VMware устранила несколько серьезных недостатков безопасности в vCenter Server, которые могут позволить злоумышленникам выполнить код и обойти проверку подлинности в уязвимых системах.

Ошибки были обнаружены в реализации протокола DCE/RPC, который обеспечивает бесперебойную работу нескольких систем, создавая виртуальную унифицированную вычислительную среду.

Все уязвимости были обнаружены и разрыты исследователями Cisco Talos Димитриосом Тацисом и Александром Николичем.

Среди серьезных недостатков: переполнение кучи (CVE-2023-20892), использование после освобождения (CVE-2023-20893), чтение за пределами границ (CVE-2023-20895), ошибки записи за пределы допустимого диапазона (CVE-2023-20894).

Первые два (CVE-2023-20892, CVE-2023-20893) могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими доступ к сети, для получения доступа к выполнению кода в атаках высокой сложности, которые не требуют взаимодействия с пользователем.

Злоумышленник, нацеленный на CVE-2023-20895, может вызвать чрезмерное чтение и повреждение памяти, что позволит обойти аутентификацию на неисправленных устройствах vCenter Server.

Пятая уязвимость vCenter Server, связанная с чтением за границу, отслеживаемая как CVE-2023-20896, может быть удаленно использована в атаках типа DoS, нацеленных на несколько служб VMware на целевом хосте (например, vmcad, vmdird, vmafdd).

https://www.mandiant.com/resources/blog/securing-ai-pipeline
"In this blog post we will look briefly at the current state of AI, and then explore perhaps the most important question of them all: How do we secure it?"

Коллеги, самое время запатчится если ещё не патчили Keepass. Опубликован PoC.

Сегодня мы очень рады сообщить вам, что стали доступны все видеозаписи докладов с прошедшей конференции БЕКОН, посвящённой безопасности контейнеров и контейнерных сред (Kubernetes в первую очередь).

Таким образом сейчас уже доступны все материалы с мероприятия:
- Видео
- Презентации
- Фотоотчет

P.S. Теперь уже можно смело готовиться к следующему БЕКОНу ;)

«Наступательный ИИ» в руках атакующего

Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.

Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.

Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.

Полезный документ для использования в концептуальных прогнозах новых типов угроз ИБ.

Один наш источник любит рассказывать, что десять лет назад в среде гуманитариев было круто рассуждать, что их дети, собиравшиеся на юридический факультет, будут разбирать юридические казусы с участием роботов, включая пресловутый «кто должен заплатить, если в аварии виновата машина-беспилотник». Сегодня эта штука стала не просто реальностью, а обыденностью – кейсы, связанные с взаимодействием роботов и людей, разбираются не только в юриспруденции, но и во многих других областях, хотя взаимодействие это и не на 100% похоже на то, что предполагалось.

Мы это все к тому, что подвезли очередной доклад Всемирного Экономического Форума про наиболее интересные технологии обозримого будущего, и это отличное руководство к действию для тех, кто думает, в какую профессию отдавать детей.
Генеративный ИИ там есть, но не на первом месте, а на втором. А на первом – гибкие аккумуляторы. Как эта штука изменит мир, можно рассуждать долго, но главное, что вполне понятно, представители каких профессий на этом заработают – и это совершенно не программисты.

На третьем месте находится дань экологической повесте – авиационное топливо, не загрязнающее окружающую среду. Авиация – самый заметный (хотя и не самый большой) загрязнитель окружающей среды, и решение этой задачки – это не только деньги, но и большой плюс в карму.
А вот на четвертом месте – одна из самых интересных на наш взгляд штук – создание искусственных вирусов. Звучит страшно, но на деле такие вирусы позволяют, например, лечить генетические заболевания, для которых сейчас лечение отсутствует в принципе. И вот тут очень много работы не только для медиков и биологов, но и спецов по машинному обучению.

Есть в списке пресловутая метавселенная, но под интересным соусом. Создатели доклада считают, что ее основное применение будет в области психического здоровья, что открывает интересные перспективы сотрудничества психиатров с айтишниками.
Во второй половине первой десятки можно найти носимые сенсоры для растений, моделирование клеточных процессов на молекулярном уровне, гибкую нейроэлектронику (дада, это ровно то, что вы подумали), экологически чистые ЦОДы и ИИ в здравоохранении.

На наш взгляд, правило большого пальца при выборе профессии будущего должно звучать так – большинство наиболее востребованных специальностей уже сейчас имеют кросс-функциональную или кросс-отраслевую природу, и эта тенденция будет только усиливаться. В некоторым смысле на земле наступает вторая эпоха Возрождения, когда не просто можно быть одновременно художником, инженером и биологом, а именно такая конвергенция будет создавать ценность.

И кстати, если вы решили, что гуманитариям в этом самом будущем не место, то это вы зря. Всех этих замечательных Ренессансных людей (и роботов) придется организовывать, вдохновлять, решать проблемы в их отношениях (как личных, так и юридических) и даже держать за ручку, когда им по разным причинам будет не просто. И для этого всего-то и надо будет, что на базовом уровне разбираться в том, чем они занимаются.