Набор заявлений от CERT различных стран ЕС по log4j.
https://www.enisa.europa.eu/news/statement-on-log4shell
https://www.enisa.europa.eu/news/statement-on-log4shell
ENISA
Joint Statement on Log4Shell
Assessment and advice on the Log4j vulnerability.
ISACARuSec
Через 2-3 дня и Российские СМИ надеемся проблему осветят. А вообще это довольно редкая ситуация когда наличие уязвимости увязывается со снижением стоимости акции компаний с уязвимыми продуктами: "Microsoft Corp. MSFT -0.92% , in an alert to customers, said…
РБК
Хакеры атаковали тысячи компаний из России с помощью Log4Shell
Обнаруженная уязвимость в библиотеке Java угрожает многим российским компаниям, заявили эксперты. Эта библиотека использовалась при создании банковских приложений и порталов различных компаний
NIST has released three draft items related to the Workforce Framework for Cybersecurity (NICE Framework).
https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center/workforce-framework-cybersecurity-nice
https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center/workforce-framework-cybersecurity-nice
NIST
The Workforce Framework for Cybersecurity (NICE Framework)
Current Version | Data | Translations|
Forwarded from SecAtor
Вызванная Log4Shell киберпандемия в сфере инфосек набирает новые обороты.
Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.
Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.
Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.
А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.
Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.
Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.
Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.
Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.
Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.
Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.
А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.
Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.
Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.
Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.
YouTube
Log4j 2.15.0 stills allows for exfiltration of sensitive data
Why we recommend upgrading to 2.16.0 as quickly as possible.
Версия 2.15 log4j уязвима не только к DoS но к RCE.
А теперь стало известно что версия 2.16 тоже уязвима к DoS.
Ряд экспертов указывают, что активные атаки с использованием уязвимостей log4j продлятся еще несколько лет.
https://issues.apache.org/jira/browse/LOG4J2-3230
А теперь стало известно что версия 2.16 тоже уязвима к DoS.
Ряд экспертов указывают, что активные атаки с использованием уязвимостей log4j продлятся еще несколько лет.
https://issues.apache.org/jira/browse/LOG4J2-3230
Обращение Британского ФСТЭК к руководству организаций.
https://twitter.com/NCSC/status/1471807226134343681
https://twitter.com/NCSC/status/1471807226134343681
Twitter
NCSC UK
🚨 Board members 🚨 You may have heard about #Log4j, a critical vulnerability that has the cyber community concerned. Here's what it is, why people are worried, & questions you need to be asking your IT teams right now: 📖 (1/19) twitter.com/FinancialTimes…
Forwarded from Пост Лукацкого
Про смерть SOCов, неэффективность аутсорсинговых SOCов, автоматизацию TI и другие наблюдения с SecOps Summit. Продолжение обзора мероприятий по SOC, которые прошли на первой неделе декабря. И это не про SOC Forum, хотя про него тоже будет - https://lukatsky.ru/secops/3-meropriyatiya-po-socam-v-techenie-odnoy-nedeli-chto-obschego-chast-1.html
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
3 мероприятия по SOCам в течение одной недели: что общего? Часть 1 - Бизнес без опасности
Коль скоро материалы SOC Forum 2021 уже выложены на сайте организаторов и делать обзор мероприятия уже не так интересно, я бы хотел посмотреть на него немного с другой стороны. А именно сравнить то, что в течение двух дней происходило в центре Москвы, с двумя…
https://cloudsecurityalliance.org/blog/2021/12/11/the-pros-and-cons-of-using-saas-security-services/
cloudsecurityalliance.org
The Pros and Cons of Using SaaS Security Services | CSA
Learn what to consider when using security services delivered from the cloud, both to protect cloud deployments and traditional on-premises infrastructure.
Forwarded from Social Engineering
💬 true story... Social Engineering.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
🖖🏻 Приветствую тебя user_name.• Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика.
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.