При роботизации Риски ИБ могут иметь физические проявления https://tass.ru/sport/15280405

͏Atlassian исправила критическую уязвимость, связанную с жестко запрограммированными учетными данными в приложении Questions For Confluence (версии 2.7.34, 2.7.35 и 3.0.2) для Confluence Server и Confluence Data Center.

По данным Atlassian, приложение установлено на более чем 8000 серверах Confluence.

CVE-2022-26138 возникает, когда приложение установлено и включено в любой из двух служб, что приводит к созданию учетной записи пользователя Confluence с именем disabledsystemuser.

Учетная запись disabledsystemuser создается при установке приложения с жестко заданным паролем и добавляется в группу пользователей confluence, что по умолчанию позволяет просматривать и редактировать все неограниченные страницы в Confluence.

Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко закодированный пароль, может воспользоваться ошибкой, чтобы войти в Confluence и получить доступ к любым страницам.

В Atlassian не располагают информацией об использовании уязвимости в дикой природе, правда с оговоркой: «пока что».

Все дело в том, что жестко закодированный пароль легко получить после загрузки и просмотра уязвимых версий приложения.

Администраторам следует обратить внимание, что удаление приложения Questions for Confluence не устраняет уязвимость и вектор атаки.

Для понимания потенциальных угроз следует проверить наличие проблемной учетной записи пользователя disabledsystemuser, а также возможную несанкционированную аутентификацию, следуя этим инструкциям.

Учетную запись можно удалить, но лучше всего накатить обновления. Исправленная версия приложения прекратит создание проблемной учетной записи пользователя и удалит ее, если она есть.

https://cloudsecurityalliance.org/press-releases/2022/07/20/cloud-security-alliance-releases-guidance-on-third-party-vendor-risk-management-in-healthcare/

Cloud Security Alliance Releases Guidance on Third-Party Vendor Risk Management in Healthcare

Свежая кривая хайпа от Гартнера по SecOps. Интересно, что SIEM так пока и не вышли на плато продуктивности, а CASB и EDR уже вышли...

https://geek-picnic.me/geek-picnic-22/ Неплохой способ провести субботу. В программе есть открытая лекция по ИБ.

Коллеги, добрый день! Мы приближаемся к Moscow Cloud Security Day все ближе, поэтому решили добавить подробностей:

- вас ждет 2-х этажный особняк в центре Москвы (адрес обновим уже завтра)
- коллеги из Hilbert Team объявили тему доклада
- раскрыт секретный доклад про Битрикс
- заявок так много, что по просьбам добавляем еще один доклад, на сей раз, от коллег из ScanFactory
- по вашим просьбам пригласили ребят из IAM ответить на вопросы
- готовы призы и подарки на квиз
- конечно же, еда, музыка и напитки (как мы любим)

И конечно, мы рады, что видим регистрации от топовых компаний индустрии, ведь оффлайн общение в приятной обстановке это то, зачем мы соберемся уже 28 июля.

Регистрация в почти последний вагон >> здесь

https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову

Учиться никогда не поздно и учеба никому не вредила - встречайте Awesome Cloud Native Trainings! Это подборка бесплатный тренингов от Cloud Native Computing Foundation проектов и разработчиков программного обеспечения связанного с Kubernetes. Чисто на свой вкус выделю следующие тренинги:
- Kyverno Fundamentals
- OPA Policy Authoring
- Observability Fundamentals
- eBPF Fundamentals Certificate
- Certified Calico Operator: eBPF
- Introduction to Prometheus and PromQL
- Kubernetes related courses

Материал будет полезен Dev, DevOps, SRE и Security инженерам.

Последнее китайское предупреждение для клиентов Atlassian.

Разворачивается активная кампания с использованием критической CVE-2022-26138 в в приложении Questions for Confluence, связанной с возможностью использования жестко закодированных данных для получения неограниченного доступа к страницам в Confluence.

В прошлый раз мы уже сообщали об утечке этих данных в даркнет и начале эксплуатации с их использованием непропатченных Confluence Server и Data Center. По данным Atlassian, приложение насчитывает более 8000 установок.

Ошибка затрагивает вопросы для Confluence версий 2.7.34, 2.7.35 и 3.0.2 и была устранена с выпуском версий 2.7.38 (совместимых с Confluence с 6.13.18 по 7.16.2) и 3.0.5 (совместимых с Confluence 7.16.3 и выше).

К настоящему времени Shadowserver и Grey Noise уже фиксируют активное использование уязвимости в дикой природе.

А Rapid7 и вовсе указывают на то, что некоторые атаки были инициированы еще до задолго до того, как Atlassian выпустила свое предупреждение.

52% всех уязвимостей с рейтингом CVSSv2, равным 10.0, и обнаруженных в 2022-м году, были классифицированы некорректно. В свою очередь это привело к неправильной приоритизации защитных мер и дополнительным затратам.

Microsoft выложила в общий доступ видеозаписи и презентации семинара-тренинга для CISO. Программа семинара представлена на постере.

Отличный доклад "Харденинг K8S. (Не)очевидные настройки" от моего хорошего товарища поможет правильно посмотреть на CIS Kubernetes Benchmarks.

Очень важно помнить, что не стоит слепо следовать всем требованиям любого Benchmark. Ко всему стоит подходить с чувством, с толком, с расстановкой. Обычно относительно CIS Kubernetes Benchmarks, специалисты изучают его, накладывают на свою инфраструктуру и оставляют 10-20 значимых пунктов и их контролируют, а не слепо добиваются 100% покрытия его. Хорошо это еще все сразу заложить и проверять на стадии IaC, чтобы не пересканитивать это постоянно (особенно с учетом Container-Optimized OS).

🔶 AWS Security by Dylan Shields

An excellent book by software engineer working on Quantum Computing at Amazon Dylan Shields describing that running your systems in the cloud doesn’t automatically make them secure. Learn the tools and new management approaches you need to create secure apps and infrastructure on AWS.

#aws