😔 Представьте ситуацию: вы выкатываете новый релиз, а уже через несколько часов саппорт завален тикетами от недовольных клиентов — в обновление попала странная фича…

Что могло случиться? Вариантов два: или разработчик ошибся с коммитом, или от его имени действовал злоумышленник.

Зачем ему это? Например, чтобы атаковать инфраструктуру ваших клиентов. Сначала киберпреступник получает доступ к репозиторию, потом внедряет в него вредоносный код, а дальше пытается реализовать недопустимое для вашего клиента событие.

🛠 Чтобы избежать такого варианта развития событий, вы можете настроить проверку достоверности коммитов. Так «чужой» код не сможет попасть в ваш продукт через репозитории.

В статье на «Хабре» Рамазан Ибрагимов, руководитель направления отдела автоматизации разработки продуктов, и Александр Паздников, руководитель отдела внутренних проектов Positive Technologies, рассказали, как они настроили проверку коммитов внутри GitLab On-Premise.

Читайте и делитесь своим опытом в комментариях.

#PositiveЭксперты

🎁 Сегодня мы выпустили PT Container Security — продукт для защиты контейнерных сред. Он входит в единую экосистему application security нашей компании и представляет собой важное звено на стадии сборки, доставки и эксплуатации работающих микросервисов.

Почему мы приняли решение о его создании? Вот, что рассказал Никита Ладошкин, руководитель разработки PT Container Security:

Шесть лет назад мы перевели архитектуру PT MultiScanner в контейнеры как наиболее масштабируемый способ управления инфраструктурой. Затем и архитектуру PT Sandbox, PT Application Inspector, PT Application Firewall, MaxPatrol SIEM. Думали ли мы тогда о защите контейнеров? Нет, потому что на тот момент контейнерные среды были недосягаемы для злоумышленников.

Однако сейчас контейнеры попали в список интересов хакеров. Мы не могли допустить наличие уязвимостей в наших продуктах Positive Technologies, но при этом не нашли и достойных российских продуктов для их защиты. Выход был один — разработать его самостоятельно. А дальше оставалось масштабировать продукт в коммерческую версию.

🤟 Конкурентное преимущество PT Container Security заключается в использовании технологии представления программного кода WebAssembly, которая позволяет запускать приложения в cloud-native-окружениях с высокой скоростью и эффективностью.

Это означает, что проверки безопасности, тесты и шлюзы могут быть включены в инструменты и процессы DevOps без дополнительных затрат и задержек в процессе внесения изменений в код и инфраструктуру.

😎 Продукт уже доступен для пользователей

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Обзор изменений новой версии Wireshark 4.20.

📰 Введение в атаки E-mail Injection.

📰 Детальный разбор CVE-2023-47444 (Code Injection в OpenCart)

📰 Разбор техник атаки на CVE-2023-46604 (RCE в ActiveMQ)

📰 Статья о весьма пикантном сценарии использования Flipper Zero 😳

📰 Заключительная, третья часть цикла статей о безопасности VS Code.

📰 Райтап проблем безопасности шэринговых сервисов глазами баг-хантера.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-47117, обнаруженная в приложении Label Studio до версии 1.9.2post0, может приводить к получению конфиденциальной информации через манипулирование фильтрами ORM Django. Уязвимость заключается в возможности пользователям задавать фильтры для отображения проектов (например, "updated_by__active_organization"). Атакующий может создать цепочку фильтров (например, "updated_by__active_organization__active_users__password") и извлечь конфиденциальные данные пользователей. Патч добавляет проверку значений фильтра по "белому" списку.

🐛 CVE-2023-5341 в библиотеке ImageMagick до версии 7.1.2 может приводить к проблеме использования памяти после освобождения. Уязвимость заключается в неконтролируемом размере bmp-файла, который подлежит обработке. В исправлении было добавлено сравнение размера файла, указанного в "bmp_info.file_size", с фактическим размером данных.

🐛 CVE-2023-48295, обнаруженная в системе мониторинга сети LibreNMS до версий 23.11.0, может приводить к XSS. Уязвимость связана с формированием имен групп устройств ("$deviceGroup->name") с использованием пользовательских данных, которые в дальнейшем попадают в состав ответа сервера. В патче была добавлена функция "htmlentities", которая преобразует опасные символы "&'<> в их html-мнемоники ("&'<>).

🐛 CVE-2023-47637, обнаруженная в платформе для менеджмента Pimcore до версии 11.1.1, может приводить к SQL-инъекции. К уязвимости приводило попадание пользовательских данных в состав SQL запроса в функции "getFilterConditionExt". В патче была добавлена функции "$db->quote" для экранирования специальных символов и "Helper::escapeLike" для корректного формирования запроса с оператором "LIKE".

🐛 CVE-2023-42326 в Netgate pfSense до версии 2.7.1 может приводить к RCE через внедрение команд. Уязвимость заключается в попадании имен интерфейсов, формируемых из пользовательских данных, в функцию исполнения шелл команд. В исправлении добавили сравнение имен интерфейсов с регулярным выражением "/^gif[0-9]+$/" для исключения внедрения недопустимых символов.