Опубликована финальная версия.

https://www.nccoe.nist.gov/healthcare/securing-telehealth-remote-patient-monitoring-ecosystem

Интересная ветка твитов про метрики сока и его экономику.

https://twitter.com/jhencinski/status/1496225767558205442

Завершу рассказ про конференцию ФСТЭК обзором доклада про моделирование угроз. Есть как положительные, так и отрицательные моменты.

🔶 Top 2021 AWS Security service launches security professionals should review - Part 1

An overview of some of the most important 2021 AWS Security launches that security professionals should be aware of.

https://aws.amazon.com/ru/blogs/security/top-2021-aws-security-service-launches-part-1

#aws

На этой неделе Cisco выпустили исправления для 4 уязвимостей в своих сетевых операционных системах FXOS и NX-OS, включая одну ошибку отказа в обслуживании.

Самая серьезная CVE-2022-20650 с CVSS 8,8 можно использовать удаленно, без аутентификации для выполнения произвольных команд от имени пользователя root.

Ошибка возникает из-за того, что предоставленные пользователем данные недостаточно проверяются, что позволяет злоумышленнику отправить созданный HTTP-запрос POST к функции NX-API на уязвимом устройстве для выполнения команд в операционной системе. При этом, как отмечает Cisco, функция NX-API по умолчанию отключена.

Коммутаторы Nexus серий 3000, 5500, 5600, 6000 и 9000 подвержены этой уязвимости, если на них установлена неисправленная версия программного обеспечения NX-OS и включена функция NX-API.

Все три оставшиеся уязвимости могут быть использованы для создания условий отказа в обслуживании (DoS).

Одну из уязвимостей обнаружило АНБ США, по его информации - ошибка влияет на функцию Fabric Services over IP (CFSoIP) в NX-OS. CVE-2022-20624 обусловлена тем, что входящие пакеты CFSoIP недостаточно проверяются, что позволяет злоумышленнику отправлять специально созданные пакеты для ее эксплуатации.

Бага затрагивает Nexus серий 3000 и 9000 и UCS серии 6400, если включен CFSoIP (эта функция отключена по умолчанию). Дополнительной информацией об уязвимости при этом АНБ не поделилось.

Другая CVE-2022-20623 была обнаружена в ограничителе скорости для трафика (BFD) NX-OS и может быть использована удаленно, без аутентификации. Затронуты только коммутаторы серии Nexus 9000 в автономном режиме NX-OS.

Уязвимость существует из-за логической ошибки в функции ограничителя скорости BFD и может быть использована путем отправки созданного потока трафика через уязвимое устройство, что приводит к возникновению DoS.

Cisco также объявила о выпуске дополнительного исправления DoS-уязвимости (CVE-2021-1586), которую она первоначально устранила в августе 2021 года в сетевых конфигурациях Multi-Pod или Multi-Site для коммутаторов Nexus серии 9000 (в режиме Application Centric Infrastructure (ACI). Проблема возникает из-за неправильной очистки TCP-трафика, отправляемого на определенный порт, что позволяет злоумышленнику отправлять специально созданные данные.

Cisco рекомендует клиентам применить последние исправления для своих устройств, которые были выпущены в рамках полугодовых обновлений безопасности FXOS и NX-OS за февраль 2022 года. Поддержим и добавим, что ошибки активно используются в дикой природе.

​​Уязвимости высокой степени серьезности CVE-2022-23131 и CVE-2022-23134 активно эксплуатируются в дикой природе. Речь идет о Zabbix - инструменте с открытым исходным кодом для мониторинга сетей, серверов, виртуальных машин и облачных сервисов. При этом согласно данным CISA, одна из уязвимостей имеет критическое значение 9,1 из 10.

Две уязвимости были обнаружены исследователями из SonarSource и представлены в техническом отчете почти месяц назад.

CVE-2022-23131 непосредственно связанна с Zabbix Frontend. Благодаря ей злоумышленник может обойти аутентификацию на серверах с настроенным языком разметки подтверждения безопасности SAML (открытый стандарт, обеспечивающий единую точку аутентификации (единый вход), которая обеспечивает обмен данными между поставщиком удостоверений и поставщиком услуг).

Если аутентификация SAML SSO включена (не по умолчанию), данные сеанса могут быть изменены злоумышленником, поскольку логин пользователя, сохраненный в сеансе, не проверяется. Это позволяет непроверенному злоумышленнику использовать эту уязвимость, чтобы получить привилегии и получить доступ администратора к интерфейсу Zabbix.

21 февраля исследователи также представили соответсвующий PoC. Кроме того, Национальный центр кибербезопасности в Нидерландах также подтверждает, что уязвимость активно эксплуатируется и позволяет удаленно выполнять код с привилегиями root.

Вторая уязвимость CVE-2022-23134 средней степени серьезности представляет собой проблему ненадлежащего контроля доступа, которая позволяет злоумышленникам изменить файл конфигурации (скрипт setup.php) и получить доступ к панели управления с повышенными привилегиями.

Разработчики Zabbix выпустили обновления (версии 5.4.9, 5.0.9 и 4.0.37), которые решают обе проблемы, в связи с чем, настоятельно рекомендуем установить их, особенно в контексте активной эксплуатации. Сами оцените насколько простой она может быть