https://logging.apache.org/log4j/2.x/security.html очередная уязвимость log4j. теперь 2.17.1 актуальная версия 🙂 cvss 6.6

https://lukatsky.ru/calendar теперь на 2022 год

анализ обнаруженной завирусовонной прошивки HP servers provide a management module called iLO (a.k.a. Integrated Lights-Out), which turns on as soon as the power cable is connected, loading a full-blown proprietary operating system. This module has full access to all the firmware, hardware, software, and operating system installed on the server. In addition to managing the server hardware, it allows the admin to remotely turn the server on and off, gain access to the server’s console, and even install an operating system on it.

https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/

Поздравляем всех с наступающим 2022 годом!

Желаем прохождения всех аудитов и в жизни и по работе без значимых несоответствий!

Ассоциация ISACA начала активную модернизацию в 2021 не все прошло гладко, но уверены все шереховатости отшлифуются в 2022 году, и мы продолжим Вас информировать об интересных решениях используемых в ИБ в Мире и РФ!

С наступающим 2022!

С новым 2022 годом!

❄️❄️❄️❄️❄️❄️❄️❄️❄️❄️

​​📣 Обновление ГОСТов 34-й серии

Сегодня (01.01.2022) вводится в действие пара обновлённых ГОСТов 34-й серии:

— Базовый стандарт - ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».

— Основной стандарт при разработке технических заданий - ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

#гост

1 Января 2022 почтовые сервера с Microsoft Exchange on-premise перестали передавать почту из-за ошибки в антивирусном движке.
Антивирусный и антиспам движок FIP-FS, который включен в Exchange по умолчанию, имеет ошибку конвертации даты из-за того, что для типа переменной даты используется число со знаком (singed int32). Максимально возможное значение для данного типа 2147483647, что недостаточно для даты 1 Января 2022 года. Во внутреннем формате Exchange данная дата имеет значение 2201010001.

У серверов, подверженных данной проблеме, в логах фигурирует ошибка 1106 со следующим содержанием:
The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error" or "Error Code: 0x80004005. Error Denoscription: Can't convert "2201010001" to long.

Для временного решения данной проблемы достаточно отключить встроенный антивирусный движок от Microsoft.

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/

Крайне актуальное направление ИБ для банковского сектора:

https://csrc.nist.gov/publications/detail/nistir/8389/draft

FTC обещает привлекать к ответственности тех кто своевременно не предпринял действий по устранению log4j.

https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability

💾 The State of Enterprise Linux in 2022. Что год грядущий нам готовит, или как теперь выглядит жизнь rhel-based ынтерпрайза после прихода CentOS Stream.

#redhat #напочитать #centos

Страховка лондонской Lloyd теперь не будет покрывать кибератаки, за которыми стоят государственные хакеры. То есть они либо намекают, что не надо углубляться в атрибуцию, либо они столкнулись с большим числом страховых случаев и не хотят больше по ним расплачиваться

Как мы ранее и прогнозировали атаки на цепочку поставок в виде библиотек продолжаются - теперь новый вектор, действия самого разработчика библиотек.

Атаки на цепочку поставок доходят до абсурда: популярные библиотеки с открытым исходным кодом «colors» и «faker» были скомпрометированы своим же разработчиком.

Библиотеки NPM стали инструментом в руках разработчика Marak Squires, который еще в ноябре 2020 года заявил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и предложил выплатить ему заплату в годовом исчислении на шестизначную сумму.

После того, как предложение разраба проигнорилось, а загрузки продолжились (коих кстати на npm более 20 и 2,8 млн. для colors и faker соответственно), Marak решил привлечь внимание другим способом, который по итогу получил неоднозначную оценку в сообществе.

Разработчик популярных библиотек намеренно внедрил в них вредоносные коммиты, которые повлияли на тысячи приложений, использующих их.

Так, пользователи популярных проектов с открытым исходным кодом, например, таких как Amazon's Cloud Development Kit (aws-cdk) были очень удивлены, увидев на консолях своих приложений текст «LIBERTY LIBERTY LIBERTY» и прочие глюки, которые изначально были восприняты как очередные атаки, как это было в случае с coa, rc и ua-parser-js. А не так давно в библиотеку colors.js в версии v1.4.44-liberty-2 был добавлен модуль «американского флага».

Все это и не только стало возмездием разработчика, которое, по его мнению, предназначалось, прежде всего, для крупных компаний и корпораций, которые широко полагаются на программное обеспечение с открытым исходным кодом, поддержание которого фактически осуществляется разработчиками безвозмездно.

Несмотря на дебаты внутри сообщества, GitHub заблокировал учетную запись разработчика, что, в свою очередь, также вызвало бурю критики.

В целом же, на фоне героических усилий разработчиков по исправлению дыр в Log4j, которые безвозмездно трудились в праздничные дни, поступок Марака выглядит больше безответственным, нежели решительным и справедливым.

Безусловно, ситуация отражает, что проблема эксплуатации исходного кода крупным бизнесом все же существует и ее признают в сообществе. Но пользователям NPM «colors» и «faker» следует перейти на безопасную версию (например, 1.4.0 и 5.5.3 соответственно), не дожидаясь разрешения ситуации.