Forwarded from SecAtor
VMware сообщила об исправлениях уязвимости vCenter Server, которая могла привести к RCE.
Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.
Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.
Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.
Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.
VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.
CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.
Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG.
Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.
VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.
Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.
Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.
Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.
Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.
VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.
CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.
Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG.
Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.
VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.
Forwarded from SecAtor
А вот, Intel подтвердила подлинность утечки исходного кода UEFI BIOS процессоров Alder Lake.
Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.
В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.
Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».
Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.
Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».
Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.
Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.
Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.
Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.
Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.
Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.
В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.
Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».
Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.
Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».
Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.
Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.
Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.
Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.
Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.
Tom's Hardware
Intel Confirms Alder Lake BIOS Source Code Leak, New Details Emerge
Hack's perpetrator and origins remain unknown.
Forwarded from AlexRedSec
На днях Microsoft опубликовала исследование о построении комплексной программы управления рисками инсайдерских угроз.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
👍3
Forwarded from Positive Development Community
📃 Еженедельная подборка новостей от POSIdev
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
Forwarded from Пост Лукацкого
Если вы еще не проводили тест среди сотрудников 🧑💻 на проверку навыков по обнаружению почтового ✉️ фишинга, то вот вам неплохой квиз для этого (на русском; без регистрации и СМС).
Please open Telegram to view this post
VIEW IN TELEGRAM
Withgoogle
Пройдите тест "Как распознать фишинг"
Узнайте, можете ли вы определить фишинг.
Forwarded from Пост Лукацкого
А это квиз на проверку навыков по обнаружению фишинговых сайтов 🧑💻 . Он на английском, но там одни картинки и все понятно без слов (без регистрации и СМС).
Please open Telegram to view this post
VIEW IN TELEGRAM
OpenDNS
What is Phishing? Take the OpenDNS Phishing Quiz
Can you tell the difference between a legitimate website and a scam? Take this quiz to find out how you stack up against hackers.
Forwarded from SecAtor
Немецкий производитель корпоративного ПО SAP выпустил 15 новых заметок по безопасности в рамках Patch Tuesday, закрыв в том числе две критические уязвимости.
Наиболее серьезной из устраненных проблем является CVE-2022-39802 (оценка CVSS 9,9), которая описывается как обход пути к файлу в Manufacturing Execution.
Ошибка затрагивает средство просмотра рабочих инструкций и Visual Test and Repair — два плагина для отображения рабочих инструкций и моделей.
URL-адрес для запроса включал параметр пути к файлу, которым можно было манипулировать, чтобы разрешить произвольный обход каталогов на удаленном сервере.
Содержимое файла в каждом каталоге может быть прочитано в пользовательском контексте пользователя ОС, выполняющего процесс или службу NetWeaver.
Вторая критическая уязвимость CVE-2022-41204 (оценка CVSS 9,6) влияет на форму входа в SAP Commerce и может привести к захвату учетной записи через перенаправление URL.
Проблема возникает из-за того, что URL-адреса, которые вызываются при отправке формы входа, не очищаются должным образом, что позволяет злоумышленнику внедрить в них информацию о перенаправлении, что приводит к отправке конфиденциальной информации на сервер, контролируемый злоумышленником.
Злоумышленникам не требовались какие-либо привилегии для запуска эксплойта, главное, чтобы пользователь щелкнуть вредоносную ссылку, которая открывает манипулируемую форму входа для запуска эксплойта.
SAP выпустила пять новых и одну обновленную заметку о безопасности с высоким уровнем серьезности, в том числе три, посвященные уязвимостям раскрытия информации в BusinessObjects, и одну, касающуюся переполнения буфера в SQL Anywhere и IQ.
Две оставшиеся заметки устраняют многочисленные дыры в безопасности в 3D Visual Enterprise Viewer (17 проблем) и 3D Visual Enterprise Author (26 ошибок).
Злоумышленник может обманом заставить пользователей открыть измененные файлы в 3D Visual Enterprise Viewer/Author, что приведет к RCE или DoS.
Остальные девять замечаний по безопасности, о которых SAP объявила на этой неделе, касаются раскрытия информации средней степени серьезности и межсайтовых сценариев (XSS) в BusinessObjects, Enable Now, Commerce, Customer Data Cloud (Gigya) и Data Services Management Console.
Наиболее серьезной из устраненных проблем является CVE-2022-39802 (оценка CVSS 9,9), которая описывается как обход пути к файлу в Manufacturing Execution.
Ошибка затрагивает средство просмотра рабочих инструкций и Visual Test and Repair — два плагина для отображения рабочих инструкций и моделей.
URL-адрес для запроса включал параметр пути к файлу, которым можно было манипулировать, чтобы разрешить произвольный обход каталогов на удаленном сервере.
Содержимое файла в каждом каталоге может быть прочитано в пользовательском контексте пользователя ОС, выполняющего процесс или службу NetWeaver.
Вторая критическая уязвимость CVE-2022-41204 (оценка CVSS 9,6) влияет на форму входа в SAP Commerce и может привести к захвату учетной записи через перенаправление URL.
Проблема возникает из-за того, что URL-адреса, которые вызываются при отправке формы входа, не очищаются должным образом, что позволяет злоумышленнику внедрить в них информацию о перенаправлении, что приводит к отправке конфиденциальной информации на сервер, контролируемый злоумышленником.
Злоумышленникам не требовались какие-либо привилегии для запуска эксплойта, главное, чтобы пользователь щелкнуть вредоносную ссылку, которая открывает манипулируемую форму входа для запуска эксплойта.
SAP выпустила пять новых и одну обновленную заметку о безопасности с высоким уровнем серьезности, в том числе три, посвященные уязвимостям раскрытия информации в BusinessObjects, и одну, касающуюся переполнения буфера в SQL Anywhere и IQ.
Две оставшиеся заметки устраняют многочисленные дыры в безопасности в 3D Visual Enterprise Viewer (17 проблем) и 3D Visual Enterprise Author (26 ошибок).
Злоумышленник может обманом заставить пользователей открыть измененные файлы в 3D Visual Enterprise Viewer/Author, что приведет к RCE или DoS.
Остальные девять замечаний по безопасности, о которых SAP объявила на этой неделе, касаются раскрытия информации средней степени серьезности и межсайтовых сценариев (XSS) в BusinessObjects, Enable Now, Commerce, Customer Data Cloud (Gigya) и Data Services Management Console.
Onapsis
SAP Security Patch Day: October 2022
SAP's October Patch Day includes two HotNews notes with a high CVSS score in SAP Manufacturing Execution and SAP Commerce, along with multiple updated notes in SAP Business Objects.
Forwarded from Пост Лукацкого
Microsoft включила open source систему обнаружения вторжения Zeek (она же Bro в прошлом) в состав Windows, что позволит проводить полноценные расследования инцидентов ИБ
Corelight
Zeek is Now a Component of Microsoft Windows
Zeek, world’s leading open source network security monitoring platform, now deployed on more than one billion global endpoints via Microsoft Windows
👍1
Forwarded from SecAtor
Palo Alto Networks устранила серьезную уязвимость обхода аутентификации в веб-интерфейсе ПО PAN-OS 8.1.
CVE-2022-0030 имеет оценку CVSS 8.1 и позволяет сетевому злоумышленнику, обладающему определенными знаниями о целевом брандмауэре или устройстве Panorama, выдавать себя за существующего администратора PAN-OS и выполнять привилегированные действия.
Недостаток исправлен в PAN-OS 8.1.24 и более поздних версиях. Компания указала, что PAN-OS 8.1 достигла конца срока службы (EOL) и поддерживается только на PA-200, PA-500, брандмауэрах серии 5000 и на устройствах M-100, пока они также не достигнут статуса EOL.
Поставщик заявил, что ему не известно о каком-либо злонамеренном использовании этой проблемы.
CVE-2022-0030 имеет оценку CVSS 8.1 и позволяет сетевому злоумышленнику, обладающему определенными знаниями о целевом брандмауэре или устройстве Panorama, выдавать себя за существующего администратора PAN-OS и выполнять привилегированные действия.
Недостаток исправлен в PAN-OS 8.1.24 и более поздних версиях. Компания указала, что PAN-OS 8.1 достигла конца срока службы (EOL) и поддерживается только на PA-200, PA-500, брандмауэрах серии 5000 и на устройствах M-100, пока они также не достигнут статуса EOL.
Поставщик заявил, что ему не известно о каком-либо злонамеренном использовании этой проблемы.
Palo Alto Networks Product Security Assurance
CVE-2022-0030 PAN-OS: Authentication Bypass in Web Interface
An authentication bypass vulnerability in the Palo Alto Networks PAN-OS 8.1 web interface allows a network-based attacker with specific knowledge of the target firewall or Panorama appliance to impers...
Forwarded from Пост Лукацкого
Магический квадрат Гартнера по SIEMам. Если его сравнить с прошлогодним, то возникает оооочень много вопросов. И это не только «Где MP SIEM?», но и «Где Google с купленным Siemplify?»…
👍1
Forwarded from Vulnerability Management and more
The flaw (CVE-2022-42889) has been assigned a severity ranking of 9.8 out of a possible 10.0 on the CVSS scale and exists in versions 1.5 through 1.9 of Apache Commons Text. Proof-of-concept code for the vulnerability is already available, though so far there has been no sign of exploit activity.
@avleonovcom #Text4Shell #YetAnother4Shell
@avleonovcom #Text4Shell #YetAnother4Shell
Forwarded from Листок бюрократической защиты информации
Изменения_ГОСТ 34.13-2018.pdf
1.6 MB
Изменения в ГОСТ 34.13-2018
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
Forwarded from AlexRedSec
А вот еще один интересный проект нашел. Называется Privado - опенсорсный (!) инструмент статического анализа кода для обнаружения точек обработки и передачи персональных данных в коде и построения потоков данных.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
👍5