͏Ряд авторитетных инфосек-компаний представили результаты ежегодной аналитики ландшафта угроз.

Останавливаться подробно на каждом смысла особого нет, отметим лишь наиболее важные выводы.

CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:

- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.

Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:

- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.

Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:

- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.

Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇

На этой неделе Cisco объявила об обновлениях программного обеспечения, устраняющих критическую уязвимость в веб-интерфейсе управления IP-телефонов серий 6800, 7800 и 8800.

Ошибка, отслеживаемая как CVE-2023-20078 (оценка CVSS 9,8) может быть использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Дефект безопасности, как поясняет Cisco в своем бюллетене, возникает из-за того, что вводимые пользователем данные недостаточно проверяются.

Потенциальный злоумышленник может воспользоваться этой багой, отправив сформированный запрос в веб-интерфейс управления, что в итоге позволит злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.

Уязвимые продукты включают IP-телефоны серий 6800, 7800 и 8800 с кроссплатформенной прошивкой. Недостаток устранен в выпуске прошивки версии 11.3.7SR1.

Обновление ПО также устраняет CVE-2023-20079 (оценка CVSS 7,5), еще одну проблему с недостаточной проверкой данных, введенных пользователем. Ошибка может быть использована для создания условия отказа в обслуживании (DoS).

В дополнение к вышеупомянутым устройствам уязвимость также затрагивает IP-телефон для конференц-связи Cisco 8831, в том числе с кроссплатформенной прошивкой, а также IP-телефоны серии 7900, которые достигли статуса окончания срока службы (EoL) и не будут получать патчи.

Со слов Cisco, ей неизвестно об использовании какой-либо из этих уязвимостей в злонамеренных атаках.

https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8432.ipd.pdf
The National Cybersecurity Center of Excellence (NCCoE) has published Draft NIST Internal Report (NIST IR) 8432, Cybersecurity of Genomic Data. The public comment period is now open through April 3, 2023.

"This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research."

Китайский исследователь 4ra1n выпустил PoC для RCE-уязвимости CVE-2023-21839, затрагивающей сервера Oracle WebLogic и имеющей оценку CVSS 7,5.

Уязвимость в продукте Oracle WebLogic Server для Oracle Fusion Middleware кроется в компоненте ядра и влияет на версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0.

Легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP, скомпрометировать Oracle WebLogic Server.

Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle WebLogic Server.

Ошибка была исправлена Oracle 24 января этого года. Тем не менее, пользователям следует озаботиться соответствующими обновлениями для купирования потенциальных рисков эксплуатации.

Decision to Revise FIPS 180-4, Secure Hash Standard | CSRC
https://csrc.nist.gov/News/2023/decision-to-revise-fips-180-4

NIST has decided to revise FIPS 180-4 and will revise the text to:

Remove the SHA-1 specification;

Add any guidance from NIST Special Publication (SP) 800-107, Recommendation for Applications Using Approved Hash Algorithms, that belongs in this document;

Improve the standard’s editorial quality;
and
Update its references.

Пару дней назад, в блоге Kubernetes вышла статья – Forensic container analysis, которая по сути является продолжением статьи Forensic container checkpointing in Kubernetes, о которой мы писали ранее. В ней автор детально показывает как с помощью таких инструментов как checkpointctl, tar, crit и gdb, работать с checkpoint.

После создания снэпшота формируется tar-архив. Для получения высокоуровневой информации, достаточно тулзы checkpointctl, но если вы хотите полезть глубже, нужно распаковать архив. Внутри будет следующее:

- bind.mounts – содержит информацию о всех смонтированных директориях и файлах
- checkpoint/ – сам checkpoint, созданный CRIU
- config.dump и spec.dump – содержат необходимые метаданные для восстановления контейнера
- dump.log – содержит логи CRIU, записанные при создании checkpoint
- stats-dump – статистика дампа
- rootfs-diff.tar – файловая система контейнера

Данная статья будет полезна как forensic специалистам, так и тем кто хочет глубже погрузиться в тему контейнерного DFIR.

Всем центрам мониторинга приготовиться: RCE-уязвимость в ICMP (CVE-2023-23415)

Microsoft Security Response Center опубликовал security-обновление, в котором устранена критическая уязвимость в протоколе Internet Control Message Protocol (ICMP) с потенциалом удаленного выполнения кода.

Показатель критичности (CVSSv3.1): 9.8 (Critical)

Эксплойт пока не опубликован, поэтому есть время оценить поверхность атаки и принять меры.

Kubernetes is the key to cloud, but cost containment is critical
https://www.techrepublic.com/article/kubernetes-cloud-adoption-challenges/

Cost surprises are a key challenge for K8s

When Pepperdata surveyed IT leaders about the challenges they faced in adopting Kubernetes:

57% said significant or unexpected spending on computation, storage networking infrastructures and cloud-based IaaS.

56% cited the learning curve for employees to be able to upskill for operations and security in Kubernetes environments.

52% pointed to limited support for stateful apps (such as applications that save client data).
50% said lack of visibility into Kubernetes’ spending.