Буквально вчера вышел замечательный whitepaper “All About That Base Image”, который посвящён безопасности популярных базовых образов - image security если хотите и уязвимостям в них.

Авторы в документе задаются вопросом: "Is it possible, though, to have a base image without vulnerabilities?" и помогают грамотно подойти к выбору базового образа для ваших контейнеров. Основными критериями выбора/поиска являются:
- Наличие малого или нулевого количества известных уязвимостей в образе
- Плюсом будет наличие SBOM
- Плюсом будет наличие цифровой подписи

Все это в первую очередь помогает бороться с "шумом" от сканеров уязвимостей. Ведь никто не хочет разбираться с тысячами уязвимостей и еще при том, что разработчики далеко не сразу буду браться за их устранение.

Релиз утилиты Control Validation Compass (CVC) — поиск аналитики из открытых проектов по техникам ATT&CK. На текущий момент в базе 9000+ правил обнаружения (Sigma, Splunk Security Content, etc) и 2100+ тестов эмуляции (Atomic Red Team, Prelude Community, etc).

Бесплатный вебинар «Open Policy Agent», 4 апреля в 19:00.

🛡В прямом эфире поговорим про:
— Что такое Open Policy Agent (OPA) и почему за ним будущее;
— Как можно валидировать все объекты, которые создаются в Kubernetes, при помощи одного admission-controller;
— Как и чем заменить устаревший PSP, получив при этом дополнительные полезные функции;
— Как внедрить Gatekeeper в большой работающий кластер на продакшн и ничего не сломать;
— Какие подводные камни есть при внедрении OPA/Gatekeeper;

🦸‍♂️Спикер: Марсель Ибраев, CTO Слёрм
Инженер с 8-летним стажем, Certified Kubernetes Administrator, спикер курса Kubernetes: Мега-поток.

Дата: 4 апреля в 19.00 (мск), прямая трансляция будет в чате.

🔥Ccылка на чат вебинара: https://news.1rj.ru/str/KubernetesFree
🔥Продвинутый курс по Kubernetes: https://slurm.club/3uLEzr3

Опубликован pci dss 4.0.

https://blog.pcisecuritystandards.org/pci-dss-v4-0-a-conversation-with-the-council

​​Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.

Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.

Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.

По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.

Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением. 

Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.

Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.

Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.

В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему. 

По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.

Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.

Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.

Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.

ISACA в марте выпустила интересный и объемный отчет о состоянии дел в сфере кибербезопасности. Рассказали об уровне подготовки кадров, образовании, бюджетах, киберугрозах и ожиданиях.

Главные выводы:
🔶 У 63% опрошенных организаций имеются сложности с закрытием вакансий по направлению КБ.

🔶 60% организаций сообщают, что испытывают проблемы с удержанием специалистов по КБ.

🔶 Софт-скиллы и облачные вычисления - проблема у современных специалистов по КБ.

🔶 Все чаще организации не обращают внимание на наличие высшего образования в области КБ.

🔶 42% опрошенных заявили, что удовлетворены финансированием программ КБ, а 55% ожидают увеличения бюджетов.

🔶 82% респондентов говорят, что руководство видит ценность в проведении оценки рисков, но только 41% организаций проводит ежегодную оценку киберрисков.

🔶 Только 51% опрошенных допускает, что их компания столкнется с кибератаками в будущем. Оптимистичненько...

По сообщению одного из клиентов (компании Trezor), сервис Mailchimp был скомпрометирован со стороны инсайдера.

https://www.fxempire.com/news/article/trezor-issues-data-breach-warning-as-users-cite-phishing-attacks-957001

Вышла версия 1.0 бесплатного EDR от автора SigmaRules (Флориана Рота).

The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).

https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/

The National Cybersecurity Center of Excellence (NCCoE) has released two new final publications: Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology and SP 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways.

https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final

https://csrc.nist.gov/publications/detail/sp/1800-31/final