdiscovery/nuclei-templates/pull/8982/files
Блог: https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/

PS: Видим, что один российский иб-вендор не успел запатчиться... Год будет жаркий

@scanfactory #confluence CVE-2023-22527

ScanFactory VM – новое поколение платформ управления уязвимостями для российского рынка.

После ухода ведущих западных поставщиков класса VM, на российском рынке отсутствовало зрелое и удобное решение, которое бы закрыло потребности заказчиков в инструментарии управления уязвимостями.

ScanFactory VM - первая в России платформа, которая объединяет возможности ведущих сканеров уязвимостей в рамках "одного окна", обеспечивая полный охват внутренней инфраструктуры и внешнего периметра специализированными инструментами.

Что делает ScanFactory VM уникальной?

1. Использование баз данных уязвимостей сразу нескольких вендоров обеспечивает максимальный уровень покрытия уязвимостей на российском рынке.
2. "Единое окно" для управления уязвимостями внутренней инфраструктуры и внешнего периметра.
3. Двусторонняя интеграция с SGRC SECURITM – готовое решение для автоматизации VM-процессов.
4. Установка On-Premise, обновления каждые 12 часов.
5. Установка на Российские ОС.

Присоединяйтесь к нашему вебинару, и вы увидите, как «в пару кликов» построить процесс VM, который будет работать с минимальным участием отдела ИБ.

📅 31 октября 16:00
➡️ Зарегистрироваться

PS: Чтобы получить PDF с описанием On-Premise архитектуры продукта ДО вебинара, напишите с рабочей почты на info@sf-cloud.ru

ScanFactory: преображение из EASM-а в Vulnerability Management решение. Примерно год назад смотрел вебинар ScanFactory на котором Владимир Иванов, среди прочего, рассказывал про возможность on-prem установки EASM решения. Я тогда предположил, что это может быть первым шагом к сканированию внутренней инфры BlackBox-ом.

Угадал. 🙂 Сейчас ScanFactory как раз это и презентуют. Причём в большем объеме. Будет не только BlackBox, а полноценный VM со сканированием активов с аутентификацией.

❓ Почему именно ScanFactory первым из российских EASM вендоров делает переход в сторону VM-а?

➡️ Решение исторически развивается как оркестратор над множеством (19) готовых сканирующих движков. Как опенсурсных, так и коммерческих. За сканирование с аутентификацией будет отвечать лицензированный движок (и контент) коммерческого сканера уязвимостей на букву N. 😉 Что снимает вопросы по функциональным возможностям. 😏

Подробности о ScanFactory VM можно будет узнать на вебинаре 31 октября.

@avleonovrus #ScanFactory #ScanFactoryVM