😔 Представьте ситуацию: вы выкатываете новый релиз, а уже через несколько часов саппорт завален тикетами от недовольных клиентов — в обновление попала странная фича…

Что могло случиться? Вариантов два: или разработчик ошибся с коммитом, или от его имени действовал злоумышленник.

Зачем ему это? Например, чтобы атаковать инфраструктуру ваших клиентов. Сначала киберпреступник получает доступ к репозиторию, потом внедряет в него вредоносный код, а дальше пытается реализовать недопустимое для вашего клиента событие.

🛠 Чтобы избежать такого варианта развития событий, вы можете настроить проверку достоверности коммитов. Так «чужой» код не сможет попасть в ваш продукт через репозитории.

В статье на «Хабре» Рамазан Ибрагимов, руководитель направления отдела автоматизации разработки продуктов, и Александр Паздников, руководитель отдела внутренних проектов Positive Technologies, рассказали, как они настроили проверку коммитов внутри GitLab On-Premise.

Читайте и делитесь своим опытом в комментариях.

#PositiveЭксперты

🎁 Сегодня мы выпустили PT Container Security — продукт для защиты контейнерных сред. Он входит в единую экосистему application security нашей компании и представляет собой важное звено на стадии сборки, доставки и эксплуатации работающих микросервисов.

Почему мы приняли решение о его создании? Вот, что рассказал Никита Ладошкин, руководитель разработки PT Container Security:

Шесть лет назад мы перевели архитектуру PT MultiScanner в контейнеры как наиболее масштабируемый способ управления инфраструктурой. Затем и архитектуру PT Sandbox, PT Application Inspector, PT Application Firewall, MaxPatrol SIEM. Думали ли мы тогда о защите контейнеров? Нет, потому что на тот момент контейнерные среды были недосягаемы для злоумышленников.

Однако сейчас контейнеры попали в список интересов хакеров. Мы не могли допустить наличие уязвимостей в наших продуктах Positive Technologies, но при этом не нашли и достойных российских продуктов для их защиты. Выход был один — разработать его самостоятельно. А дальше оставалось масштабировать продукт в коммерческую версию.

🤟 Конкурентное преимущество PT Container Security заключается в использовании технологии представления программного кода WebAssembly, которая позволяет запускать приложения в cloud-native-окружениях с высокой скоростью и эффективностью.

Это означает, что проверки безопасности, тесты и шлюзы могут быть включены в инструменты и процессы DevOps без дополнительных затрат и задержек в процессе внесения изменений в код и инфраструктуру.

😎 Продукт уже доступен для пользователей

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Обзор изменений новой версии Wireshark 4.20.

📰 Введение в атаки E-mail Injection.

📰 Детальный разбор CVE-2023-47444 (Code Injection в OpenCart)

📰 Разбор техник атаки на CVE-2023-46604 (RCE в ActiveMQ)

📰 Статья о весьма пикантном сценарии использования Flipper Zero 😳

📰 Заключительная, третья часть цикла статей о безопасности VS Code.

📰 Райтап проблем безопасности шэринговых сервисов глазами баг-хантера.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-47117, обнаруженная в приложении Label Studio до версии 1.9.2post0, может приводить к получению конфиденциальной информации через манипулирование фильтрами ORM Django. Уязвимость заключается в возможности пользователям задавать фильтры для отображения проектов (например, "updated_by__active_organization"). Атакующий может создать цепочку фильтров (например, "updated_by__active_organization__active_users__password") и извлечь конфиденциальные данные пользователей. Патч добавляет проверку значений фильтра по "белому" списку.

🐛 CVE-2023-5341 в библиотеке ImageMagick до версии 7.1.2 может приводить к проблеме использования памяти после освобождения. Уязвимость заключается в неконтролируемом размере bmp-файла, который подлежит обработке. В исправлении было добавлено сравнение размера файла, указанного в "bmp_info.file_size", с фактическим размером данных.

🐛 CVE-2023-48295, обнаруженная в системе мониторинга сети LibreNMS до версий 23.11.0, может приводить к XSS. Уязвимость связана с формированием имен групп устройств ("$deviceGroup->name") с использованием пользовательских данных, которые в дальнейшем попадают в состав ответа сервера. В патче была добавлена функция "htmlentities", которая преобразует опасные символы "&'<> в их html-мнемоники ("&'<>).

🐛 CVE-2023-47637, обнаруженная в платформе для менеджмента Pimcore до версии 11.1.1, может приводить к SQL-инъекции. К уязвимости приводило попадание пользовательских данных в состав SQL запроса в функции "getFilterConditionExt". В патче была добавлена функции "$db->quote" для экранирования специальных символов и "Helper::escapeLike" для корректного формирования запроса с оператором "LIKE".

🐛 CVE-2023-42326 в Netgate pfSense до версии 2.7.1 может приводить к RCE через внедрение команд. Уязвимость заключается в попадании имен интерфейсов, формируемых из пользовательских данных, в функцию исполнения шелл команд. В исправлении добавили сравнение имен интерфейсов с регулярным выражением "/^gif[0-9]+$/" для исключения внедрения недопустимых символов.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-48292, обнаруженная в приложении XWiki Admin Tools до версии 4.5.1, может приводить к исполнению произвольного кода. Уязвимость заключается возможности запуска системных команд на эндпойнте /xwiki/bin/view/Admin/RunShellCommand без проверки CSRF-токена. Атакующий может сформировать ссылку, для которой будет исполнена произвольная команда с административными правами (например, /xwiki/bin/view/Admin/RunShellCommand?command=touch%20/tmp/pwned). Патч добавляет функциональность генерации/валидации CSRF-токенов с помощью функции "services.csrf.isTokenValid".

🐛 CVE-2023-48712 в ownCloud до версии 10.13.1 может приводить к обходу процесса аутентификации. Уязвимость заключается в возможности использования пустой строки для значения "signing-key" в качестве соли для функции формирования ключа "hash_pbkdf2". В исправлении добавили проверку заполненности значения переменной "$signingKey" в функции "verifySignature".

🐛 CVE-2023-48699 в библиотеке fastbots до версии 0.1.5 может приводить к исполнению произвольного Python кода. Уязвимость заключается в возможности исполнения через функцию "eval" данных, поступающих из файла "locators.ini". Атакующий может подменить файл "locators.ini" с измененной директивой "locator_name", включающей в себя произвольный Python код. В исправлении было исключено попадание пользовательских данных в функцию "eval".

🐛 CVE-2023-6293, обнаруженная в библиотеке sequelize-typenoscript до версий 2.1.6, может приводить к Prototype Pollution. Уязвимость связана с возможностью в функции "deepAssign" резолвинга атрибута объекта как прототипа объекта . В патче была добавлена проверка по "черному" списку имен атрибутов (['proto', 'constructor', 'prototype']).

🐛 CVE-2023-48228, обнаруженная в платформе для менеджмента Pimcore до версии 11.1.1, может приводить к обходу процесса авторизации. К уязвимости приводила ошибка логики - проверка параметра PKCE "code_verifier" в процессе валидации токена проходила даже при его отсутствии, что делает "Proof Key for Code Exchange" неэффективным. В патче была добавлена проверка на существование "code_verifier" и при его отсутствии срабатывает исключение "TokenError".