Наполнение и обогащение базы уязвимостей R-Vision VM. Продолжу накидывать по итогам вебинара.
🤔 При принятии решения о том, какие детекты уязвимостей добавлять, "пляшут" от продуктов, используемых у заказчиков, трендовых уязвимостей и уязвимостей периметра.
👁🗨 При формировании базы используют как открытые источники (такие как NVD и БДУ), так и закрытые - технические партнёрства и платные базы (в т.ч. по уязвимостям ушедших вендоров, таким как SAP). Состояние источников отслеживается. Правила детектирования старых уязвимостей не исключают (даже для EOL-продуктов).
📶 Добавление нового фида может быть итеративным: сначала детекты уязвимостей, потом описание, how to fix и т.п.
💎 Информация по уязвимостям обогащается: CVSS, EPSS, наличие эксплоитов (без ссылок), трендовость, рекомендации по устранению, русификация.
🪛 Периодически требуется правка правил детектирования со стороны R-Vision ("патчинг уязвимостей").
⏱️ Обновляют базу уязвимостей раз в сутки (будут быстрее).
@avleonovrus #RVision #RVisionVM
🤔 При принятии решения о том, какие детекты уязвимостей добавлять, "пляшут" от продуктов, используемых у заказчиков, трендовых уязвимостей и уязвимостей периметра.
👁🗨 При формировании базы используют как открытые источники (такие как NVD и БДУ), так и закрытые - технические партнёрства и платные базы (в т.ч. по уязвимостям ушедших вендоров, таким как SAP). Состояние источников отслеживается. Правила детектирования старых уязвимостей не исключают (даже для EOL-продуктов).
📶 Добавление нового фида может быть итеративным: сначала детекты уязвимостей, потом описание, how to fix и т.п.
💎 Информация по уязвимостям обогащается: CVSS, EPSS, наличие эксплоитов (без ссылок), трендовость, рекомендации по устранению, русификация.
🪛 Периодически требуется правка правил детектирования со стороны R-Vision ("патчинг уязвимостей").
⏱️ Обновляют базу уязвимостей раз в сутки (будут быстрее).
@avleonovrus #RVision #RVisionVM
Вчера прочитал свою третью и заключительную лекцию "Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками" в рамках магистерской программы ИТМО.
🇷🇺 Начали с разбора руководства ФСТЭК по организации процесса управления уязвимостями в органе (организации). Рассмотрели структуру, роли участников и операции. Затем перешли к методике оценки уровня критичности уязвимостей ФСТЭК (версия этого года). Подробно разобрали, как рассчитывается уровень и как он определяет сроки устранения уязвимостей. По устранению рассмотрели рекомендательный алгоритм НКЦКИ и методику тестирования обновлений ФСТЭК. Коснулись методики оценки показателя защищённости ФСТЭК и требований по управлению уязвимостями в 117 приказе ФСТЭК.
🌎 Международные best practices рассмотрели на основе PCI DSS 4.0.1. Упомянул и руководство NCSC.
👻 Закончил рассказом о реалиях VM-процесса на основе БОСПУУ и о методах саботажа со стороны IT [1, 2].
@avleonovrus #Education #PositiveTechnologies #ITMO #VMprocess
🇷🇺 Начали с разбора руководства ФСТЭК по организации процесса управления уязвимостями в органе (организации). Рассмотрели структуру, роли участников и операции. Затем перешли к методике оценки уровня критичности уязвимостей ФСТЭК (версия этого года). Подробно разобрали, как рассчитывается уровень и как он определяет сроки устранения уязвимостей. По устранению рассмотрели рекомендательный алгоритм НКЦКИ и методику тестирования обновлений ФСТЭК. Коснулись методики оценки показателя защищённости ФСТЭК и требований по управлению уязвимостями в 117 приказе ФСТЭК.
🌎 Международные best practices рассмотрели на основе PCI DSS 4.0.1. Упомянул и руководство NCSC.
👻 Закончил рассказом о реалиях VM-процесса на основе БОСПУУ и о методах саботажа со стороны IT [1, 2].
@avleonovrus #Education #PositiveTechnologies #ITMO #VMprocess
Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов. Завершаю накидывать по итогам вебинара.
🔬 Качество детектирования уязвимостей проверяют на 700+ стендах. С конкурентами сравниваются (упомянули Nessus, Rapid7 Nexpose). Есть дежурные, которые отрабатывают по false positive ошибкам.
🌐 Покрытие базы уязвимостей можно посмотреть на публичном портале, обновляемом раз в 2 недели.
👂 В новой версии R-Vision VM можно будет искать по базе уязвимостей.
Развитием базы уязвимостей занимается 4 группы специалистов:
👷♂️ Инженеры - занимаются развитием исследовательской лаборатории.
🧪 Аналитики и Исследователи - разбирают эксплоиты и логику детектирования. Аналитики фокусируются на режиме Аудит, а Исследователи на режиме Пентест.
👨💻 Разработчики - занимаются разработкой движка детектов.
Общее число специалистов около 30.
Бонус: несколько моментов из QA сессии
@avleonovrus #RVision #RVisionVM
🔬 Качество детектирования уязвимостей проверяют на 700+ стендах. С конкурентами сравниваются (упомянули Nessus, Rapid7 Nexpose). Есть дежурные, которые отрабатывают по false positive ошибкам.
🌐 Покрытие базы уязвимостей можно посмотреть на публичном портале, обновляемом раз в 2 недели.
👂 В новой версии R-Vision VM можно будет искать по базе уязвимостей.
Развитием базы уязвимостей занимается 4 группы специалистов:
👷♂️ Инженеры - занимаются развитием исследовательской лаборатории.
🧪 Аналитики и Исследователи - разбирают эксплоиты и логику детектирования. Аналитики фокусируются на режиме Аудит, а Исследователи на режиме Пентест.
👨💻 Разработчики - занимаются разработкой движка детектов.
Общее число специалистов около 30.
Бонус: несколько моментов из QA сессии
@avleonovrus #RVision #RVisionVM
Октябрьский Linux Patch Wednesday. В октябре Linux вендоры начали устранять 801 уязвимость, чуть больше, чем в сентябре. Из них 546 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:
🔻 EoP - VMware Tools (CVE-2025-41244). Уязвимость эксплуатируется с октября 2024 года и для неё доступны публичные эксплоиты. Согласно описанию, для эксплуатации требуется VMware Aria Operations.
Ещё для 39 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:
🔸 RCE - Redis (CVE-2025-49844 - RediShell, CVE-2025-46817), OpenSSH (CVE-2025-61984), 7-Zip (CVE-2025-11001, CVE-2025-11002)
🔸 EoP - FreeIPA (CVE-2025-7493), Asterisk (CVE-2025-1131)
🔸 SQLi - MapServer (CVE-2025-59431)
🔸 SFB - authlib (CVE-2025-59420)
🔸 MemCor - Binutils (CVE-2025-11082 и ещё 7), Open Babel (CVE-2025-10995 и ещё 6)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #VMware #Redis #RediShell #OpenSSH #7Zip #FreeIPA #Asterisk #MapServer #Binutils #OpenBabel
🔻 EoP - VMware Tools (CVE-2025-41244). Уязвимость эксплуатируется с октября 2024 года и для неё доступны публичные эксплоиты. Согласно описанию, для эксплуатации требуется VMware Aria Operations.
Ещё для 39 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:
🔸 RCE - Redis (CVE-2025-49844 - RediShell, CVE-2025-46817), OpenSSH (CVE-2025-61984), 7-Zip (CVE-2025-11001, CVE-2025-11002)
🔸 EoP - FreeIPA (CVE-2025-7493), Asterisk (CVE-2025-1131)
🔸 SQLi - MapServer (CVE-2025-59431)
🔸 SFB - authlib (CVE-2025-59420)
🔸 MemCor - Binutils (CVE-2025-11082 и ещё 7), Open Babel (CVE-2025-10995 и ещё 6)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #VMware #Redis #RediShell #OpenSSH #7Zip #FreeIPA #Asterisk #MapServer #Binutils #OpenBabel
Обратил внимание на оценки параметра TTE (Time-to-Exploit) для уязвимостей в свежем пресс-релизе BIZONE и Сбера.
Утверждается, что:
🔻 "За последние 2,5 года показатель Time-to-Exploit стал равен менее 40 дней"
🔻 "За последние пять лет Time-to-Exploit сократился в 20 раз"
🔻 "Более 60% уязвимостей хакеры начинают эксплуатировать в течение первых дней после публикации, а иногда и после нескольких часов"
Учитывая, что сейчас добавляется более 40к+ новых CVE в год и для большей части из них эксплоиты не появляются никогда, эти утверждения должны касаться не всех уязвимостей, а некоторой выборки. 😉
Поэтому я уточнил у коллег из SBER X-TI методику расчёта.
Для всех уязвимостей брали:
👾 De - дату начала эксплуатации в атаках из CISA KEV и собственной аналитики
📰 Dp - дату публикации из MITRE
Считали TTE = De - Dp
При расчёте среднего TTE учитывали только CVE, попадающие под фильтры:
🔍 рассматриваемый год содержится в CVE-ID
✂️ TTE <= 365
✂️ Год De >= Год Dp
@avleonovrus #BIZONE #Sber #TTE
Утверждается, что:
🔻 "За последние 2,5 года показатель Time-to-Exploit стал равен менее 40 дней"
🔻 "За последние пять лет Time-to-Exploit сократился в 20 раз"
🔻 "Более 60% уязвимостей хакеры начинают эксплуатировать в течение первых дней после публикации, а иногда и после нескольких часов"
Учитывая, что сейчас добавляется более 40к+ новых CVE в год и для большей части из них эксплоиты не появляются никогда, эти утверждения должны касаться не всех уязвимостей, а некоторой выборки. 😉
Поэтому я уточнил у коллег из SBER X-TI методику расчёта.
Для всех уязвимостей брали:
👾 De - дату начала эксплуатации в атаках из CISA KEV и собственной аналитики
📰 Dp - дату публикации из MITRE
Считали TTE = De - Dp
При расчёте среднего TTE учитывали только CVE, попадающие под фильтры:
🔍 рассматриваемый год содержится в CVE-ID
✂️ TTE <= 365
✂️ Год De >= Год Dp
@avleonovrus #BIZONE #Sber #TTE
Интересным образом развивается кейс с компрометацией американского IT/ИБ-вендора F5. Раньше недопустимыми при атаке на вендора считались события, дающие злоумышленнику непосредственный доступ в инфраструктуру клиентов. Например, через добавление зловредной функциональности в дистрибутивы или обновления продуктов.
В данном случае, несмотря на длительное присутствие атакующих в инфраструктуре F5 (почти 2 года!), об этом пока не сообщают. 😏 Зато на Западе наконец-то обратили внимание на то, что раньше не считалось особенно критичным: злоумышленники получили доступ к открытым задачам на устранение уязвимостей в продуктах F5, наверняка вместе с PoC-ами. 🤦♂️🎰 Злодеи, безусловно, используют эту информацию по зиродеям в атаках на инсталляции F5 по всему миру (269 тысяч IP-адресов!). 😱🤷♂️
Конечно, F5 выпустили экстренные патчи для 44 уязвимостей, но, наверняка, исправили далеко не всё. К тому же, злоумышленники получили доступ и к исходному коду F5, что облегчит им поиск новых уязвимостей. 😉
@avleonovrus #F5
В данном случае, несмотря на длительное присутствие атакующих в инфраструктуре F5 (почти 2 года!), об этом пока не сообщают. 😏 Зато на Западе наконец-то обратили внимание на то, что раньше не считалось особенно критичным: злоумышленники получили доступ к открытым задачам на устранение уязвимостей в продуктах F5, наверняка вместе с PoC-ами. 🤦♂️🎰 Злодеи, безусловно, используют эту информацию по зиродеям в атаках на инсталляции F5 по всему миру (269 тысяч IP-адресов!). 😱🤷♂️
Конечно, F5 выпустили экстренные патчи для 44 уязвимостей, но, наверняка, исправили далеко не всё. К тому же, злоумышленники получили доступ и к исходному коду F5, что облегчит им поиск новых уязвимостей. 😉
@avleonovrus #F5
По поводу сообщений об утечках данных отечественных компаний и организаций. В том числе и о сегодняшней бредовой якобы утечке из MAX. 🤦♂️ У меня подход универсальный:
1. Пока утечка НЕ ПОДТВЕРЖДЕНА официально (здесь и далее: самой компанией, регуляторами или правоохранительными органами), я считаю эту информацию ЦИПСОшным фейком. Тех, кто злорадно распространяет такую неподтверждённую информацию как истину в последней инстанции, я считаю ЦИПСОшными пособниками, заслуживающими, как минимум, порицания. 👎🤬 Дел с ними стараюсь не иметь.
2. Если есть официальное ОПРОВЕРЖЕНИЕ утечки, я ему верю и считаю тему закрытой. Как по сегодняшнему кейсу с MAX-ом [1,2].
3. Если есть официальное ПОДТВЕРЖДЕНИЕ утечки, это, безусловно, печально. 😔 Необходимо разбираться в причинах и продвигать меры, чтобы такое не повторялось. Злодеи должны быть найдены и наказаны. Это лишнее напоминание о необходимости наращивать оборонительный и наступательный киберпотенциал, потому что враг не дремлет.
@avleonovrus #fake #MAXmessenger
1. Пока утечка НЕ ПОДТВЕРЖДЕНА официально (здесь и далее: самой компанией, регуляторами или правоохранительными органами), я считаю эту информацию ЦИПСОшным фейком. Тех, кто злорадно распространяет такую неподтверждённую информацию как истину в последней инстанции, я считаю ЦИПСОшными пособниками, заслуживающими, как минимум, порицания. 👎🤬 Дел с ними стараюсь не иметь.
2. Если есть официальное ОПРОВЕРЖЕНИЕ утечки, я ему верю и считаю тему закрытой. Как по сегодняшнему кейсу с MAX-ом [1,2].
3. Если есть официальное ПОДТВЕРЖДЕНИЕ утечки, это, безусловно, печально. 😔 Необходимо разбираться в причинах и продвигать меры, чтобы такое не повторялось. Злодеи должны быть найдены и наказаны. Это лишнее напоминание о необходимости наращивать оборонительный и наступательный киберпотенциал, потому что враг не дремлет.
@avleonovrus #fake #MAXmessenger
От детектирования уязвимостей к валидации экспозиций. На прошлой неделе Qualys представили новую функциональность TruConfirm класса Automated Exposure Validation. Их платформа Qualys ETM позволяет производить оценку критичности и приоритизацию уязвимостей в инфраструктуре. Причём уязвимости не обязательно должны быть продетектированы с помощью Qualys (на скриншоте в источниках уязвимостей видны Nessus и MS Defender for Endpoint). Независимо от способа детектирования, TruConfirm может определить является ли уязвимость (в широком смысле слова - экспозиция) эксплуатабельной на конкретном хосте. Если эксплуатабельность подтверждается, это является фактором приоритизации. Если нет, Qualys обещает показывать какие именно СЗИ блокируют эксплуатацию.
Технически эта функциональность работает через выполнение safecheck-ов на основе эксплоитов. Пока непонятно, это только "пентестовые" сейфчеки или эксплуатабельность EoP на хосте тоже могут проверить. 🤔 Но заход интересный. 👍
@avleonovrus #Qualys #QualysETM #TruConfirm
Технически эта функциональность работает через выполнение safecheck-ов на основе эксплоитов. Пока непонятно, это только "пентестовые" сейфчеки или эксплуатабельность EoP на хосте тоже могут проверить. 🤔 Но заход интересный. 👍
@avleonovrus #Qualys #QualysETM #TruConfirm
А есть ли инновация в Qualys TruConfirm? По поводу этой функциональности можно сказать: "Ну и что? Это ж просто переупакованные детекты сейфчеками! Им же 100 лет в обед! Чем это отличается от Nmap-плагинов или шаблонов Nuclei?!"
И действительно, если соглашаться с Qualys-ами, что "TruConfirm - это прорыв" (в посте "Game Changer"), то в основном маркетинговый. Впервые за долгое время лидирующий мировой VM-вендор обратил внимание на ключевую функциональность своего продукта - качественное детектирование уязвимостей. 😏
И, как по мне, это здорово. Давно пора нести в массы идею: детекты уязвимостей различаются по принципам работы, достоверности и информативности вывода.
Качественные детекты на базе эксплоитов делать сложно и дорого. Не грех это всячески подчёркивать и придумывать способы получения дополнительного финансирования для развития этой функциональности в VM-продукте. В том числе через переупаковку в премиальную фичу аналогичную Qualys TruConfirm. 😉
@avleonovrus #Qualys #QualysETM #TruConfirm
И действительно, если соглашаться с Qualys-ами, что "TruConfirm - это прорыв" (в посте "Game Changer"), то в основном маркетинговый. Впервые за долгое время лидирующий мировой VM-вендор обратил внимание на ключевую функциональность своего продукта - качественное детектирование уязвимостей. 😏
И, как по мне, это здорово. Давно пора нести в массы идею: детекты уязвимостей различаются по принципам работы, достоверности и информативности вывода.
Качественные детекты на базе эксплоитов делать сложно и дорого. Не грех это всячески подчёркивать и придумывать способы получения дополнительного финансирования для развития этой функциональности в VM-продукте. В том числе через переупаковку в премиальную фичу аналогичную Qualys TruConfirm. 😉
@avleonovrus #Qualys #QualysETM #TruConfirm
Думают люди в Ленинграде и Риме, что инсайдер, внедряющий бэкдор в ваш продукт, - это то, что бывает с другими. 😈 Сегодня в чате поддержки VM-вендора Metascan появилось официальное уведомление об инциденте с разработчиком, находящимся на испытательном сроке. Этому разработчику удалось закоммитить в рабочий проект зловредный код, но до продакшена этот код не дошёл - успели выявить.
Потом, в ходе расследования, выяснилось, что этот разраб ещё и исходники конкурентам сливал. А если бы не засветился с бэкдором, может, и не заметили бы. 🤔
К расследованию подключили компьютерных криминалистов из Лаборатории Касперского. Пишут, что данные клиентов и другие "административные данные" не утекли. Про дальнейшую судьбу злодея не пишут, но, подозреваю, что испытательный срок он не прошёл. 😅
Мораль? Вы своим дорогим коллегам доверяйте, но и контролируйте их. Особенно привилегированных. И не только разработчиков. 😉
@avleonovrus #Metascan #insider
Потом, в ходе расследования, выяснилось, что этот разраб ещё и исходники конкурентам сливал. А если бы не засветился с бэкдором, может, и не заметили бы. 🤔
К расследованию подключили компьютерных криминалистов из Лаборатории Касперского. Пишут, что данные клиентов и другие "административные данные" не утекли. Про дальнейшую судьбу злодея не пишут, но, подозреваю, что испытательный срок он не прошёл. 😅
Мораль? Вы своим дорогим коллегам доверяйте, но и контролируйте их. Особенно привилегированных. И не только разработчиков. 😉
@avleonovrus #Metascan #insider
В связи с кейсом F5 не могу в очередной раз не порадоваться, что Россию он задевает "по касательной". Если во всём мире наблюдается около 269 000 инсталляций продуктов F5, доступных из Интернет, из которых больше половины находятся в США, то в России их только 100. Хотелось бы, конечно, чтобы их количество снизилось до нуля. Но в любом случае каких-то катастрофических последствий их прогнозируемая компрометация не принесёт. А вот в других локациях будет куда веселее. 🙂
И всё это благодаря политике планомерного отказа от западных IT/ИБ-продуктов в пользу отечественных аналогов, иными словами, благодаря импортозамещению. 😉
Пусть не так быстро, как хотелось бы, пусть через противодействие и недовольство, но инфраструктуры российских организаций очищаются от западных (американских) вендоров и связанных с ними глобальных киберкатаклизмов.
За бесконечным цирком SonicWall, Ivanti, Palo Alto, CrowdStrike, Cisco, F5 и прочими-прочими гораздо приятнее наблюдать со стороны. 😏
@avleonovrus #dewesternization #F5
И всё это благодаря политике планомерного отказа от западных IT/ИБ-продуктов в пользу отечественных аналогов, иными словами, благодаря импортозамещению. 😉
Пусть не так быстро, как хотелось бы, пусть через противодействие и недовольство, но инфраструктуры российских организаций очищаются от западных (американских) вендоров и связанных с ними глобальных киберкатаклизмов.
За бесконечным цирком SonicWall, Ivanti, Palo Alto, CrowdStrike, Cisco, F5 и прочими-прочими гораздо приятнее наблюдать со стороны. 😏
@avleonovrus #dewesternization #F5
На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR.
🔻 Критическая статья и сравнительная таблица таких решений с EM-решением Tenable. Там ещё есть видео от вице-президента Tenable (Gavin Millard). 📺
🔻 Едкая критика EDR-вендоров в рамках статьи о компрометации вендора F5.
Похоже, конкуренты EDR-щики успешно перетягивают на себя тему Exposure Management-а, и Tenable пришлось начать маркетинговую войну. ⚔️
В которой я, безусловно, на стороне Tenable. 🙂 Endpoint-ы - важная часть инфраструктуры, но, естественно, не вся. И для качественного детектирования экспозиций нужен фокус на этой теме. Если реализовывать это в виде побочной функциональности EDR-решения, получится так себе. 😒
Хотя, говоря о качестве детектирования, западные VM-вендоры сами виноваты, что долгое время замалчивали эту тему, и у пользователей могло сложиться впечатление, что это всё коммодити и никакой разницы нет. 😉
@avleonovrus #Tenable #ExposureManagement #EDR
🔻 Критическая статья и сравнительная таблица таких решений с EM-решением Tenable. Там ещё есть видео от вице-президента Tenable (Gavin Millard). 📺
🔻 Едкая критика EDR-вендоров в рамках статьи о компрометации вендора F5.
Похоже, конкуренты EDR-щики успешно перетягивают на себя тему Exposure Management-а, и Tenable пришлось начать маркетинговую войну. ⚔️
В которой я, безусловно, на стороне Tenable. 🙂 Endpoint-ы - важная часть инфраструктуры, но, естественно, не вся. И для качественного детектирования экспозиций нужен фокус на этой теме. Если реализовывать это в виде побочной функциональности EDR-решения, получится так себе. 😒
Хотя, говоря о качестве детектирования, западные VM-вендоры сами виноваты, что долгое время замалчивали эту тему, и у пользователей могло сложиться впечатление, что это всё коммодити и никакой разницы нет. 😉
@avleonovrus #Tenable #ExposureManagement #EDR
Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору. Об этом сообщает РБК:
"Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление."
Как я понимаю, под "владельцем ПО" понимается его вендор. Таким образом это НЕ централизованный репортинг уязвимостей, когда решение о том, сообщать ли об уязвимости вендру принимает сам регулятор, а скорее параллельный репортинг, когда вендор и регулятор узнают об уязвимости одновременно.
Но и такой вариант, имхо, гораздо лучше нерегулируемого репортинга уязвимости, как есть сейчас. 👍
@avleonovrus #research #ИНД
"Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление."
Как я понимаю, под "владельцем ПО" понимается его вендор. Таким образом это НЕ централизованный репортинг уязвимостей, когда решение о том, сообщать ли об уязвимости вендру принимает сам регулятор, а скорее параллельный репортинг, когда вендор и регулятор узнают об уязвимости одновременно.
Но и такой вариант, имхо, гораздо лучше нерегулируемого репортинга уязвимости, как есть сейчас. 👍
@avleonovrus #research #ИНД
Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287). WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.
⚙️ Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.
🛠 С 18 октября на GitHub доступен публичный эксплойт.
⚙️ 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).
👾 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.
@avleonovrus #Microsoft #Windows #WSUS
⚙️ Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.
🛠 С 18 октября на GitHub доступен публичный эксплойт.
⚙️ 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).
👾 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.
@avleonovrus #Microsoft #Windows #WSUS
Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров. У них также могут слить незакрытые задачи на устранение уязвимостей и исходный код, что приведёт к массовой эксплуатации 0day уязвимостей. 😱 Как снизить такие риски? 🙂
Имхо, государству стоит определить вендоров, наиболее интересных злоумышленникам - прежде всего разработчиков решений, доступных из Интернет: систем удалённого доступа, CMS, CRM, e-learning, почты, мессенджеров и т.п.
Помимо повышенных требований к этим "периметровым" продуктам (отсутствие НДВ), необходимо ужесточить требования к вендорам:
🔻 Их инфраструктура должна соответствовать современным требованиям ИБ (хотя бы в объёме 117 приказа ФСТЭК).
🔻 Они обязаны отвечать за уязвимости и их сокрытие, а данные об уязвимостях должны быть доступны для изучения.
🔻 Их продукты должны быть выставлены на багбаунти.
Кто не тянет - тем не место в "импортозамещательных" реестрах. 😉
@avleonovrus #vendors #FSTEC #FSTEC117
Имхо, государству стоит определить вендоров, наиболее интересных злоумышленникам - прежде всего разработчиков решений, доступных из Интернет: систем удалённого доступа, CMS, CRM, e-learning, почты, мессенджеров и т.п.
Помимо повышенных требований к этим "периметровым" продуктам (отсутствие НДВ), необходимо ужесточить требования к вендорам:
🔻 Их инфраструктура должна соответствовать современным требованиям ИБ (хотя бы в объёме 117 приказа ФСТЭК).
🔻 Они обязаны отвечать за уязвимости и их сокрытие, а данные об уязвимостях должны быть доступны для изучения.
🔻 Их продукты должны быть выставлены на багбаунти.
Кто не тянет - тем не место в "импортозамещательных" реестрах. 😉
@avleonovrus #vendors #FSTEC #FSTEC117
Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2025-27915). Zimbra Collaboration - это пакет программного обеспечения для совместной работы, некоторый аналог Microsoft Exchange. Эксплуатация уязвимости в почтовом веб-клиенте (Classic Web Client) позволяет неаутентифицированному злоумышленнику выполнить произвольный JavaScript в контексте сеанса жертвы. Для этого злоумышленнику достаточно отправить письмо со специально сформированным ICS-файлом (календарь iCalendar). Полезная нагрузка активируется при просмотре сообщения в веб-интерфейсе.
⚙️ Уязвимость была исправлена 27 января в версиях 9.0.0 Patch 44, 10.0.13, 10.1.5, а также в неофициальной бесплатной сборке Zimbra Foss from Maldua.
🛠 30 сентября StrikeReady Labs опубликовали исследование уязвимости и публичный эксплоит.
👾 Также StrikeReady Labs сообщили об эксплуатации уязвимости в атаке на бразильскую военную организацию в январе, до выхода патча. 7 октября уязвимость добавили в CISA KEV.
@avleonovrus #Zimbra #StrikeReadyLabs
⚙️ Уязвимость была исправлена 27 января в версиях 9.0.0 Patch 44, 10.0.13, 10.1.5, а также в неофициальной бесплатной сборке Zimbra Foss from Maldua.
🛠 30 сентября StrikeReady Labs опубликовали исследование уязвимости и публичный эксплоит.
👾 Также StrikeReady Labs сообщили об эксплуатации уязвимости в атаке на бразильскую военную организацию в январе, до выхода патча. 7 октября уязвимость добавили в CISA KEV.
@avleonovrus #Zimbra #StrikeReadyLabs
Выявление признаков компрометации как часть EASM-сервиса. На прошлой неделе меня зацепила новость про новую фичу "Compromise Assessment" в CICADA8 ETM.
"При обнаружении критических уязвимостей на внешнем контуре CICADA8 ETM предоставляет компаниям возможность проверки до 3 хостов на наличие признаков компрометации."
Разработчики CICADA8 рассказали мне, что процесс полуавтоматический:
🔹 EASM-сканер выявляет эксплуатируемую уязвимость на периметре организации.
🔹 Заказчик запускает скрипт на уязвимом сервере для сбора инвентаризации, логов и IOC-ов, а затем отдаёт результаты в CICADA8.
🔹 Форензик-специалисты CICADA8 делают выводы о наличии признаков компрометации.
Имхо, это must-have функциональность для EASM-решений! 👍 Учитывая непрерывную активность злоумышленников по поиску возможных точек входа, если на периметре несколько часов торчит актив с критичной эксплуатируемой уязвимостью, речь уже не идёт о том, что вас МОГУТ сломать - скорее всего, вас УЖЕ сломали. 😉
@avleonovrus #CICADA8 #CICADA8ETM
"При обнаружении критических уязвимостей на внешнем контуре CICADA8 ETM предоставляет компаниям возможность проверки до 3 хостов на наличие признаков компрометации."
Разработчики CICADA8 рассказали мне, что процесс полуавтоматический:
🔹 EASM-сканер выявляет эксплуатируемую уязвимость на периметре организации.
🔹 Заказчик запускает скрипт на уязвимом сервере для сбора инвентаризации, логов и IOC-ов, а затем отдаёт результаты в CICADA8.
🔹 Форензик-специалисты CICADA8 делают выводы о наличии признаков компрометации.
Имхо, это must-have функциональность для EASM-решений! 👍 Учитывая непрерывную активность злоумышленников по поиску возможных точек входа, если на периметре несколько часов торчит актив с критичной эксплуатируемой уязвимостью, речь уже не идёт о том, что вас МОГУТ сломать - скорее всего, вас УЖЕ сломали. 😉
@avleonovrus #CICADA8 #CICADA8ETM
Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990). Уязвимость из октябрьского Microsoft Patch Tuesday. Agere Modem Driver (ltmdm64.sys) - это программный компонент, который позволяет компьютеру взаимодействовать с модемом Agere (или LSI) для коммутируемого (dial-up) или факсимильного соединения. 📠🙄 Несмотря на сомнительную практическую полезность, драйвер продолжал поставляться в составе операционных систем Windows. Локальный злоумышленник, успешно воспользовавшийся уязвимостью в этом драйвере, может получить права администратора.
⚙️ Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.
🛠 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. 🤷♂️
👾 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.
@avleonovrus #Windows #Agere #ltmdm64
⚙️ Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.
🛠 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. 🤷♂️
👾 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.
@avleonovrus #Windows #Agere #ltmdm64