Как одна маленькая ошибка может подорвать безопасность целой индустрии?

А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.

Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.

Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.

Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.

Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.

Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.

Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.

Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.

https://www.oreilly.com/live-events/cybersecurity-risk-management-with-the-nist-20-framework/0636920081497/

Учебный курс 1-2 мая про NIST CSF 2.0. При регистрации - 10 дневный триал на хорошей платформе с множеством актуальных книг и курсов (на английском).

11 апреля состоялся вебинар по мотивам работы MDR и DFIR в 2023. Слайды к вебинару не повторяли полностью материал из отчета MDR (отчет - общемировой, а в вебинаре я сравнивал РФ\СНГ с Миром, а также 2023 с 2022), поэтому, думаю, запись может быть интересной. Но сейчас не об этом.

Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".

GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
https://xakep.ru/2024/04/18/llm-vs-cves/

Безопасность данных в компании обеспечивают далеко не только специалисты ИБ. Причиной утечки может быть любой рядовой менеджер, установивший на компьютер вредоносное ПО. Тут важны комплексные инициативы.

На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.

Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.

У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.

Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.

Изобретательности киберподполья не перестаешь удивляться.

Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.

Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.

Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.

Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.

При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.

Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.

Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.

Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.

Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.