📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Самые громкие атаки и наиболее заметные утечки от 🟥

📰 Очередная часть цикла статей «Выдающиеся программисты 21-го века», посвящённая Ральфу Мерклу, чьё имя известно куда меньшему количеству людей, по сравнению с его работами.

📰 Разбор набирающей обороты волны атак на CVE-2023-22518 (недостаточная авторизация в Atlassian Confluence). Здесь также стоит обратить внимание на разбор «соседней» уязвимости в том же продукте.

📰 Обзор механизмов и проблем безопасности редактора VSCode «от создателей SonarQube».

📰 Внушительная статья от Брюса Шнайера (на правах соавтора) о принципе «развязки» (decoupling) в современных системах.

📰 Вторая часть райтапа от участников Pwn2Own об атаках на Netgear RAX30.

📰 Исследование от Aquasec о методах переобнаружения уязвимостей в opensource-проектах на ранних этапах их существования.

📰 Разбор CVE-2023-32782 (OS Commanding в PRTG и Dicom C-ECHO sensor).

📰 Вводная статья об управлении секретами в рамках CI/CD.

📰 Обзор recon-фреймворка OWASP Nettacker.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-46730, обнаруженная в CRM Group-Office до версий 6.8.15, 6.7.54 и 6.6.177, может приводить к чтению локальных файлов и SSRF. Уязвимость заключается в возможности атакующим задавать путь к файлу через схему "file://" при загрузке файлов. Это обеспечивается использованием функции "$httpClient->download", которая реализует загрузку файлов с удаленных источников. В патче была исключена функциональность загрузки файлов из сторонних ресурсов.

🐛 CVE-2023-43791 в приложении Label Studio до версии 1.8.2 может использоваться для повышения привилегий. Уязвимость заключается в использовании захардкоженного секрета "SECRET_KEY", участвующего в формировании и валидации пользовательских сессий. Атакующий, зная данный секрет и хеш пользовательского пароля, получает возможность формировать легитимную сессионную куку. В исправлении разработчики добавили функцию "generate_key_if_missing", которая обеспечивает контроль наличия секрета при старте приложения, а при отсутствии его генерацию, используя библиотечную функцию Django "django.core.management.utils.get_random_secret_key".

🐛 CVE-2023-46734, обнаруженная в PHP-фреймворке Symfony до версий 4.4.51, 5.4.31 и 6.3.8 может приводить к XSS. Появлению уязвимости способствовало отсутствие санитизации пользовательских данных в обработчиках фильтров: "abbr_class", "abbr_method", "format_args", "format_args_as_text", "format_file" и "format_file_from_text" темплейт-движка Twig в связке с опцией "is_safe=html". В первом и втором патчах были добавлены функции "htmlspecialchars" с флагами "ENT_COMPAT" и "ENT_SUBSTITUTE", которые преобразуют символы '&"<> в их html-мнемоники ("&'<>).

🐛 CVE-2023-46722 в ORM библиотеке Piccolo до версии 1.1.1 может приводить к SQL инъекции. Уязвимость заключается в возможности изменения SQL-запроса через значение имени точки сохранения при формировании транзакций с SQL-оператором SAVEPOINT. В исправлении была добавлена валидирующая функция "validate_savepoint_name", в которой проверяется наличие символов из значения имени в "белом списке" ( string.ascii_letters + string.digits + "-" + "_" ).

🐛 CVE-2023-46242 обнаруженная в вики-платформе XWiki до версий 14.10.7 и 15.2RC1 может приводить к исполнению Groovy-макросов через эксплуатацию CSRF на пользовательской стороне. Уязвимости подвержен эндпойнт "/xwiki/bin/edit/Main/" для пользователей с правами на разработку и для которого отсутствует механизма защиты от CSRF атак. В патче была добавлена проверка с использованием встроенного в XWiki механизма формирования и валидации CSRF токенов (класс "org.xwiki.csrf.CSRFToken").

😔 Представьте ситуацию: вы выкатываете новый релиз, а уже через несколько часов саппорт завален тикетами от недовольных клиентов — в обновление попала странная фича…

Что могло случиться? Вариантов два: или разработчик ошибся с коммитом, или от его имени действовал злоумышленник.

Зачем ему это? Например, чтобы атаковать инфраструктуру ваших клиентов. Сначала киберпреступник получает доступ к репозиторию, потом внедряет в него вредоносный код, а дальше пытается реализовать недопустимое для вашего клиента событие.

🛠 Чтобы избежать такого варианта развития событий, вы можете настроить проверку достоверности коммитов. Так «чужой» код не сможет попасть в ваш продукт через репозитории.

В статье на «Хабре» Рамазан Ибрагимов, руководитель направления отдела автоматизации разработки продуктов, и Александр Паздников, руководитель отдела внутренних проектов Positive Technologies, рассказали, как они настроили проверку коммитов внутри GitLab On-Premise.

Читайте и делитесь своим опытом в комментариях.

#PositiveЭксперты

🎁 Сегодня мы выпустили PT Container Security — продукт для защиты контейнерных сред. Он входит в единую экосистему application security нашей компании и представляет собой важное звено на стадии сборки, доставки и эксплуатации работающих микросервисов.

Почему мы приняли решение о его создании? Вот, что рассказал Никита Ладошкин, руководитель разработки PT Container Security:

Шесть лет назад мы перевели архитектуру PT MultiScanner в контейнеры как наиболее масштабируемый способ управления инфраструктурой. Затем и архитектуру PT Sandbox, PT Application Inspector, PT Application Firewall, MaxPatrol SIEM. Думали ли мы тогда о защите контейнеров? Нет, потому что на тот момент контейнерные среды были недосягаемы для злоумышленников.

Однако сейчас контейнеры попали в список интересов хакеров. Мы не могли допустить наличие уязвимостей в наших продуктах Positive Technologies, но при этом не нашли и достойных российских продуктов для их защиты. Выход был один — разработать его самостоятельно. А дальше оставалось масштабировать продукт в коммерческую версию.

🤟 Конкурентное преимущество PT Container Security заключается в использовании технологии представления программного кода WebAssembly, которая позволяет запускать приложения в cloud-native-окружениях с высокой скоростью и эффективностью.

Это означает, что проверки безопасности, тесты и шлюзы могут быть включены в инструменты и процессы DevOps без дополнительных затрат и задержек в процессе внесения изменений в код и инфраструктуру.

😎 Продукт уже доступен для пользователей

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Обзор изменений новой версии Wireshark 4.20.

📰 Введение в атаки E-mail Injection.

📰 Детальный разбор CVE-2023-47444 (Code Injection в OpenCart)

📰 Разбор техник атаки на CVE-2023-46604 (RCE в ActiveMQ)

📰 Статья о весьма пикантном сценарии использования Flipper Zero 😳

📰 Заключительная, третья часть цикла статей о безопасности VS Code.

📰 Райтап проблем безопасности шэринговых сервисов глазами баг-хантера.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-47117, обнаруженная в приложении Label Studio до версии 1.9.2post0, может приводить к получению конфиденциальной информации через манипулирование фильтрами ORM Django. Уязвимость заключается в возможности пользователям задавать фильтры для отображения проектов (например, "updated_by__active_organization"). Атакующий может создать цепочку фильтров (например, "updated_by__active_organization__active_users__password") и извлечь конфиденциальные данные пользователей. Патч добавляет проверку значений фильтра по "белому" списку.

🐛 CVE-2023-5341 в библиотеке ImageMagick до версии 7.1.2 может приводить к проблеме использования памяти после освобождения. Уязвимость заключается в неконтролируемом размере bmp-файла, который подлежит обработке. В исправлении было добавлено сравнение размера файла, указанного в "bmp_info.file_size", с фактическим размером данных.

🐛 CVE-2023-48295, обнаруженная в системе мониторинга сети LibreNMS до версий 23.11.0, может приводить к XSS. Уязвимость связана с формированием имен групп устройств ("$deviceGroup->name") с использованием пользовательских данных, которые в дальнейшем попадают в состав ответа сервера. В патче была добавлена функция "htmlentities", которая преобразует опасные символы "&'<> в их html-мнемоники ("&'<>).

🐛 CVE-2023-47637, обнаруженная в платформе для менеджмента Pimcore до версии 11.1.1, может приводить к SQL-инъекции. К уязвимости приводило попадание пользовательских данных в состав SQL запроса в функции "getFilterConditionExt". В патче была добавлена функции "$db->quote" для экранирования специальных символов и "Helper::escapeLike" для корректного формирования запроса с оператором "LIKE".

🐛 CVE-2023-42326 в Netgate pfSense до версии 2.7.1 может приводить к RCE через внедрение команд. Уязвимость заключается в попадании имен интерфейсов, формируемых из пользовательских данных, в функцию исполнения шелл команд. В исправлении добавили сравнение имен интерфейсов с регулярным выражением "/^gif[0-9]+$/" для исключения внедрения недопустимых символов.