Детальная информация о нашумевшей и активно эксплуатируемой в настоящее время RCE-уязвимости в log4j: https://www.lunasec.io/docs/blog/log4j-zero-day/

Изменения в коде log4j, устраняющие проблему: https://github.com/apache/logging-log4j2/pull/608/files

Ещё пара ссылок по теме Log4Shell (CVE-2021-44228):

1. https://github.com/christophetd/log4shell-vulnerable-app — минимальный пример уязвимого приложения;

2. https://github.com/Cybereason/Logout4Shell — "вакцина", эксплуатирующая уязвимость и изменяющая конфигурацию текущего экземпляра логгера атакованного приложения таким образом, чтобы сделать его неуязвимым к данной атаке :)

Apache Issues 3rd Patch to Fix New High-Severity Log4j Vulnerability

The issues with Log4j continued to stack up as the Apache Software Foundation (ASF) on Friday rolled out yet another patch — version 2.17.0 — for the widely used logging library that could be exploited by malicious actors to stage a denial-of-service (DoS) attack.

https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

За последнюю неделю сразу две российских ИБ-компании поделились своим виденьем концепции DevSecOps:

Positive Technologies, "Безопасная разработка: какую часть Sec занимает в DevSecOps", https://habr.com/ru/company/pt/blog/595955/

Swordfish Security, "DevSecOps by Swordfish Security", https://habr.com/ru/company/swordfish_security/blog/596817/ и https://habr.com/ru/company/swordfish_security/blog/596961/

Без лишних слов: Positive Hack Days состоится 18–19 мая!

А это значит, что на одной площадке снова соберутся хакеры, звёзды отечественной и зарубежной информационной безопасности, инфлюенсеры, представители бизнеса и госструктур, молодые ученые и журналисты.

И сейчас мы ищем докладчиков!

Выступить на PHDays может каждый — и признанный эксперт, и начинающий специалист. Если у вас есть важный доклад по одной из проблем ИБ, интересный своей актуальностью и новизной, — смело подавайте заявку. Мы рассмотрим все обращения до 1 марта и обязательно ответим до 1 апреля. Ждём ваших докладов: https://cfp.phdays.com/login

Positive Hack Days — это международный форум по практической безопасности, который организует компания Positive Technologies. Среди побывавших у нас хедлайнеров — легендарный криптограф Брюс Шнайер, один из разработчиков USB-эмулятора FaceDancer Трэвис Гудспид, соавтор концепции криптографии с открытым ключом Уитфилд Диффи, Founder & CEO в BINARLY Александр Матроcов.

Безопасность web3: уязвимости на стыке блокчейна и веб-технологий ✨Арсений Реутов

https://youtu.be/J4tZHDyM7rA

Напоминаем, что в рамках данного CFP принимаются также заявки на наш трек для разработчиков.

Как попасть на Positive Hack Days?

👉 Купить билеты или стать докладчиком!

Продлеваем прием заявок на выступление с докладами на форуме до 18 марта включительно.

Мы получили большое количество докладов, но вы еще можете успеть запрыгнуть в последний вагон.

Докладчиками могут стать и признанные эксперты, и начинающие специалисты. Мы приглашаем спикеров выступить с техническими докладами на темы поиска и эксплуатации уязвимостей, защиты от различных атак, практики разработки безопасного программного обеспечения.

🔥 Подать заявку можно здесь

Минутка вакансий:

Специалист по анализу защищенности кода, ПАО “Ростелеком”
#Appsec
ЗП: 120.000-180.000 гросс + бонусы и премии

Задачи:
• Участвовать в создании цикла безопасной разработки;
• Обеспечивать защиты разрабатываемых и используемых приложений компании;
• Проводить аудит кода в части недостатков ИБ;
• Моделировать угрозы и формировать требования к безопасности веб-приложений;
• Консультировать разработчиков и контролировать устранение выявленных уязвимостей;
• Участие в Red Teaming;
• Оформление сопутствующей документации (рекомендации по устранению уязвимостей и др.);

Требования:
• Опыт проведения анализа защищенности веб-приложений (динамический анализ; чёрный ящик);
• Опыт поиска и эксплуатации уязвимостей;
• Опыт нахождения уязвимостей в коде
• Понимание основных протоколов авторизации: SAML, OAuth и др.;
• Знание основных методик тестирования: OWASP, PCI DSS, PTES и др.;
• Знание основных скриптовых языков: Python, Bash и др.;

Будет плюсом:
• Участие в программах bug bounty;
• Участие в CTF;
• Наличие сертификатов OSCP, OSCE, OSWE и т.д.;
• Опыт разработки приложений;
• Знание базового стека Java (J2EE, Spring Framework, REST API и т.д.);
• Опыт работы с docker, docker-compose, k8s.

Контакты: Telegram,
89604959259 Татьяна @TatianaRTK

Друзья!

Ни для кого не секрет, что этот чат являлся также и официальным чатом пользовательской группы Positive Development User Group (посвящённой вопросам разработки безопасных приложений), с момента её создания. На этот год мы запланировали множество позитивных изменений, направленных на объединение этих двух групп в единое сообщество, дополнение его новыми форматами и повышение ценности для всех его участников.

Обо всех планах и грядущих изменениях мы расскажем в ближайшие недели, следите за новостями! А для того, чтобы переход прошёл более органично, мы начнём с переименования нашего канала и его чата в новое название объединённого сообщества: Positive Development Community.

​​Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.

Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.

Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.

По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.

Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением. 

Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.

Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.

Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.

В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему. 

По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.

Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.

Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.

Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.

🟥 Приглашаем на релиз новой версии PT Application Inspector 4.0.
Как выйти на уровень безопасной разработки

➡️ 82% всех уязвимостей инфраструктуры содержатся в коде приложения.
Каждая пятая из них грозит компании серьезными последствиями.
Для того, чтобы находить слабые места еще на стадии разработки нужен анализатор кода, такой, как PT Application Inspector.

Он комбинирует технологии SAST, DAST, IAST и SCA. Встраивается в процессы компании, помогает раз и навсегда подружить ИБ и разработку.

7 апреля эксперты Positive Technologies проведут митап для разработчиков и инженеров DevOps и DevSecOps, где расскажут:
🔻 Про методы анализа и абстрактную интерпретацию как способ повысить качество анализа
🔻Как посчитать выгоду DevSecOps для компании и подружить ИБ с разработкой
🔻Новые фичи PT Application Inspector версии 4.0

Зарегистрироваться