Forwarded from SecAtor
Исправлена обнаруженная Orange Tsai из DEVCORE уязвимость, позволяющая злоумышленникам удаленно выполнять код с привилегиями root на серверах, использующих решение Samba.
CVE-2021-44142 касается проблемы чтения/записи за пределами кучи в модуле vfs_fruit VFS при анализе метаданных EA в ходе открытия файлов в smbd. Уязвимый модуль предназначен для обеспечения расширенной совместимости с клиентами Apple SMB и файловыми серверами Netatalk 3 AFP.
Дело заключается в конфигурации модуля Fruit VFS по умолчанию: fruit:metadata=netatalk или fruit:resource=file. Если для обоих параметров установлены значения, отличные от значений по умолчанию, проблема не оказывает влияния на систему.
Кроме того, злоумышленникам, которые хотят использовать эту уязвимость, потребуется доступ для записи к расширенным атрибутам файла. Это может быть гость или пользователь, даже не прошедший проверку подлинности, если им разрешен такой доступ.
По данным CERT (CERT/CC), в список уязвимых платформ входят Red Hat, SUSE Linux и Ubuntu. Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требующих вмешательства пользователя, если на целевых серверах имеются какие-либо установки Samba до версии 4.13.17.
Рекомендуем как можно скорее накатить вышедшие обновления 4.13.17, 4.14.12 и 4.15.5 или применить соответствующие патчи для исправления ошибки.
Используя обходной путь, следует помнить, что изменение настроек модуля VFS приводит к тому, что вся сохраненная информация становится недоступной, а для клиентов macOS и вовсе выглядит утраченной.
CVE-2021-44142 касается проблемы чтения/записи за пределами кучи в модуле vfs_fruit VFS при анализе метаданных EA в ходе открытия файлов в smbd. Уязвимый модуль предназначен для обеспечения расширенной совместимости с клиентами Apple SMB и файловыми серверами Netatalk 3 AFP.
Дело заключается в конфигурации модуля Fruit VFS по умолчанию: fruit:metadata=netatalk или fruit:resource=file. Если для обоих параметров установлены значения, отличные от значений по умолчанию, проблема не оказывает влияния на систему.
Кроме того, злоумышленникам, которые хотят использовать эту уязвимость, потребуется доступ для записи к расширенным атрибутам файла. Это может быть гость или пользователь, даже не прошедший проверку подлинности, если им разрешен такой доступ.
По данным CERT (CERT/CC), в список уязвимых платформ входят Red Hat, SUSE Linux и Ubuntu. Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требующих вмешательства пользователя, если на целевых серверах имеются какие-либо установки Samba до версии 4.13.17.
Рекомендуем как можно скорее накатить вышедшие обновления 4.13.17, 4.14.12 и 4.15.5 или применить соответствующие патчи для исправления ошибки.
Используя обходной путь, следует помнить, что изменение настроек модуля VFS приводит к тому, что вся сохраненная информация становится недоступной, а для клиентов macOS и вовсе выглядит утраченной.
kb.cert.org
CERT/CC Vulnerability Note VU#119678
Samba vfs_fruit module insecurely handles extended file attributes
👍1
Forwarded from Пост Лукацкого
IDC выпустила отличный отчет про шифровальщиков, где, опросив 850+ человек, они выяснили, платили ли жертвы выкуп вымогателям и сколько, какие системы чаще всего были подвержены заражениям, с помощью каких технологий обнаруживались шифровальщики в первую очередь (тут был сюрприз - это не антивирус) и т.п. И все это в сравнении с предыдущими периодами. Очень познавательно.
Например, с точки зрения источников получения шифровальщиков, на первое место выходит серфинг в Интернете, а на второе - заражение через поставщиков продуктов и услуг. Третье место удерживают флешки, на которых заносят вредоносы в компанию.
Например, с точки зрения источников получения шифровальщиков, на первое место выходит серфинг в Интернете, а на второе - заражение через поставщиков продуктов и услуг. Третье место удерживают флешки, на которых заносят вредоносы в компанию.
Forwarded from Пост Лукацкого
Из других выводов отчета IDC про шифровальщиков, в котором, в том числе, принимали участие и российские компании:
🔥 ритейл, финансы и гостинично-туристический сектор страдают чаще других
🔥 платят выкуп 69% организаций (еще полгода назад это значение было 87%)
🔥 треть компаний платила от 25 до 50 тысяч долларов выкупа; 8% - от 500 тысяч до 1 миллиона долларов. Медианная и средняя сумма выкупа за полгода упала примерно вдвое
🔥 Решения класса NDR (Network Detection & Response) были основным инструментом для обнаружения шифровальщиков. CASB были на втором (!) месте.
🔥 Windows, Android и Windows Server - самые популярные мишени у шифровальщиков
🔥 37% не смогли восстановить данные из резервных копий
🔥 у 3% жертв полученные ключи расшифрования не сработали полностью
🔥 25% компаний столкнулись с простоями бизнес-процессов более чем на неделю. Интересно, что высоко зарегулированные компании дольше оставались неработоспособными, чем менее зарегулированные
🔥 У половины жертв злоумышленники атаковали еще и резервные копии и примерно в половине случаев это им удалось
🔥 ритейл, финансы и гостинично-туристический сектор страдают чаще других
🔥 платят выкуп 69% организаций (еще полгода назад это значение было 87%)
🔥 треть компаний платила от 25 до 50 тысяч долларов выкупа; 8% - от 500 тысяч до 1 миллиона долларов. Медианная и средняя сумма выкупа за полгода упала примерно вдвое
🔥 Решения класса NDR (Network Detection & Response) были основным инструментом для обнаружения шифровальщиков. CASB были на втором (!) месте.
🔥 Windows, Android и Windows Server - самые популярные мишени у шифровальщиков
🔥 37% не смогли восстановить данные из резервных копий
🔥 у 3% жертв полученные ключи расшифрования не сработали полностью
🔥 25% компаний столкнулись с простоями бизнес-процессов более чем на неделю. Интересно, что высоко зарегулированные компании дольше оставались неработоспособными, чем менее зарегулированные
🔥 У половины жертв злоумышленники атаковали еще и резервные копии и примерно в половине случаев это им удалось
пример одного из источников получения отзывов о средствах защиты.
попадаются объективные отзывы 😄
https://www.gartner.com/reviews/home
попадаются объективные отзывы 😄
https://www.gartner.com/reviews/home
Gartner
Enterprise IT Software Reviews | Gartner Peer Insights
Forwarded from SecAtor
Исследователи компании Binarly обнаружили 23 уязвимости в коде встроенного ПО UEFI, используемом крупнейшими мировыми производителями устройств.
По данным исследователей, уязвимости высокой степени серьезности могут затронуть миллионы корпоративных устройств, таких как ноутбуки, серверы, маршрутизаторы, сетевые устройства, промышленные системы управления (ICS) и периферийные вычислительные устройства от более чем 25 поставщиков, включая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens.
Ошибки содержатся в прошивке InsydeH2O UEFI, предоставленной Insyde Software и используемой затронутыми поставщиками. Основная причина проблемы была обнаружена в эталонном коде, который связан с InsydeH2O. Все пострадавшие от уязвимости поставщики использовали SDK-прошивки на основе Insyde для разработки своих частей кода.
Уязвимости в основном связаны с режимом управления системой (SMM) и могут привести к выполнению произвольного кода с повышенными привилегиями. Злоумышленник с привилегированным доступом пользователя к целевой системе может использовать уязвимости для установки вредоносного ПО с высокой устойчивостью. Баги позволяют ему также обойти антивирусные решения, безопасную загрузку и средства защиты на основе виртуализации.
Активная эксплуатация всех обнаруженных баг не может быть обнаружена системами контроля целостности прошивки из-за ограничений в измерениях Trusted Platform Module (TPM). Решения для удаленной аттестации работоспособности устройств не обнаружат уязвимые системы из-за конструктивных ограничений видимости среды выполнения прошивки.
Первоначально уязвимости были обнаружены на устройствах Fujitsu, но более тщательный анализ показал, что это проблема куда более серьезна и затрагивает прошивки на основе Insyde. Fujitsu была уведомлена об этом в сентябре, а затем Binarly работала с CERT/CC и Службой прошивки поставщиков Linux (LVFS) для выявления и уведомления других затронутых поставщиков.
Insyde исправила уязвимости и выпустила соответствующие рекомендации по безопасности. Но, как мы понимаем, для их имплементации в ПО производителей потребуется время. Технические подробности об ошибках обещают выкатить в в ближайшие дни.
По данным исследователей, уязвимости высокой степени серьезности могут затронуть миллионы корпоративных устройств, таких как ноутбуки, серверы, маршрутизаторы, сетевые устройства, промышленные системы управления (ICS) и периферийные вычислительные устройства от более чем 25 поставщиков, включая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens.
Ошибки содержатся в прошивке InsydeH2O UEFI, предоставленной Insyde Software и используемой затронутыми поставщиками. Основная причина проблемы была обнаружена в эталонном коде, который связан с InsydeH2O. Все пострадавшие от уязвимости поставщики использовали SDK-прошивки на основе Insyde для разработки своих частей кода.
Уязвимости в основном связаны с режимом управления системой (SMM) и могут привести к выполнению произвольного кода с повышенными привилегиями. Злоумышленник с привилегированным доступом пользователя к целевой системе может использовать уязвимости для установки вредоносного ПО с высокой устойчивостью. Баги позволяют ему также обойти антивирусные решения, безопасную загрузку и средства защиты на основе виртуализации.
Активная эксплуатация всех обнаруженных баг не может быть обнаружена системами контроля целостности прошивки из-за ограничений в измерениях Trusted Platform Module (TPM). Решения для удаленной аттестации работоспособности устройств не обнаружат уязвимые системы из-за конструктивных ограничений видимости среды выполнения прошивки.
Первоначально уязвимости были обнаружены на устройствах Fujitsu, но более тщательный анализ показал, что это проблема куда более серьезна и затрагивает прошивки на основе Insyde. Fujitsu была уведомлена об этом в сентябре, а затем Binarly работала с CERT/CC и Службой прошивки поставщиков Linux (LVFS) для выявления и уведомления других затронутых поставщиков.
Insyde исправила уязвимости и выпустила соответствующие рекомендации по безопасности. Но, как мы понимаем, для их имплементации в ПО производителей потребуется время. Технические подробности об ошибках обещают выкатить в в ближайшие дни.
Insyde Software
Security Pledge
Product security is a top priority and one that we continue to improve upon continuously.
https://cloudonair.withgoogle.com/events/build-optimize-secure-google-kubernetes
в программе вебинара :
Innovations to strengthen the security of your apps
Learn how you can set up enterprise-grade security for your app right out of the box in this session. We’ll cover the latest security controls, hardened configuration, and policies for Google Kubernetes Engine.
в программе вебинара :
Innovations to strengthen the security of your apps
Learn how you can set up enterprise-grade security for your app right out of the box in this session. We’ll cover the latest security controls, hardened configuration, and policies for Google Kubernetes Engine.
Withgoogle
Build, Optimize, Secure: New Google Kubernetes Engine Innovations
<div>Designed to optimize technology costs and securely develop IT at-scale, Kubernetes is far more than just an infrastructure choice – it’s the most flexible means of accelerating innovation and improving efficiency for your business. In this session, join…
https://gcatoolkit.org/mission-based-orgs/
"Cybersecurity threats are an all-too-common part of modern life online. Fortunately, there are resources to help implement a cybersecurity program. This set of free tools, guidance, and training is designed to help organizations take key cybersecurity steps and be more secure."
"Cybersecurity threats are an all-too-common part of modern life online. Fortunately, there are resources to help implement a cybersecurity program. This set of free tools, guidance, and training is designed to help organizations take key cybersecurity steps and be more secure."
Forwarded from Пост Лукацкого
6-го января Гартнер обновил свой Magic Quadrant for Application Security
Testing
Testing
Forwarded from Пост Лукацкого
SAST 2022 - Gartner.pdf
331.6 KB
И некоторые компании этот отчет свободно распространяют
Forwarded from Пост Лукацкого
ЦБ подготовил еще один проект нового указания по отчетности "Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации", в котором вводится отчетность 0420433 по выполнению требований по защите информации.
Forwarded from SecAtor
Разработчики Cisco исправили ошибки в VPN-маршрутизаторах Small Business серий RV160, RV260, RV340 и RV345. Некоторые из них могли привести к выполнению произвольного кода с привилегиями root.
Самая серьезная дыра — это ошибка удаленного выполнения кода CVE-2022-20699 (с оценкой CVSS 10,0). Уязвимость в модуле SSL VPN гигабитных VPN-маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве.
Основной причиной уязвимости являются недостаточная проверка границ, выполняемая при обработке определенных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные HTTP-запросы на уязвимое устройство, выступающее в роли шлюза SSL VPN. Успешный эксплойт может позволить злоумышленнику выполнить код с привилегиями root.
Компания также устранила две критические проблемы в веб-интерфейсе управления маршрутизаторами Small Business RV: CVE-2022-20700 (с оценкой CVSS 10) и CVE-2022-20701 (с оценкой CVSS 9,0).
Эти уязвимости связаны с недостаточной эффективностью механизмов принудительной авторизации. Злоумышленник может воспользоваться багами, отправив определенные команды на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику повысить привилегии до root и выполнять произвольные команды в уязвимой системе». читает рекомендацию.
Среди других исправлены также критические уязвимости CVE-2022-20708 (с оценкой CVSS 10,0) и CVE-2022-20703 (с оценкой CVSS 9,3), которые были связаны с внедрением команд и обходом проверки цифровой подписи соответственно.
Прокачены и другие уязвимости высокой и средней степени серьезности, которые позволяли выполнить произвольный код или команды, вызвать состояние отказа в обслуживании (DoS), получить частичные административные привилегии, просмотреть или изменить информацию, перезаписать или загрузить определенные файлы.
Необходимо поскорее накатить обновления для линейки Cisco Small Business, ведь PoC под некоторых серьезные баги уже доступен общественности. При этом отметим, что обходные пути для решения этих проблем отсутствуют.
Самая серьезная дыра — это ошибка удаленного выполнения кода CVE-2022-20699 (с оценкой CVSS 10,0). Уязвимость в модуле SSL VPN гигабитных VPN-маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве.
Основной причиной уязвимости являются недостаточная проверка границ, выполняемая при обработке определенных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные HTTP-запросы на уязвимое устройство, выступающее в роли шлюза SSL VPN. Успешный эксплойт может позволить злоумышленнику выполнить код с привилегиями root.
Компания также устранила две критические проблемы в веб-интерфейсе управления маршрутизаторами Small Business RV: CVE-2022-20700 (с оценкой CVSS 10) и CVE-2022-20701 (с оценкой CVSS 9,0).
Эти уязвимости связаны с недостаточной эффективностью механизмов принудительной авторизации. Злоумышленник может воспользоваться багами, отправив определенные команды на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику повысить привилегии до root и выполнять произвольные команды в уязвимой системе». читает рекомендацию.
Среди других исправлены также критические уязвимости CVE-2022-20708 (с оценкой CVSS 10,0) и CVE-2022-20703 (с оценкой CVSS 9,3), которые были связаны с внедрением команд и обходом проверки цифровой подписи соответственно.
Прокачены и другие уязвимости высокой и средней степени серьезности, которые позволяли выполнить произвольный код или команды, вызвать состояние отказа в обслуживании (DoS), получить частичные административные привилегии, просмотреть или изменить информацию, перезаписать или загрузить определенные файлы.
Необходимо поскорее накатить обновления для линейки Cisco Small Business, ведь PoC под некоторых серьезные баги уже доступен общественности. При этом отметим, что обходные пути для решения этих проблем отсутствуют.
Cisco
Cisco Security Advisory: Cisco Small Business RV Series Routers Vulnerabilities
Multiple vulnerabilities in Cisco Small Business RV160, RV260, RV340, and RV345 Series Routers could allow an attacker to do any of the following:
Execute arbitrary code
Elevate privileges
Execute arbitrary commands
Bypass authentication and authorization…
Execute arbitrary code
Elevate privileges
Execute arbitrary commands
Bypass authentication and authorization…
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity
Today, NIST is announcing the release of five new documents called for in the EO:
Software Security Practices
Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e
NIST Special Publication 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities
Software Security Labeling
Recommended Criteria for Cybersecurity Labeling of Consumer Internet of Things (IoT) Products
Recommended Criteria for Cybersecurity Labeling of Consumer Software
Consumer Cybersecurity Labeling Pilots: The Approach and Feedback
Today, NIST is announcing the release of five new documents called for in the EO:
Software Security Practices
Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e
NIST Special Publication 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities
Software Security Labeling
Recommended Criteria for Cybersecurity Labeling of Consumer Internet of Things (IoT) Products
Recommended Criteria for Cybersecurity Labeling of Consumer Software
Consumer Cybersecurity Labeling Pilots: The Approach and Feedback
Forwarded from Записки админа
👨🏻💻 Открытые практикумы DevOps, Linux, White hacking, AWS и Golang by Rebrain: расписание на Февраль
👉Регистрация
- 8 февраля DevOps: Как жить если у вас появился nginx?
- 9 февраля Linux: Linux. Что Вы хотите узнать? / Сессия вопросов-ответов
- 9 февраля White Hacking: Обезличивание данных по 152-ФЗ
- 10 февраля AWS: Учимся управлять несколькими аккаунтами AWS сразу
- 15 февраля DevOps: Модульное управление инфраструктурой с помощью Terraform + Terragrunt
- 16 февраля Linux: Маршрутизатор на базе Linux
- 16 февраля White Hacking: Основы сканирования сетей, знакомство с утилитой nmap
- 17 февраля AWS: Serverless: пожалуйста, не надо
- 22 февраля DevOps: Подходы к автоматическому тестированию (АТ)
- 24 февраля Golang:Context в Go
- 24 февраля AWS: Делаем статический сайт на AWS безопасно
Посмотреть программу практикумов и записаться бесплатно. Успевайте зарегистрироваться. Количество мест строго ограничено! Запись практикума DevOps by Rebrain в подарок за регистрацию!
#реклама
👉Регистрация
- 8 февраля DevOps: Как жить если у вас появился nginx?
- 9 февраля Linux: Linux. Что Вы хотите узнать? / Сессия вопросов-ответов
- 9 февраля White Hacking: Обезличивание данных по 152-ФЗ
- 10 февраля AWS: Учимся управлять несколькими аккаунтами AWS сразу
- 15 февраля DevOps: Модульное управление инфраструктурой с помощью Terraform + Terragrunt
- 16 февраля Linux: Маршрутизатор на базе Linux
- 16 февраля White Hacking: Основы сканирования сетей, знакомство с утилитой nmap
- 17 февраля AWS: Serverless: пожалуйста, не надо
- 22 февраля DevOps: Подходы к автоматическому тестированию (АТ)
- 24 февраля Golang:Context в Go
- 24 февраля AWS: Делаем статический сайт на AWS безопасно
Посмотреть программу практикумов и записаться бесплатно. Успевайте зарегистрироваться. Количество мест строго ограничено! Запись практикума DevOps by Rebrain в подарок за регистрацию!
#реклама