Материалы по тегу: уязвимости

02.11.2022 [23:06], Татьяна Золотова

UserGate детектирует атаки, связанные с уязвимостью SpookySSL в OpenSSL

Центр мониторинга и реагирования на киберугрозы UserGate добавил в «Систему обнаружения вторжений» (СОВ) две новые сигнатуры, которые детектируют атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786 в библиотеке OpenSSL. Проблема заключается в переполнении буфера, вызванном ошибкой в реализации punycode, которая потенциально может привести к удаленному выполнению кода.

Злоумышленник может выполнить TLS-запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера. В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена похожая уязвимость (CVE-2022-3786), а их рейтинг был снижен до HIGH.

 Фото: Unsplash/Carlos Nunez

Фото: Unsplash/Carlos Nunez

Уязвимость затронула версии OpenSSL с 3.0.0 по 3.0.6, которые используются, в частности, в Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing и Unstable, а также других дистрибутивах. Более ранние выпуски OpenSSL 1.1.1, а заодно и деривативы в лице LibreSSL и BoringSSL, такой проблемы не имеют (punycode есть только в >OpenSSL 3.0.x).

Специалисты UserGate рекомендуют пользователям убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее. Кроме того рекомендуется проверить актуальность подписки на модуль Security Updates и добавить в блокирующее правило IDPS сигнатуры «Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow» и «Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow».

Постоянный URL: http://servernews.ru/1076778
13.09.2022 [20:18], Алексей Степин

Защита от уязвимости Retbleed приводит к катастрофическим потерям производительности Linux в ESXi на старых процессорах Intel

Как известно, в июле этого года был обнаружен новый способ потенциальной атаки, связанный с механизмами спекулятивного исполнения кода в современных процессорах, включая Intel Kaby Lake/Coffee Lake и AMD Zen 1/1+/2. Эта уязвимость получила название Retbleed. Варианты за номерами CVE-2022-29900 и CVE-2022-29901 отличаются от Spectre-v2 тем, что позволяют выполнять произвольный код при обработке инструкции «ret» и организации неверного предсказания перехода, отсюда и название Retbleed.

 Источник: lore.kernel.org

Источник: lore.kernel.org

Уязвимость касается процессоров Intel с шестого по восьмое поколение и процессоров AMD на базе архитектур Zen 1/1+/2. В более современных CPU уже есть необходимые механизмы защиты. Хотя компании-производители и опубликовали рекомендации по защите от новой уязвимости, уже тогда отмечалось, что использование этих методов может снизить производительность на 12–28%. Даже такая цифра весьма неприятна в условиях борьбы за каждый процент производительности в современных ЦОД.

Но инженеры VMware обнаружили, что парой десятков процентов дело не ограничивается. Как показало проведённое ими тестирование ядра Linux 5.19 в среде ESXi, при включении опции защиты вычислительная производительность могла упасть на 70%, производительность сетевой подсистемы — на 30%. Проблема затрагивала даже работу с накопителями, которая замедлилась примерно на 13%. Следует отметить, что проблема связана не с гипервизором VMware как таковым, а с работой ядра Linux в нём.

Демонстрация работы Retbleed

В частности, был отмечен серьёзный рост задержки при создании потоков, это время выросло с 16 до 27 мс, возросло и время, требуемое на запуск и остановку виртуальных машин, а пропускная способность виртуализированной сети упала с 11,9 Гбит/с до 8,56 Гбит/с. В настоящее время Intel работает над менее затратными способами защиты от Retbleed.

Для тестирования использовался сервер с четырьмя процессорами Intel Xeon Skylake-SP (112 потоков, 2 Тбайт RAM) и основной ОС Ubuntu 20.04. Для проверки также были проведены тесты с полным отключением защиты (spectre_v2=off), которые показали, что в этом случае производительность Linux 5.19 мало чем отличалась от Linux 5.18.

Постоянный URL: http://servernews.ru/1074107
10.09.2022 [19:02], Владимир Фетисов

Cisco отказалась устранять очередную критическую уязвимость в старых маршрутизаторах серии RV и посоветовала приобрести современные устройства

Американская компания Cisco заявила, что не будет устранять уязвимость нулевого дня CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O) в своих маршрутизаторах, которая позволяет обойти авторизацию и получить доступ к сети IPSec VPN. Такое решение обусловлено тем, что проблема затрагивает маршрутизаторы, период поддержки которых давно завершён.

Согласно имеющимся данным, речь идёт о VPN-маршрутизаторах для малого бизнеса RV110W, RV130, RV130W и RV215W, жизненный цикл которых завершился ещё в 2019 году. Что касается самой уязвимости, то она связана с ошибкой в алгоритме проверки паролей. Уязвимость позволяет злоумышленникам подключиться к VPN-сети с помощью особым образом подготовленных учётных данных, но только при условии, что на маршрутизаторе активирован VPN-сервер IPSec.

 Изображения: Cisco

Изображения: Cisco

«Успешная эксплуатация уязвимости может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN. Злоумышленник может получить привилегии того же уровня, что и администратор, в зависимости от используемых специально созданных учётных данных», — говорится в сообщении Cisco.

Производитель не только подтвердил наличие проблемы, но также сообщил, что не намерен выпускать патч для исправления упомянутой уязвимости. Пользователям, которые продолжают использовать устаревшие модели маршрутизаторов, рекомендуется приобрести более современные устройства, продолжающие получать обновления безопасности. В компании также отметили, что на данный момент не было зафиксировано каких-либо признаков того, что уязвимость CVE-2022-20923 используется злоумышленниками на практике.

Но это не единственная серьёзная уязвимость старых продуктов Cisco, которая не была исправлена производителем из-за окончания срока поддержки. Например, в августе 2021 года компания заявила, что не намерена исправлять критическую уязвимость CVE-2021-34730 в вышеупомянутых маршрутизаторах, эксплуатация которой может позволить осуществить удалённое выполнение кода с правами администратора. В июне этого года стало известно об аналогичной критической уязвимости CVE-2022-20825 в тех же устройствах. Во всех случаях Cisco рекомендует приобрести более современные устройства.

Постоянный URL: http://servernews.ru/1073928
23.08.2022 [15:44], Андрей Крупин

Positive Technologies выпустила On-Premise-версию сканера безопасности веб-приложений PT BlackBox

Компания Positive Technologies дополнила представленный ранее облачный сервис PT BlackBox Scanner для поиска уязвимостей в веб-приложениях On-Premise-версией решения PT BlackBox. Продукт предполагает модель оплаты по подписке и устанавливается на серверах заказчика.

Особенностью комплекса PT BlackBox является гибридный подход, сочетающий преимущества статического (Static application security testing, SAST) и динамического (Dynamic application security testing, DAST) анализа, а также использующий базу знаний уязвимостей, накопленную экспертами Positive Technologies. Продукт позволяет выявлять уязвимости на ранней стадии жизненного цикла ПО и поддерживает процессы безопасной разработки DevSecOps.

 Сравнение PT BlackBox и PT BlackBox Scanner

Сравнение PT BlackBox и PT BlackBox Scanner

Для удобства работы с PT BlackBox предусмотрено внедрение сканера в процессы непрерывной интеграции (Continuous integration, CI) и непрерывной доставки (Continuous delivery, CD): запуск сканирования возможен параллельно с приёмочным тестированием, а также после тестирования и развёртывания программных решений. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.

Веб-приложения по-прежнему остаются популярной целью для злоумышленников. По данным Positive Technologies, в среднем онлайновые сервисы одной организации могут содержать больше двух десятков уязвимостей, пятая часть из которых — опасные. Если атакующий сможет найти их, компания рискует столкнуться с серьёзными финансовыми и репутационными последствиями: кражей важных данных, проникновением в IT-инфраструктуру, простоями бизнес-процессов или полной остановкой информационных систем.

Постоянный URL: http://servernews.ru/1072750
12.08.2022 [15:12], Андрей Крупин

Система управления уязвимостями MaxPatrol VM получила расширенные функции контроля процессов патч-менеджмента

Компания Positive Technologies выпустила новую версию системы управления уязвимостями MaxPatrol VM 1.5.

MaxPatrol VM позволяет автоматизировать процессы управления уязвимостями в инфраструктуре организации и контролировать защищённость IT-активов в каждый момент времени. Решение построено на базе единой платформы MaxPatrol 10, которая объединяет продукты Positive Technologies для полной прозрачности сети и мониторинга безопасности. Продукты в составе MaxPatrol 10 обогащают друг друга данными об активах, что позволяет наиболее полно оценивать защищённость IT-инфраструктуры.

 Интерактивный дашборд MaxPatrol VM

Интерактивный дашборд MaxPatrol VM

В обновлённом программном комплексе MaxPatrol VM 1.5 реализованы дополнительные возможности для контроля процессов патч-менеджмента и устранения обнаруженных уязвимостей. Добавлены новые шаблоны в конструктор отчётов: по уязвимостям, уязвимым узлам и компонентам. Кроме того, выпущен специальный пакет фильтров с преднастроенными запросами, которые позволяют организовать работу с уязвимостями в соответствии с рекомендациями Национального координационного центра по компьютерным инцидентам (НКЦКИ).

«Необходимо, чтобы для всех активов инфраструктуры была прописана политика патч-менеджмента. Если нет возможности обновить софт и задать конкретные сроки устранения уязвимостей, то принимается решение о выведении узла из эксплуатации или отказе от конкретного ПО. Если и эти меры недоступны и применяются компенсационные меры, то важно не упускать такие активы из виду и вернуться к их обновлению, когда это будет возможно и безопасно. В MaxPatrol VM можно задать политику для исключения уязвимости из планового процесса патч-менеджмента с определенным сроком или бессрочно. Можно собрать виджеты для мониторинга, которые позволят контролировать уязвимость такого типа», — говорится в сообщении разработчика.

Постоянный URL: http://servernews.ru/1072060
11.08.2022 [15:19], Владимир Мироненко

Google добавила новые награды за найденные в ядре Linux уязвимости

Компания Google объявила о внесении обновлений в программу kCTF (Capture-the-Flag для Kubernetes). Она продлила на неопределённый срок выплату увеличенного вознаграждения, о котором было объявлено ранее в этом году. То есть компания продолжит делать выплаты в пределах от $20 000 до $91 337 за взлом предложенных демонстрационных кластеров kCTF на базе инстансов Google Kubernetes Engine (GKE). Эта выплата будет осуществляться в дополнение к существующим вознаграждениям за исправления для упреждающих улучшений безопасности.

Однако Google заметила, что на текущий момент все уязвимости, позволяющие покинуть контейнер, были связаны с проблемами в ядре Linux. Поэтому компания запустила новые окружения (инстансы) с дополнительными наградами, чтобы оценить защищённость последнего стабильного релиза ядра Linux, а также новые экспериментальные средства защиты. Компания отметила, что разработанные ей меры защиты усложнят использование большинства обнаруженных в прошлом году багов (уязвимостей — в 9 из 10 случаях, эксплойтов — в 10 из 13 случаев).

 Источник изображения: Pixabay

Источник изображения: Pixabay

За создание новых эксплойтов для свежей стабильной ветки ядра Linux компания дополнительно заплатит $21 000. Для тех, кто скомпрометирует специальное ядро с расширенными экспериментальными патчами от Google, дополнительное вознаграждение составит $21 000. Таким образом, суммарно можно получить до $133 337. Ранее Google призвала другие компании выделять больше инженеров для разработки и сопровождения ядра Linux, а в прошлом году компания совместно с Linux Foundation выделила средства на оплату работы двух специалистов по обеспечению безопасности ядра.

Постоянный URL: http://servernews.ru/1071977
17.04.2022 [00:25], Владимир Мироненко

10 из 10: Cisco предупредила о критической уязвимости беспроводных контроллеров WLC

На это неделе Cisco выпустила рекомендации по обеспечению безопасности для контроллеров беспроводной сети (WLC). Компания предупредила, что выявленная ошибка в коде может позволить удалённому злоумышленнику без проверки подлинности обойти средства контроля аутентификации и попасть в интерфейс управления администратора.

«Эта уязвимость связана с неправильной реализацией алгоритма проверки пароля, — говорится в бюллетене Cisco. — Злоумышленник может воспользоваться этой уязвимостью, войдя на уязвимое устройство с помощью созданных им учётных данных». Уязвимость CVE-2022-20695 позволяет злоумышленнику получить права администратора. Cisco присвоила уязвимости рейтинг серьёзности 10,0 из 10,0.

 Источник изображения: Cisco

Источник изображения: Cisco

Этот баг может быть у продуктов Cisco, работающих под управлением программного обеспечения WLC версии 8.10.151.0 или 8.10.162.0 и для режима совместимости RADIUS фильтра MAC-адресов установлено значение «Другой». В их числе:

  • Беспроводной контроллер Cisco 3504;
  • Беспроводной контроллер Cisco 5520;
  • Беспроводной контроллер Cisco 8540;
  • Mobility Express;
  • Виртуальный беспроводной контроллер (vWLC).

Для тех, кто не может немедленно установить патчи, Cisco в качестве временной меры предлагает изменить режим MAC-фильтрации. Cisco WLC поддерживают как локальный учёт MAC-адресов, так и с использованием сервера RADIUS. «Хотя эти обходные пути доказали свою эффективность в тестовой среде, клиенты должны определить применимость и эффективность в своей собственной среде и в своих собственных условиях использования», — предупредила компания.

Постоянный URL: http://servernews.ru/1064132
07.04.2022 [11:58], Андрей Крупин

Positive Technologies представила новую версию системы анализа защищённости кода приложений — PT Application Inspector 4.0

Компания Positive Technologies сообщила о выпуске новой версии комплексного решения PT Application Inspector 4.0, предназначенного для выявления уязвимостей и ошибок в приложениях.

Особенностью комплекса PT Application Inspector является гибридный подход, сочетающий преимущества статического (Static application security testing, SAST), динамического (Dynamic application security testing, DAST) и интерактивного (Interactive application security testing, IAST) анализа, а также использующий базу знаний уязвимостей, накопленную экспертами Positive Technologies. Система работает со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE. Решение выявляет уязвимости как в исходном коде, так и в работающем ПО, позволяет устранить их на ранней стадии, поддерживает процесс безопасной разработки DevSecOps.

Среди главных изменений PT Application Inspector 4.0 — поддержка операционных систем Linux, Docker-контейнеров и языка TypeScript (входит в десятку самых популярных языков программирования в мире). Также продукт дополнился веб-интерфейсом, поддержкой стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML) и технологии единого входа SSO (Single Sign-On).

По данным Positive Technologies, более трети (36 %) российских софтверных компаний уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время отечественным разработчикам не хватает информации о практических кейсах внедрений (35 %), процессах (22 %), инструментах (20%), формальных методиках и архитектуре DevSecOps (18 %). Поэтому большинство улучшений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищённости кода понятной и удобной — как для специалистов по ИБ, так и для разработчиков.

Постоянный URL: http://servernews.ru/1063525
31.01.2022 [14:16], Владимир Мироненко

У более чем 20 тыс. серверов в Сети обнаружили устаревшие версии iLO с множеством уязвимостей

Согласно оценкам SANS Technology Institute, у почти 21 тыс. серверов HP/HPE интерфейсы управления iLO находятся в открытом доступе в интернете. Для оценки ситуации использовался сервис Shodan, позволяющий искать различные типы серверов, подключённых к интернету.

С момента запуска платформа HP Integrated Lights-Out получила четыре мажорных релиза. И в каждой из её итераций (iLO, iLO 2, iLO3, iLO 4 и iLO 5) со временем было выявлено и исправлено множество уязвимостей. Некоторые из этих уязвимостей имели довольно высокие оценки CVSS. Например, CVE-2017-12542 с рейтингом 9,8 предоставляла простой способ обхода аутентификации, который затрагивал iLO 4 до версии 2.53.

 Источник: isc.sans.edu

Источник: isc.sans.edu

Но не все администраторы спешат устанавливать обновления ПО. Так, с помощью Shodan было выявлено значительное число серверов с iLO 4 и прошивкой версии младше 2.53, то есть заведомо уязвимой для злоумышленников. Спустя две недели после того, как исследователи сообщили о своих выводах международному сообществу CSIRT, картина стала немного лучше, хотя и она всё ещё далека от идеала.

 Источник: isc.sans.edu

Источник: isc.sans.edu

По числу уязвимых хостов лидируют США, Нидерланды и Россия. Исследователи рекомендуют для начала вынести все iLO-интерфейсы в изолированную VLAN с контролируемым доступом и разрешить доступ только посредством VPN, а также строго следовать советам и документации самой HPE, которая точно так же предлагает первым делом запретить прямой доступ к iLO из интернета. А если такая ошибка была допущена, то незамедлительно поменять пароль iLO.

Постоянный URL: http://servernews.ru/1059109
27.01.2022 [14:22], Андрей Галадей

Критическая уязвимость PolKit может дать злоумышленникам root-доступ в Linux

В операционных системах Linux обнаружилась уязвимость под названием CVE-2021-4034. Она есть в компоненте PolKit и позволяет обычным пользователям повысить свои права до root. И хотя уязвимость нельзя использовать удалённо, а также нельзя выполнять с её помощью произвольный код, её могут использовать злоумышленники, которые уже имеют доступ к системе. Сама уязвимость появилась ещё в мае 2009 года, а о возможности её наличия говорилось в 2013 году.

Брешь назвали PwnKit, а обнаружили её специалисты Qualys. Сам компонент Polkit (ранее PolicyKit) отвечает за управления общесистемными привилегиями в Unix-подобных операционных системах. Он обеспечивает организованный способ взаимодействия непривилегированных процессов с привилегированными процессами. Для использования уязвимости даже не требуется, чтобы демон polkit был запущен.

Уязвимость присутствует в утилите pkexec, которая входит в состав PolKit. Она некорректно обрабатывает аргументы командной строки, из-за чего непривилегированный пользователь может запустить свой код с root-правами вне зависимости от настроек прав доступа. Несмотря на то, что фактически уязвимость приводит к повреждению памяти, она быстро и надёжно работает в независимости от архитектуры системы. До выхода патчей разработчики в качестве временной меры предлагают снять с pkexec SUID-флаг root.

Эксперты уже подготовили эксплойт, который проверили в Ubuntu, Debian, Fedora и CentOS, но он также может быть использован в других дистрибутивах. Исходники его пока не опубликованы из-за простоты воспроизведения, что не помешало другим исследователям выпустить собственные версии. Также отмечено, что компонент Polkit используется в BSD-системах и Solaris, но там уязвимость не проверяли. А вот в OpenBSD эта брешь отсутствует.

Постоянный URL: http://servernews.ru/1058862
Система Orphus