⚡️4 октября 2023 в документации на сайте технической поддержки Confluence было опубликовано сообщение о новой уязвимости сервиса. Она касается повышения привилегий в Confluence Data Center и Server - CVE-2023-22515.
Мы настоятельно рекомендуем клиентам, которые используют Atlassian Confluence Data Center или Confluence Server обновить программное обеспечение Atlassian до версий 8.3.3+, 8.4.3+ 8.5.2+ или воспользоваться механизмом vpatch платформы «Вебмониторэкс» и заблокировать попытки эксплуатации уязвимости.
Подробнее об уязвимости можно прочитать по ссылке
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html

Детектирование попыток эксплуатации "CVE-2023-22515 - Broken Access Control Vulnerability в Confluence Data Center" уже доступно в платформе 😎«Вебмониторэкс».

Новые детекты работают в боевом режиме.
Заказчики, использующие платформу в режиме блокировки уже защищены, им не требуется предпринимать никаких дополнительных действий.
Заказчикам, использующим платформу в режиме мониторинга рекомендуем настроить механизм Vpatch или перевести приложение в режим блокировки.

NGINX Plus, NGINX Plus и связанные продукты, которые реализуют серверную часть спецификации HTTP/2 — уязвимы! 📣

После установления соединения с сервером протокол HTTP/2 позволяет клиентам инициировать параллельные потоки для обмена данными. В отличие от предыдущих версий протокола, если конечный пользователь решает выйти со страницы или прекратить обмен данными по любой другой причине, HTTP/2 предоставляет способ отмены потока. Она делает это путем отправки фрейма RST_STREAM на сервер.

Уязвимость используется путем инициирования и быстрой отмены большого количества потоков HTTP/2 по установленному соединению, тем самым обходит ограничения по запуску одновременных потоков.

Для исправления уязвимости нужно применить изменения в конфигурации NGINX:
* Значение keepalive_requests должно быть сохранено на уровне 1000 запросов по умолчанию.
* http2_max_concurrent_streams следует поддерживать значение по умолчанию в 128 потоков.
* limit_conn устанавливает ограничение на количество разрешенных подключений от одного клиента. К этой директиве следует добавить разумные настройки, обеспечивающие баланс производительности и безопасности приложения.
* limit_req устанавливает ограничение на количество запросов, которые будут обработаны в течение заданного промежутка времени от одного клиента. К этой директиве следует добавить разумные настройки, обеспечивающие баланс производительности и безопасности приложения.

Подробнее описано здесь: https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/

«Привет, Хабр!» 📢
Писали, редактировали, генерировали, строили..
Теперь мы здесь, а это значит, что у нас будут для тебя полезные статьи, которые точно заставят мозговые волны работать на полную мощность 🤖🦾 Подписывайся и читай первую часть статьи Вадима Шепелева о методиках тестирования и сравнения WAF.

#Хабр

https://habr.com/ru/companies/webmonitorx/articles/

👀Рефрен к одной из предыдущих новостей в нашем канале о нашумевшей уязвимости протокола HTTP/2.

Компания «Веб-Сервер» анонсировала выпуск новой версии российского веб-сервера с открытым исходным кодом Angie 1.3.1 и его проприетарной версии Angie PRO 1.3.1.

В релизе выпущены изменения, включающие ограничения для потоков данных по протоколу HTTP/2 для оптимизации защиты от DoS-атаки "HTTP/2 Rapid Reset".

А мы 😎подготовили свои обновления. В мегапакет 4.6.19 для платформы x86_64 добавили поддержку обновленной Angie Pro/OSS 1.3.1.
#вебмониторэкс #ИБ

https://wbsrv.ru/tpost/g89kb8ia21-angie-i-angie-pro-obnovleni-dlya-uluchsh

😎Платформа «Вебмониторэкс»😎 проходит сертификационные испытания во ФСТЭК России (Федеральной службе по техническому и экспортному контролю). Успешное завершение испытаний будет означать прохождение сертификации по 4 уровню доверия. Наличие сертификата ФСТЭК у отечественных разработок в области информационной безопасности определено регуляторными требованиями по защите значимых объектов критической информационной инфраструктуры (ЗОКИИ), персональных данных (ПДн) и государственных информационных систем (ГИС).

Соответствие программного комплекса компании Вебмониторэкс требованиям ФСТЭК России — значимый аргумент для использования этого продукта в организациях, относящихся к госсектору или входящих в подмножество субъектов критической информационной инфраструктуры.

🔍«Шаг для нас значимый и очень ответственный. Нам предстоит получить подтверждение соответствия существующего продукта действующим профилям, закрепленным в технической документации регулятора. Регистрация продукта в Системе сертификации ФСТЭК России — важная часть дорожной карты развития платформы. Это сопоставимо с подтверждением качества и базовых свойств продукта участниками рынка, которые уже пользуются нашим продуктом более 10 лет”, — отметил Лев Палей, директор по информационной безопасности компании «Вебмониторэкс».

🤯До пятницы осталось пережить четверг, а у нас #новостьдня

➕Опубликовали вторую часть статьи Вадима Шепелева о методиках тестирования и сравнения WAF. Если еще не успели прочитать первую часть (не знаем, какие этому могут быть причины), то скорее переходите по ссылке и читайте первую часть.

🖥 Improper Authorization в Confluence Data Center and Server - CVE-2023-22518

👍 Вчера в хэлуин произошел интересный анонс от CISO Bala Sathiamurthy о критической уязвимости в Confluence Data Center, Confluence Server.

🔽Исходя из сообщения, все версии Confluence Data Center, Confluence Server были уязвимы к
Improper Authorization.

🔽Обладателям Confluence Data Center, Confluence Server настоятельно рекомендуем обновить продукты до версий 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1 или более новых.

☄️На этой неделе в сети появилась информация о новой критической уязвимости в Confluence — CVE-2023-22518 с оценкой CVSS 9,1/10.
🔽Мы говорили о ней постом выше. Она затрагивает все версии Confluence Data Center и Server, кроме 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1 и более поздних.
🔽Появление публичного эксплоита не заставило себя долго ждать и предупреждения от Atlassian косвенно подтверждают массовые атаки.
😎Всем нашим клиентам - рекомендуем воспользоваться механизмом vpatch платформы «Вебмониторэкс» и заблокировать попытки эксплуатации уязвимости.

🔤Александр Зубрицкий, руководитель отдела технической поддержки начал публиковать на Хабре цикл статьей на тему «WAF: теория и практика». Первая часть «Отсекаем лишний трафик с помощью WAF» уже доступна по ссылке.
🔤Вы узнаете, как использовать регулярные выражения для фильтрации входящего трафика, блокировки атак и обнаружения уязвимостей веб-приложений. Также в первой статье рассмотрены способы оптимизации работы регулярных выражений и примеры их использования в различных ситуациях.

🔤Следите за нашими публикациями на Хабре и не пропустите полезную информацию о WAF.

🔍 Бородатый обманщик. Методика TARPIT в защите и нападении.

🌐Существует стратегия информационной безопасности, суть которой сводится к непропорциональному расходованию ресурсов атакующей стороны. Ресурсов вычислительных, временных и человеческих.

· Как затруднить атакующему фазу разведки?
· Отчего nmap может серьезно тормозить?
· Откуда берутся хосты с тысячами открытых портов?
· Как выявлять tarpit хосты и что с ними делать если вы занимаетесь аудитом ИБ.
· Что это вообще такое этот ваш tarpit?

На эти и другие вопросы ответил Вадим Шепелев, инженер по информационной безопасности в новой статье на Хабре!

🖥 ЧИТАТЬ

🛡Подписывайтесь и следите за нашими публикациями на Хабре!

Вебинар «Про тестирование и сравнение WAF» 6 декабря от Вебмониторэкс.
✅Ведущий вебинара Вадим Шепелев — инженер по информационной безопасности Вебмониторэкс, раскроет тему проведения тестирования и сравнения WAF. Покажет несколько источников данных для составления тестов. Затронет тему кодирования полезной нагрузки для тестирования на возможность обхода WAF и продемонстрирует работу нескольких инструментов для автоматизации тестирования WAF. Даст рекомендации по подготовке среды тестирования. И многое другое.

📣6 декабря (среда) приглашаем вас принять участие в вебинаре «Про тестирование и сравнение WAF», где расскажем о различии методик тестирования в зависимости от типа атаки, о кодировании данных и не только. Вас ждет море полезной информации :) Присоединяйтесь!

⭐️Продолжительность вебинара 2 часа.

↗️Регистрируйтесь на вебинар, чтобы узнать как выбрать подходящий WAF!

📣Уязвимость раскрытия данных в ownCloud (CVE-2023-49103).

❗️Относительно новая уязвимость, позволяющая раскрыть детали конфигурации среды PHP (phpinfo). Эта информация включает в себя все переменные среды веб-сервера.

⭐️Всем нашим клиентам использующим OwnCloud рекомендуем обновиться до последних версий или воспользоваться механизмом vPatch платформы «Вебмониторэкс» и заблокировать попытки эксплуатации уязвимости.