Друзья!

Ни для кого не секрет, что этот чат являлся также и официальным чатом пользовательской группы Positive Development User Group (посвящённой вопросам разработки безопасных приложений), с момента её создания. На этот год мы запланировали множество позитивных изменений, направленных на объединение этих двух групп в единое сообщество, дополнение его новыми форматами и повышение ценности для всех его участников.

Обо всех планах и грядущих изменениях мы расскажем в ближайшие недели, следите за новостями! А для того, чтобы переход прошёл более органично, мы начнём с переименования нашего канала и его чата в новое название объединённого сообщества: Positive Development Community.

​​Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.

Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.

Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.

По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.

Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением. 

Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.

Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.

Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.

В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему. 

По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.

Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.

Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.

Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.

🟥 Приглашаем на релиз новой версии PT Application Inspector 4.0.
Как выйти на уровень безопасной разработки

➡️ 82% всех уязвимостей инфраструктуры содержатся в коде приложения.
Каждая пятая из них грозит компании серьезными последствиями.
Для того, чтобы находить слабые места еще на стадии разработки нужен анализатор кода, такой, как PT Application Inspector.

Он комбинирует технологии SAST, DAST, IAST и SCA. Встраивается в процессы компании, помогает раз и навсегда подружить ИБ и разработку.

7 апреля эксперты Positive Technologies проведут митап для разработчиков и инженеров DevOps и DevSecOps, где расскажут:
🔻 Про методы анализа и абстрактную интерпретацию как способ повысить качество анализа
🔻Как посчитать выгоду DevSecOps для компании и подружить ИБ с разработкой
🔻Новые фичи PT Application Inspector версии 4.0

Зарегистрироваться

🎙Мы начинаем онлайн-митап «PT Application Inspector 4.0 Как выйти на уровень безопасной разработки» 😎 Нажмите "подключиться", чтобы следить за трансляцией в Телеграм

Подключиться 👈🏻

📌 Спасибо всем за участие в онлайн-релизе PT Application Inspector 4.0.
Для тех, кто не смог посмотреть трансляцию, мы опубликовали запись и презентацию

💎 Обладателями мерча от PT Application Inspector стали:

1. Михаил Черкашин, за лучший вопрос: появится в PT AI возможность анализа yaml-файлов для docker/kubernetes? Будет ли возможность проверки OpenAPI/Swagger файлов в решении? Появится ли возможность анализа разрабатываемых API интерфейсов

Ответ: Да, в планах есть, уже исследуем и прорабатываем вопросы и проверки конфигураций контейнеров, и работа с API. Для API планируется реализация и для статического анализа, и для динамического. Это проверять не только конфигурацию API, реализацию в коде, но и работу в режиме чёрного для развёрнутого сервиса.

2. Евгений Борисов, с за лучший вопрос: можно ли самому запускать абстрактную интерпретацию куска кода? Например, есть функция и я хочу понять при каких входных условиях она достигает определенной
точки исполнения.

Ответ: Мы сейчас активно работаем над расширением возможностей по заданию собственных правил и дополнению встроенной базы знаний на стороне пользователя. В том числе мы хотим реализовать что-то вроде песочницы, где можно будет проверять работоспособность создаваемых правил. В рамках этой фичи хотим добавить и работу с нашей моделью данных, что позволит проверять собственные гипотезы с помощью абстрактной интерпретации.

📩 Победителям напиcали на почту, указанную при регистрации.

Ждем всех 14 апреля на вебинаре "Безопасная разработка: плагины для IDE"

Зарегистрироваться 📝

Спасибо всем, кто проявил интерес и участвовал в вебинаре "Безопасная разработка: плагины для IDE" от 14.04.2022. Запись вебинара доступна по ссылке

На всякий случаем продублируем ещё раз полезные ссылки:
Плагины можно качать по ссылкам

https://github.com/POSIdev-community/AI.Plugin.IntelliJ/releases/tag/1.0.0

https://github.com/POSIdev-community/AI.Plugin.VSCode/releases/tag/1.0.0

На следующей неделе мы сообщим результаты по выбору лучшего вопроса 😉

Мы определили победителей лучших вопросов с вебинара "Безопасная разработка: плагины для IDE". Ими стали:

📌 TS Nikita, с вопросом
Планируется ли механизм корреляции событий SCA и SAST на предмет использования
уязвимых функций?

📌 Александр Кремлёв, с вопросом
Теги supress будут работать в дальнейшем, когда весь проект будет проверяться
перед релизом? Как предотвратить злоупотребления тегом?

Мерч от Application Inspector 4 найдёт своих героев в email (либо напишите здесь в комментариях, запросим данные для отправки подарков).

Если у вас остались вопросы по плагинам, или появились новые, задавайте их в комментариях 👇🏻

🔥 18 и 19 мая пройдет самая масштабная в России конференция в сфере кибербеза Positive Hack Days 💥

Традиционно мы организовываем трек по безопасной разработке.
Ниже представляем в значительной степени сформированную программу. Финальную сетку докладов выложим в ближайшее время.

📝 SAST против атаки на цепочку поставок: кто кого?
Владимир Кочетков

📝 Безопасная разработка в вашей IDE.
Андрей Лядусов

📝 Анализ клиентского JavaScript-кода для обнаружения HTTP-эндпоинтов.
Даниил Сигалов

📝 Фреймворк безопасной разработки от компании Swordfish Security.
Светлана Газизова

📝 Самооценка зрелости направлений и процессов AppSec.
Шаров Илья

📝 Поставить или положить. Атаки на цепочки поставок.
Евгений Полонский

📝 Актуальные вызовы композиционному анализу ПО.
Алексей Смирнов

📝 Пишем самый лучший livepatch ядра Linux.
Елена Быковченко

📝 Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода для начинающих.
Куцовол Татьяна

📝 Игры в безопасность.
Алексей Бабенко

📝 Network Policy - родной межсетевой экран Kubernetes.
Дмитрий Евдокимов

📝 Application Inspector vs embedded malware.
Дмитрий Рассадин

📝 Новый подход к автоматизированной генерации эксплойтов для больших веб-приложений.
Даниил Садырин

Планируете в этом году посетить конференцию?

Билеты на трек по разработке в рамках форума Positive Hack Days!

Уже по традиции мы открываем сбор заявок на участие в треке по разработке. Билеты бесплатные, но их количество ограничено.

Для того чтобы подать заявку на бесплатное участие заполните, пожалуйста, анкету. Сбор заявок продлится до 6 мая.
Информация по билетам придет на эл.почту.

📩 Мы продлеваем сбор заявок на трек по безопасной разработке до 10 мая!

Если вы ещё не успели заполнить анкету на форум Positive Hack Days для получения бесплатного билета, то у вас появилось + 3 дня!⏱

Также делимся финальной программой секции по безопасной разработке 🧷

🔐 Positive Hack Days пройдёт 18 и 19 мая

📎 Основная тема PHDays 2022: «IN-dependence-эра It’s your choice».
В программе десятки выступлений, презентаций, лекций, круглых столов, мастер-классов, лабораторных практикумов и конкурсов.

📌 Участникам комьюнити POSIdev, которые заполнили анкету до 10 мая на почту были высланы билеты. Если у вас сложности с получением билета, напишите пожалуйста в комментариях. Для участников формата online регистрация не нужна, трансляция доступна всем желающим, пересылайте ссылку коллегам.

📌 Программа трека по разработке во вложении.

📌 В рамках доклада «Безопасная разработка в вашей IDE» расскажем про новую версию 1.1 плагинов для IDE VS Code и JetBrains, в которую войдёт поддержка языка Java, поддержка IntelliJ IDEs 2022.1 и небольшие доработки.


🔲 Открытие PHDays – 18 мая в 10:00 (Мск). Приглашаем всех смотреть и слушать трансляцию здесь!

Друзья, все кто НЕ получил электронные билеты на PHDs или ваше имя было написано неверно, приходите завтра на площадку проведения форума (Центр международной торговли, 4 подъезд), на регистрации говорите имя, которое вы указывали в анкете, и получайте бейдж участника.

Просим прощения за неудобства

Как нас найти на PHDs 🔎

Трек по разработке будет проходить в зале Селигер, 1 этаж.

Начало в 10.40

Сегодня, 19 мая, в 10:50 в прямом эфире PHD смотрите радиорубку на тему «DevSecOps: от лозунгов к реализации»

Спикеры эфира:
Алексей Бабенко, заместитель руководителя Центра программных решений НСПК

Алексей Жуков, руководитель направления по развитию продуктов для DevSecOps, Positive Technologies

Владимир Кочетков, руководитель отдела исследований и разработки анализаторов кода, Positive Technologies

Сегодня в 19 мая, в 12.15 в прямом эфире PHD смотрите батл на тему «Креативное мышление: спор физика и лирика».

Спикеры:

Владимир Кочетков, руководитель отдела исследований и разработки анализаторов кода, Positive Technologies.

Ян Хачатуров, креативный партнёр Positive Technologies

#мероприятия