Forwarded from SecAtor
WordPress выпустила обновление 6.4.2 для устранения критической уязвимости, которой могут воспользоваться злоумышленники, объединив ее с другой ошибкой для выполнения произвольного PHP-кода на уязвимых сайтах.
Wordfence обнаружила уязвимость цепочки свойств-ориентированного программирования (POP), которая при определенных условиях может позволить злоумышленнику удалить произвольные файлы, получить конфиденциальные данные, выполнить произвольный PHP-код и захватить контроля над целевым сайтом.
Проблема связана с классом WP_HTML_Token, представленным в WordPress 6.4 для улучшения анализа HTML в редакторе блоков.
Цепочка POP требует, чтобы злоумышленник контролировал все свойства десериализованного объекта, что возможно с помощью функции PHP unserialize(). Следствием этого является возможность перехватить поток приложения, управляя значениями, отправляемыми в megic-методы, такие как _wakeup().
Для достижения критической серьезности проблема безопасности требует наличия уязвимости внедрения PHP-объекта на целевом сайте, которая может присутствовать в плагине или надстройке темы.
Хотя эта уязвимость сама по себе не является критической, из-за необходимости внедрения объектов в установленные и активные плагины или темы наличие уязвимой цепочки POP в ядре WordPress значительно увеличивает общий риск для сайтов.
При этом Patchstack сообщила, что с 17 ноября на GitHub доступна цепочка эксплойтов, а затем добавлена в проект PHP Generic Gadget Chains (PHPGGC), которая используется при тестировании безопасности PHP-приложений.
Пользователям рекомендуется вручную проверить свои сайты и убедиться, что они обновлены до последней версии.
Если какой-либо из проектов содержит вызовы функции unserialize, Patchstack настоятельно рекомендует заменить ее чем-нибудь другим, например кодированием/декодированием JSON с использованием PHP-функций json_encode и json_decode.
Даже если уязвимость потенциально критическая и ее можно использовать при определенных обстоятельствах, исследователи рекомендуют администраторам обновиться до последней версии WordPress.
Wordfence обнаружила уязвимость цепочки свойств-ориентированного программирования (POP), которая при определенных условиях может позволить злоумышленнику удалить произвольные файлы, получить конфиденциальные данные, выполнить произвольный PHP-код и захватить контроля над целевым сайтом.
Проблема связана с классом WP_HTML_Token, представленным в WordPress 6.4 для улучшения анализа HTML в редакторе блоков.
Цепочка POP требует, чтобы злоумышленник контролировал все свойства десериализованного объекта, что возможно с помощью функции PHP unserialize(). Следствием этого является возможность перехватить поток приложения, управляя значениями, отправляемыми в megic-методы, такие как _wakeup().
Для достижения критической серьезности проблема безопасности требует наличия уязвимости внедрения PHP-объекта на целевом сайте, которая может присутствовать в плагине или надстройке темы.
Хотя эта уязвимость сама по себе не является критической, из-за необходимости внедрения объектов в установленные и активные плагины или темы наличие уязвимой цепочки POP в ядре WordPress значительно увеличивает общий риск для сайтов.
При этом Patchstack сообщила, что с 17 ноября на GitHub доступна цепочка эксплойтов, а затем добавлена в проект PHP Generic Gadget Chains (PHPGGC), которая используется при тестировании безопасности PHP-приложений.
Пользователям рекомендуется вручную проверить свои сайты и убедиться, что они обновлены до последней версии.
Если какой-либо из проектов содержит вызовы функции unserialize, Patchstack настоятельно рекомендует заменить ее чем-нибудь другим, например кодированием/декодированием JSON с использованием PHP-функций json_encode и json_decode.
Даже если уязвимость потенциально критическая и ее можно использовать при определенных обстоятельствах, исследователи рекомендуют администраторам обновиться до последней версии WordPress.
https://therecord.media/hhs-proposes-cyber-requirements-for-hospitals
"HHS proposes new cybersecurity requirements for hospitals through HIPAA, Medicaid and Medicare
The United States Department of Health and Human Services (HHS) said it is planning to take a range of actions in an effort to better address cyberattacks on hospitals, which have caused dozens of outages across the country in recent months.
First reported by Politico, HHS published a planning document on Wednesday that outlines several voluntary and potentially mandatory actions hospitals will need to take."
"HHS proposes new cybersecurity requirements for hospitals through HIPAA, Medicaid and Medicare
The United States Department of Health and Human Services (HHS) said it is planning to take a range of actions in an effort to better address cyberattacks on hospitals, which have caused dozens of outages across the country in recent months.
First reported by Politico, HHS published a planning document on Wednesday that outlines several voluntary and potentially mandatory actions hospitals will need to take."
Forwarded from k8s (in)security (r0binak)
Сегодня хотим поделиться с вами плейлистом Container Security Fundamentals – видео, созданные по мотивам цикла статей от Rory McCune (1,2,3,4,5). В них рассматриваются все те же темы, что и в статьях – Linux Namespaces, Linux Capabilities, Seccomp, AppArmor.
Возможно кому-то будет легче воспринимать информацию с видео и динамически изменяющейся картинкой ;)
Возможно кому-то будет легче воспринимать информацию с видео и динамически изменяющейся картинкой ;)
Telegram
k8s (in)security
Отличный специалист Rory McCune начал очередной цикл статей (думаю все помнят его цикл статей про PCI DSS в Kubernetes) "Container security fundamentals: Exploring containers as processes".
Он доступно, наглядно и с примерами показывает как можно работать…
Он доступно, наглядно и с примерами показывает как можно работать…
Forwarded from Пост Лукацкого
Запустил новый онлайн-курс по визуализации, дашбордам и отчетам ИБ. 8 часов видео, около 70 уроков. Как обычно, бесплатно и без регистрации 😊
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Новый онлайн-курс по визулизации ИБ
Я сделал это! Наконец-то я разместил в онлайн-школе "ВЫШИБАЛА" давно обещанный курс по визуализации ИБ! Если честно, то этот курс я записал еще 2, мать его, года назад. Это было в прошлой жизни, до начала СВО и до моего ухода из Cisco. Мы все еще сидели на…
Forwarded from Privacy Advocates
⚡Президент России подписал закон (589-ФЗ от 12.12.2023) об ужесточении административной ответственности за нарушения при использовании биометрических персональных данных (ПД) граждан и за несоблюдение письменной формы согласия на обработку ПД - когда ее использование является обязательным.
"In response, the NIST National Cybersecurity Center of Excellence (NCCoE) has worked closely with the industry and tech community to develop two draft NIST Special Publications (SP):
1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C)
1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C)
These guides provide recommendations on how to prevent and recover from data breaches, including cybersecurity and privacy considerations to prepare for data breaches and specific technical direction for implementation."
https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches
1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C)
1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C)
These guides provide recommendations on how to prevent and recover from data breaches, including cybersecurity and privacy considerations to prepare for data breaches and specific technical direction for implementation."
https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches
NCCoE
Data Confidentiality: Identifying and Protecting Assets Against Data Breaches | NCCoE
Project AbstractAn organization’s data is one of its most valuable assets and must be protected from unauthorized access and disclosure. Large and small data breaches can impact the ability of an organization to survive as operational and financial data,…
Forwarded from Порвали два трояна
Как правильно организовать реагирование на инциденты и когда привлекать внешнего подрядчика?
На эти и многие другие вопросы подробно ответил Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов «Лаборатории Касперского» в очень практичном интервью Anti-Malware.ru. В числе прочего он рассказал:
🟣 чем реагирование отличается от расследования;
🟣 каковы основные этапы реагирования и расследования;
🟣 что сначала - расследование или устранение последствий?
🟣 когда привлекать внешних экспертов к расследованию
🟣 как можно гарантировать время реакции подрядчика?
🟣 какие инструменты нужны заказчику.
➡️ читать полное интервью
➡️ смотреть видеоверсию.
#советы @П2Т
На эти и многие другие вопросы подробно ответил Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов «Лаборатории Касперского» в очень практичном интервью Anti-Malware.ru. В числе прочего он рассказал:
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Anti-Malware
Константин Сапронов: О реагировании нужно задумываться до того, как произошёл киберинцидент
Актуальные тенденции в области работы с киберинцидентами указывают на смещение акцентов от предотвращения в сторону обнаружения и реагирования. Заметно повышается важность качественного
Forwarded from k8s (in)security (r0binak)
Вышла версия
- Structured Authorization Configuration. Упрощается аудит безопасности, что облегчает применение и проверку политик доступа.
- Bound Service Account Token Improvements. Повышает безопасность токенов, привязывая их к конкретным экземплярам
- Reduction of Secret-Based Service Account Tokens. Фича направлена на уменьшение зависимости от долгоживущих токенов учетных записей.
- Ensure Secret Pulled Images. Образы всегда будут извлекаться с использованием секретов
- Support for User Namespaces. Фича поддерживает пользовательские пространства имен и повышает безопасность
- Structured Authentication Configuration. Новая фича дает более удобный и безопасный подход к управлению аутентификацией.
- KMS v2 Improvements. Эта фича стала стабильной и направлена на улучшение плагина
Kubernetes 1.29 под кодовым названием Mandala! Если говорить о security изменениях, то это в первую очередь:- Structured Authorization Configuration. Упрощается аудит безопасности, что облегчает применение и проверку политик доступа.
- Bound Service Account Token Improvements. Повышает безопасность токенов, привязывая их к конкретным экземплярам
Pods.- Reduction of Secret-Based Service Account Tokens. Фича направлена на уменьшение зависимости от долгоживущих токенов учетных записей.
- Ensure Secret Pulled Images. Образы всегда будут извлекаться с использованием секретов
Kubernetes для использующего их Pod.- Support for User Namespaces. Фича поддерживает пользовательские пространства имен и повышает безопасность
Kubernetes.- Structured Authentication Configuration. Новая фича дает более удобный и безопасный подход к управлению аутентификацией.
- KMS v2 Improvements. Эта фича стала стабильной и направлена на улучшение плагина
KMS.https://github.com/onhexgroup/Conferences
"Conference slides
Blackhat Asia 2023
Offensivecon 2023
Blackhat USA 2023
Recon 2023
Blackhat Europe 2023"
"Conference slides
Blackhat Asia 2023
Offensivecon 2023
Blackhat USA 2023
Recon 2023
Blackhat Europe 2023"
GitHub
GitHub - onhexgroup/Conferences: Conference presentation slides
Conference presentation slides. Contribute to onhexgroup/Conferences development by creating an account on GitHub.
Forwarded from Пакет Безопасности
Дорогая, я на тренировку
Как-то на одном из докладов я упоминал про то, что всем ИБшникам известны сервисы, где можно потренировать свои практические навыки в этичном хакинге и в обеспечении безопасности. А полезные ссылки так и не приложил. Настало время исправляться, поэтому ловите список тренировочных площадок и ресурсов, где можно оттачивать свои скиллы.
– Две суперзвезды на арене практического тестирования на проникновение – Hack The Box и TryHackMe
– Красивы тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – Kontra
– Сборник различных CTF-ов в одном месте – CTFtime + отечественный аналог – Codeby.games
– Для любителей Линукс-дистрибутивов – OverTheWire Bandit и Linux Journey
– Для любителей реверс-инжиниринга – Crackmes one и pwnable tw
Ну всё, запасаемся кофе и идёмразвлекаться тренироваться.
#Полезное
Твой Пакет Безопасности
Как-то на одном из докладов я упоминал про то, что всем ИБшникам известны сервисы, где можно потренировать свои практические навыки в этичном хакинге и в обеспечении безопасности. А полезные ссылки так и не приложил. Настало время исправляться, поэтому ловите список тренировочных площадок и ресурсов, где можно оттачивать свои скиллы.
– Две суперзвезды на арене практического тестирования на проникновение – Hack The Box и TryHackMe
– Красивы тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – Kontra
– Сборник различных CTF-ов в одном месте – CTFtime + отечественный аналог – Codeby.games
– Для любителей Линукс-дистрибутивов – OverTheWire Bandit и Linux Journey
– Для любителей реверс-инжиниринга – Crackmes one и pwnable tw
Ну всё, запасаемся кофе и идём
#Полезное
Твой Пакет Безопасности
👍2
Мы про NIST NICE уже писали 2 или 3 раза. Но от ещё одного обзора хуже не будет.
Forwarded from Кибербез образование
Фреймворк для развития знаний и навыков в области кибербезопасности (NICE Framework)
NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США🤔
Адаптированный перевод фреймворка в виде матрицы компетенций от🟥 можно найти по ссылке.
NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).
🔥 И это еще не все 😳 На основе NICE Framework американцы построили карьерный путь в кибербезе. Весь кибербез они разделили на пять сообществ (на рисунке): IT, Cybersecurity, Cyber Effects, Intel (Cyber) и Cross Functional. В интерактивном режиме можно выбрать одно из сообществ и увидеть, как связаны Специализированные области, чтобы построить свой карьерный трек 🤔
Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию👀
Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать)😔
В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году😱
#nice_framework #модель_компетенций
NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США
Адаптированный перевод фреймворка в виде матрицы компетенций от
NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).
Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию
Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать)
В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from AlexRedSec
Оказывается в этом году в Zoom придумали собственную систему оценки уязвимостей VISS - The Vulnerability Impact Scoring System.
VISS представляет собой 100-балльную систему оценки, которая рассчитывается на основании 13 метрик, объединенных в три группы. Группы сформированы на основании воздействия на определенный тип платформы, инфраструктурной сущности и типа обрабатываемых данных. При расчете оценки также учитываются применяемые компенсирующие меры.
Авторы подчеркивают, что VISS создана не с целью замены традиционной оценки CVSS, а для совместного использования - чтобы исключить субъективную составляющую при расчете опасности уязвимости по CVSS.
Помимо вышесказанного, авторы также рассказали, что предварительно "обкатали" систему оценки VISS в своей программе багбаунти на площадке H1, что помогло ее доработать и оценить эффективность.
➡️ Документация VISS
➡️ Калькулятор VISS
➡️ Репозиторий VISS
➡️ Zoom о системе VISS
VISS представляет собой 100-балльную систему оценки, которая рассчитывается на основании 13 метрик, объединенных в три группы. Группы сформированы на основании воздействия на определенный тип платформы, инфраструктурной сущности и типа обрабатываемых данных. При расчете оценки также учитываются применяемые компенсирующие меры.
Авторы подчеркивают, что VISS создана не с целью замены традиционной оценки CVSS, а для совместного использования - чтобы исключить субъективную составляющую при расчете опасности уязвимости по CVSS.
Помимо вышесказанного, авторы также рассказали, что предварительно "обкатали" систему оценки VISS в своей программе багбаунти на площадке H1, что помогло ее доработать и оценить эффективность.
Please open Telegram to view this post
VIEW IN TELEGRAM