769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
В рамках истории: nerve
NERVE Continuous Vulnerability Scanner
NERVE - сканер уязвимостей, предназначенный для поиска уязвимостей уровня "низковисящих фруктов" в приложениях, сетевых службах и непропатченных сервисах.
NERVE предлагает следующие возможности:
- Web-интерфейс
- REST API
- Уведомления в Slack, на почту и через вебхуки
Возможности NERVE по обнаружению уязвимостей:
- панели администрирования (Solr, Django, PHPMyAdmin)
- Открытые репозитории
- Раскрытие информации
- Заброшенные / дефолтные веб-страницы
- Неправильная конфигурация служб (Nginx, Apache, IIS и т. д.)
- SSH-серверы
- Открытые базы данных
- Индексированые каталоги
Последний коммит был три года назад, так что использование в текущее время большого смысла не имеет.
Не могу сказать, что мир потерял "феноменальный проект", но было бы приятно иметь альтернативы разным тяжеловесам и проприетарным сканерам.
Рождественский подарок реверсерам от АНБ - релиз Ghidra 11.0.
Читать полностью…
Сначала люди научили AI писать им код, а теперь они даже написание коммитов переложили на машину.
SmartCommit - скрипт генерирующий описание коммита на основе диффов изменений. Сгенерированное сообщение будет использовано в качестве шаблона для дальнейшего редактирования описания коммита, что позволит просмотреть и при необходимости настроить сообщение перед конечной отправкой коммита.
Под капотом никакой магии, и это снова запросы к OpenAI.
Требования:
- Python 3.7 и выше
- Python venv
- Git
- Ключ OpenAI API
The Art and Science of Automated CVSS Predictions
Пока вы считаете CVSS калькулятором, ребята из PRIOn обучили машину считать это на основе множества факторов.
NLP, AI, сравнительные таблицы и прочий маркетинг в комплекте.
На самом деле выглядит интересно, но как по мне, это не та вещь, за которую хотелось бы платить кучу денег.
Крипто-цирк со смарт-конями.
Заурядная, но всё же потрясающая ситуация произошла с Ledger. Казалось бы, просто атака на цепочку поставок, но детали взлома вызывают недоумение.
- Бывший сотрудник Ledger стал жертвой фишинговой атаки, результате которой был получен доступ к его учетной записи NPMJS.
- Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивающую версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал неавторизованный проект WalletConnect для перенаправления средств на хакерский кошелек.
Да, бывший сотрудник не просто имеет доступ к коду, но может вносить изменения, которые влияют на функционал.
Возможно это такие best practices в мире Web3, но для производителя security-related железа это как минимум странно.
Пост-мортем от самих Ledger: twitter.
Статья от CoinFabrik: Attack on Ledger Wallets – What Happened?
Адрес, который связан с атакой: 0x658729879fca881d9526480b82ae00efc54b5c2d
Google OAuth is broken (sort of)
Небольшая статья об уязвимости в Google OAuth, которая позволяет сотрудникам компаний сохранять неограниченный доступ к таким приложениям, как Slack и Zoom, после того как их увольняют и удаляют из воркспейса Google компании.
На данный момент компания Google не предприняла никаких изменений для уменьшения этого риска.
Хронология событий:
4 августа - раскрытие информации Google, информирование о том, что сотни приложений, вероятно, затронуты проблемой.
7 августа - триаж проблемы
5 октября - Google заплатила 1337 долларов за проблему
25 ноября - массовое частное раскрытие информации десяткам затронутых приложений (включая Zoom и Slack).
16 декабря - публичное раскрытие информации через 134 дня после уведомления Google
Что имеем:
Из-за лазейки в системе OAuth от Google бывшие сотрудники могут получить доступ к Slack и Zoom, что является существенной проблемой в системе безопасности.
Статья получилась вынужденным раскрытием проблемы, так как Google пропустила срок в 90 дней из стандартной практики, и ребята из Truffle Security своей статьей пытаются ускорить процесс исправления.
BlueTeam, комманды защиты и иные охотники на зловреды на месте?
У Андрея Жданова (rivitna) из F.A.C.C.T. есть репозиторий - malware, содержащий в себе правила для Yara для разного рода ransomware.
К части из них есть не только правила, но и сэмплы, декрипторы и артефакты, которые удалось добыть.
faction - автоматизация для написания отчётов и оценки из коробки.
Что позволяет faction:
- Автоматизировать тестирование проникновение и составление отчетов
- Рецензировать и отслеживать изменения в отчетах
- Создавать настраиваемые шаблоны для различных типов оценки и повторных проверок
- Кастомизировать шаблоны уязвимостей с более чем 75 предварительно заполненными полями
- Отслеживание действий по устранению уязвимостей с помощью пользовательских оповещений SLA
- Совместно работать через плагин Faction BurpSuite Extension
Другие возможности и интеграции:
- Интеграция LDAP
- Интеграция OAuth 2.0
- Интеграция SMTP
- Возможность расширения с помощью пользовательских плагинов, аналогичных Burp Extender.
- Rest API для интеграции с другими инструментами
Видео-демонстрация: Faction Penetration Testing Collaboration Software Intro
Документация: Faction Manual Pages
Contactless Overflow Code Execution in Payment Terminals & ATMs
Взлом POS и банкоматов в силу малой доступности для исследования окутан флёром загадочности. А взлом таких вещей чере NFC вообще казался странным и маловероятным. Однако, кто-то ломает POS и банкоматы, а взлом через NFC не кажется чем-то невозможным.
Да, переполнение буфера через NFC.
Исследование опубликовали спустя полтора года, но учитывая инертность вендоров\банков\ретейлеров, то остаётся загадкой, к какому количеству оборудования это ещё применимо.
Just about every Windows and Linux device vulnerable to new LogoFAIL firmware attack
Практически все устройства под управлением Windows и Linux уязвимы для новой атаки на UEFI/BIOS.
Компьютеры под управлением Windows и Linux практически от всех производителей оборудования уязвимы к новой атаке, которая запускает вредоносную микропрограмму на ранних этапах загрузки, что позволяет заразить компьютер, который практически невозможно обнаружить или удалить с помощью существующих механизмов защиты.
Атака, названная исследователями LogoFAIL, отличается относительной простотой осуществления и широтой охвата моделей потребительского и корпоративного класса. Во многих случаях LogoFAIL может быть удаленно выполнен в ситуациях после эксплойта с использованием техник, которые не могут быть обнаружены традиционными продуктами для защиты конечных точек. А поскольку эксплойты запускаются на самых ранних стадиях процесса загрузки, они способны обойти множество защитных средств, включая общепринятую в отрасли систему Secure Boot, Secure Boot от Intel и аналогичные средства защиты других компаний, разработанные для предотвращения заражения буткитами.
LogoFAIL это не одна уязвимость сама по себе, а целый набор из двух десятков обнаруженных уязвимостей, которые либо не обнаруживали ранее, либо не были исправлены вендором.
Видео PoC: Finding LogoFAIL: The Dangers of Image Parsing During System Boot
Уже присвоенные CVE:
- CVE-2023-5058
- CVE-2023-39538
- CVE-2023-39539
- CVE-2023-40238
OSTE-Meta-Scanner - сканер, который автор позиционирует как DAST-инструмент.
Заявлен детект уязвимостей:
- SQLi,
- XSS
- Command Injection
- XML Injection
- XSLT Injection
- XXE
и множества других.
Под капотом:
- Wapiti
- Zaproxy
- Skipfish
- Nikto
- Nuclei
- и несколько Python-библиотек.
Docker нет, установщика нет. Но можно скриншоты посмотреть.
В целом, OSTE-Meta-Scanner это своеобразный reNgine курильщика. Задумка хорошая, реализация хромает.
В дополнении мониторинга доменов\поддоменов нашёл чекер на тайпсквотинг - haveibeensquatted.
API нет, настройки пермутации нет, нельзя выгрузить json\csv, но генерирует RDAP для найденных доменов.
В целом скромно, но вполне работает.
Newly discovered Bluetooth security flaws reveals all devices launched after 2014 can be hacked
Пришла беда откуда не ждали. (нет)
Все устройства с Bluetooth выпущенные после 2014 года уязвимы:
- Исследователи безопасности обнаружили новые уязвимости в Bluetooth, которые позволяют хакерам выдавать себя за устройства и осуществлять атаки типа "человек посередине".
- Уязвимости затрагивают все устройства с Bluetooth 4.2 и Bluetooth 5.4, включая ноутбуки, ПК, смартфоны, планшеты и другие.
- На данный момент пользователи ничего не могут сделать для устранения уязвимостей, а решение проблемы требует от производителей устройств внесения изменений в механизмы безопасности, используемые в технологии.
В целом, новость плохая, но не неожиданная. Bluetooth как сеть крайне малого диапазона никогда особо не секурилась. Но масштаб неприятно поражает, этого не отнять.
Whitepapper исследования: https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
Github с PoC: https://github.com/francozappa/bluffs
CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-24023
Hackers spent 2+ years looting secrets of chipmaker NXP before being detected
Как долго могут находится хакеры во взломанной инфраструктуре? Очень долго, если сами себя не обнаружат.
- Хакерская группа, связанная с Китаем, потратила более двух лет на проникновение в корпоративную сеть компании NXP,
- Группа известная как Chimera или G0114, периодически получала доступ к почтовым ящикам сотрудников почтовым ящикам сотрудников и сетевым дискам в поисках разработок микросхем и другой интеллектуальной собственности.
- Взлом был обнаружен только после того, как хакеры были обнаружены в отдельной сети компании, которая подключалась к взломанным системам NXP.
- Компания NXP не сообщила о вторжении ни клиентам, ни акционерам, за исключением краткого упоминания в годовом отчете за 2019 год.
- Исследователи безопасности выразили удивление отсутствием связи NXP с клиентами, поскольку взлом потенциально может поставить под угрозу безопасность чипов NXP, используемых в различных продуктах.
- Хакерская группа Chimera имеет опыт кражи данных у различных компаний и использовала различные средства, чтобы скомпрометировать своих жертв, в том числе использование информации об учетных записях, полученных в результате предыдущих утечек данных.
- Инцидент вызывает опасения по поводу безопасности чипов NXP, которые используемых в смартфонах, смарт-картах и электромобилях.
В целом, это как всегда прекрасно. Вендора поломали, но он делает вид, что всё в порядке.
Advent of Cyber 2023 начнется уже через 30 минут.
Событие будет проходить 24 дня, и если вы хотите поучаствовать в розыгрыше призов, необходимо выполнить все задачи до 27 декабря.
Прохождение не требует ежедневного участия, но за него выдают мини-призы: месяц подписки или $15-ваучер на мерч.
Интро-таски открыты, так что если вы не знакомы с платформой, можете начать заранее.
Делаем отчёты nmap дружелюбней
Nmap инструмент мощный и гибкий, но его отчёты о сканировании далеко не всегда удобны для просмотра. Они не всегда наглядны, иногда их надо показывать людям, которые не готовы разглядывать вывод из stdin, а иногда и вовсе отчёт нужно конвертировать для дальнейшей обработки и\или хранения.
Так же на nmap некоторые строят целые сканеры уязвимостей (например nerve) или инструменты для постройки майндмап, например NMapify, но это не всегда нужно, а порой и вовсе избыточно.
Пойдем от простого к сложному:
- nmap2md
- nmap-formater
- vscode-nmap-peek
- WebMap
И в рамках истории:
- nerve
nmap2md
nmap2md - небольшая утилита для преобразования xml-отчётов nmap в markdown. Cо сложным репортом может не работать, но для простого сканирования, вроде инвентаризации своей сети вполне подойдет.
Проект заброшен, так что не стоит ожидать от nmap2md сложных вещей и исправлений багов.
- Репозиторий: https://github.com/vdjagilev/nmap2md
nmap-formater
nmap-formater инструмент, позволяющий конвертировать xml-отчёт сканирования nmap в html, csv, json, markdown, graphviz или sqlite. Функционал довольно гибкий, так что стоит глянуть их Wiki. nmap-formater так же доступен как библиотека в golang.
- Репозиторий: https://github.com/vdjagilev/nmap-formatter
- Wiki: https://github.com/vdjagilev/nmap-formatter/wiki/Usage
- Use as a library: https://github.com/vdjagilev/nmap-formatter/wiki/Use-as-a-library
vscode-nmap-peek
Nmap-Peek - плагин для VSCode для просмотра xml-репортов Nmap. Плагин использует React, что (в теории) делает его менее тормозным. Кроме того, немного измененная версия плагина развернута на сайте автора, который отображает репорт в том же виде.
- Репозиторий: https://github.com/marduc812/vscode-nmap-peek
- VScode marketplace: https://marketplace.visualstudio.com/items?itemName=marduc812.nmap-peek
- Online версия: https://www.devoven.com/tools/nmap-viewer
nmap-bootstrap-xsl
nmap-bootstrap-xsl - реализация Nmap XSL на Bootstrap. Позволяет преобразовывать результаты сканирования Nmap XML в HTML-отчеты.
Для конвертирования используется сам xls-файл и xsltproc:
# скачиваем bootstrap xsl
wget https://raw.githubusercontent.com/Haxxnet/nmap-bootstrap-xsl/main/nmap-bootstrap.xsl
# конвертируем отчёт xml в html
xsltproc -o report.html nmap-bootstrap.xsl nmap.xml
nmap -sS -Pn --stylesheet https://raw.githubusercontent.com/Haxxnet/nmap-bootstrap-xsl/main/nmap-bootstrap.xsl scanme.nmap.org
Building Immune Authorization: AppSec in Healthcare Apps
Авторизация - задача, с которой сталкивается каждый разработчик. Она играет решающую роль в обеспечении доступа нужных людей и служб к нужным ресурсам.
Если вы строите авторизацию, то есть смысл поглядывать на построение авторизации в сервисах американского здравоохранения. Они часто ссылаются на различные аббревиатуры вроде HIPAA, RBAC, ReBAC, ABAC, которые в теории должны мотивировать "делать хорошо, а плохо не делать".
Очевидно, что всё гладко выглядит лишь на бумаге, а использовать использовать условный ReBAC не обязательно. Но иметь представление стоит.
EvilSlackbot: A Slack Attack Framework
Неразбериха с ботами и интеграциями в Slack всегда была большой проблемой. Как и само пользование Slack.
И раз уж Slack такая благоприятная почва для разного рода бесчинств, то это не могло обойти стороной Red Team.
EvilSlackbot - фреймворк для атаки на Slack, для использования нужен токен для Slack API.
EvilSlackbot может отправлять поддельные сообщения Slack, фишинговые ссылки, файлы и искать секреты.
Так же бот не помешает и команде защиты, если у вас есть security awareness и пересылаются секреты в чатах.
Страница проекта: https://drew-sec.github.io/EvilSlackbot/
Репозиторий: https://github.com/Drew-Sec/EvilSlackbot
Florian Roth из Nextron Systems (а ещё автор yarGen, Loki, Fenrir) выпустил набор правил для Yara.
Доступны три набора правил:
- Core set: Содержит только правила с высокой точностью и низким процентом ложных срабатываний, оптимизированные для производительности. Идеально подходит для критически важных сред, где стабильность является ключевым фактором. (7308 правил)
- Extended Set: Расширяет основной набор дополнительными правилами поиска угроз для более широкого охвата, с минимальным увеличением числа ложных срабатываний и влияния сканирования. Подходит для сбалансированной системы безопасности. (9064 правила)
- Full Set: Включает в себя все функциональные правила, приоритет отдается широте обнаружения угроз. Лучше всего подходит для сценариев, в которых широкий охват перевешивает стоимость более высоких ложных срабатываний и использования ресурсов. (9666 правил)
Про правила от Nextron Systems я уже писал, и долгое время им действительно было сложно найти альтернативу. Это хорошая замена набору правил от Nextron Systems (по крайней мере бесплатному набору), и\или самописным правилам.
Статья на Medium: Introducing YARA-Forge
Страница проекта: https://yarahq.github.io/
Репозиторий: https://github.com/YARAHQ/yara-forge/
Релизы: https://github.com/YARAHQ/yara-forge/release
BSAM: Bluetooth Security Assessment Methodology
Пока одни старательно пытаются сломать Bluetooth, другие пытаются его починить и пишут методологию оценки безопасности.
BSAM - это аббревиатура от Bluetooth Security Assessment Methodology. BSAM - это открытая и совместная методология, разработанная для стандартизации оценки безопасности устройств, использующих технологию Bluetooth.
Основная документация уже готова, расписаны controls, но работа ещё идёт.
Отследить активность или внести лепту можно на Github: github.com/TarlogicSecurity/BSAM
Утечка исходного кода через директорию .git
Сегодня поговорим о раскрытии исходного кода через открытую директорию .git в веб-приложениях/рабочей среде.
Хакеры могут использовать инструменты для загрузки/восстановления репозитория, чтобы получить доступ к исходному коду вашего приложения.
Это интересно потому что:
- Его легко обнаружить.
- Анализ исходного кода может выявить другие уязвимости, более критичные.
- Любой может использовать ваш исходный код в злонамеренных целях, нанеся вам финансовый/репутационный ущерб.
- Возможен поиск файлов, содержащих конфиденциальную информацию, например учетные данные, токены, новые конечные точки и т. д.
Согласно исследованию Truffle Security, 4,500 сайтов из миллионного топа раскрывают исходный код.
Как найти
Если нет конкретной цели, то для поиска .git мы можем использовать Google Dorks:
index of” inurl:.git
allintext:index filetype:git
site:index of” inurl:.git site:example.com
allintext:index filetype:git site:example.com
wget --mirror -I .git example.com/.git/
git diff.git status покажет только удаленные файлы, поскольку у нас есть только папка .git, загруженная с веб-сервера. Впрочем, это не проблема. Выполнение команды git checkout -- . или git restore . вернёт репозиторий к последнему изменению.
Vulnerability Management with DefectDojo — is it great for DevSecOps?
Ещё одна статья про то, как перестать боятся и начать использовать DefectDojo.
Немного про то, как устроено под капотом и как оно устроено в целом. Для уже использующих DefectDojo новой информации нет, но тех, кто только ищет инструмент для управления уязвимостями может быть интересно.
Так же у DefectDojo доступно демо, где можно посмотреть как оно работает, позагружать свои сканы (не с продовых систем, разумеется) или посмотреть работу на примере unit-тестов.
P.S. Но в целом DefectDojo не без проблем. Например, документация охватывает не всё (частично решается вдумчивым чтением swagger) и могут быть проблемы на отчётах 100mb+ (вероятно, связано с дедупликацией).
Кожанные мешки снова перекладывают работу на машинное обучение.
Pentest Muse - AI агент, способный автоматизировать часть заданий по тестированию на проникновение. Под капотом никакой магии нет, в основе всего заготовленные промпты, и для работы используется ChatGPT.
Режимы работы:
Action Mode: Режим по умолчанию. В режиме действия Pentest Muse выполняет задачи тестирования на проникновение на основе пользовательского ввода. Он предназначен для автоматизации и облегчения различных действий по тестированию.
Chat Mode: В режиме чата Pentest Muse взаимодействует с пользователем через интерактивный интерфейс чата. Этот режим помогает пользователям решать задачи пентеста и обеспечивает более разговорный характер.
Примеры работы:
- SQL Injection
- Broken Object Level Authorization
- Password Bypass
Не "groundbreaking open source AI tool", но если у вас есть доступ к ChatGPT, стоит присмотреться.
Spoofing DNS Records by Abusing DHCP DNS Dynamic Updates
Исследователи из Akamai обнаружили новый набор атак на домены Active Directory, использующие серверы Microsoft DHCP. Эти атаки могут позволить злоумышленникам подменить важные записи DNS, что приведет к различным последствиям - от кражи учетных данных до полной компрометации домена Active Directory. Атаки не требуют никаких учетных данных и работают с конфигурацией Microsoft DHCP-сервера по умолчанию.
Масштаб проблемы предсказать сложно, так как Active Directory используется во множестве компаний, однако Microsoft DHCP используется далеко не везде.(40% сетей, отслеживаемых Akamai)
Исследователи из Akamai сообщили о своих результатах в Microsoft, однако исправление ситуации не планируется.
Но есть и хорошая новость, в статье не только про атаку, но и оборону. Решить за Microsoft проблему у вас не выйдет, но смягчить последствия вполне посильно:
- Отключите DHCP DNS Dynamic Updates, если он не используется
- Управляемые записи (Managed records) не защищены от спуфинга при любой конфигурации. Eсли возможно, используйте статические DNS-записи для не-Windows хостов
- Не используйте DNSUpdateProxy, используйте DNS credential
Так же опубликован Powershell-инструмент для обнаружения данной уязвимости - Invoke-DHCPCheckup
Будет интересно не только системным администраторам, но и "синим" коммандам.
P.S. Картинка из поста довольно лаконично описывает ситуацию.
Hi, My Name Is Keyboard
Снова Bluetooth, но уже от другого исследователя и другой CVE: CVE-2023-45866.
На этот раз обход аутентификации, который позволяет злоумышленнику подключиться к обнаруживаемому хосту без подтверждения пользователя.
Проверенно уязвимы:
- Google Pixel (с 2 по 7);
- в целом Android 11-14 без фикса от 2023-12-05, (версии 4.2.2-10 без исправления);
- 2022 MacBook Pro
- 2017 MacBook Air
PoC и деталей пока нет.
В постоянно развивающемся мире кибербезопасности опережение потенциальных угроз имеет первостепенное значение. Поскольку идентификация становится ключевым элементом программы безопасности организации, мы все больше полагаемся на поставщиков идентификационных данных (IdP), таких как Okta, для управления идентификацией и доступом, а также для объединения доступа к облачным сервисам, системам и критически важным SaaS-приложениям. Поэтому журналы, создаваемые этими системами, становятся важнейшим источником информации, которая поможет вам обнаружить и устранить угрозы до того, как они начнут сеять хаос.
Но так как логи вещь не универсальная, то нередко приходится потратить множество времени, чтобы их приспособить в своих нуждах.
Чем и занялись ребята из Rezonate, выпустив две статьи с разбором логов Okta System Log API:
- Okta Logs Decoded: Unveiling Identity Threats Through Threat Hunting
- Okta Threat Hunting: Auditing Okta Logs Part 2
Okta System Log API записывает различные системные события, которые могут быть использованы для понимания активности платформы и диагностики проблем. API системного журнала предоставляет доступ практически в режиме реального времени, только для чтения, фиксируя широкий спектр типов данных и точную структуру каждого изменения. При этом некоторые данные являются независимыми и отображаются в каждой записи журнала.
В статьях рассматриваются:
- Каждый журнал аудита Okta, анализ и извлечение полезной информации.
- Обнаружие скрытых угроз, анализ их закономерности и реагирование. От обнаружения попыток брутфорса и MFA до методов повышения привилегий.
Так же доступен скрипт, который позволит вам быстрее и проще собирать, анализировать, искать и обнаруживать угрозы идентификации.
grype - Сканер уязвимостей для образов контейнеров и файловых систем.
Возможности:
— Сканирование содержимого образа контейнера или файловой системы для поиска известных уязвимостей.
— Обнаруживает уязвимости для распространенных систем:
- Alpine
- Amazon Linux
- BusyBox
- CentOS
- CBL-Mariner
- Debian
- Distroless
- Oracle Linux
- Red Hat (RHEL)
- Ubuntu
— Обнаруживает уязвимости в пакетах языков программирования:
- Ruby (Gems)
- Java (JAR, WAR, EAR, JPI, HPI)
- JavaScript (NPM, Yarn)
- Python (Egg, Wheel, Poetry, requirements.txt/setup.py)
- Dotnet (deps.json)
- Golang (go.mod)
- PHP (Composer)
- Rust (Cargo)
— Поддерживает форматы образов Docker, OCI и SingularityCE.
Из коробки работает с другим инструментом от Anchore - syft (генератор SBOM), но так же воспринимает форматы SPDX и CycloneDX.
Для тех, кому мало:
Так же можно обогатить базу уязвимостей связкой grype + grype-db + vunnel.
Grype интегрируется с Defect Dojo (репорты в json).
Из коробки нет интеграции в CI/CD, но есть поддержка Github Actions.
Для пользователей Gitlab grype (как и Trivy) есть в Container Scanning.
Exploitation of Unitronics PLCs used in Water and Wastewater Systems
Ещё немного прекрасного.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило о реакции на кибератаку, в ходе которой активно использовались программируемые логические контроллеры (ПЛК) Unitronics для атаки на муниципальное управление водоснабжения города Аликиппа в западной Пенсильвании.
"Субъекты киберугроз атакуют ПЛК, связанные с объектами [систем водоснабжения и водоотведения], включая идентифицированный ПЛК Unitronics на одном из водохозяйственных объектов США", - говорится в сообщении агентства.
Атака была приписана поддерживаемому Ираном хактивистскому коллективу, известному как Cyber Av3ngers.
Мотивация иранских хактивистов довольно проста: оборудование изготовлено в Израиле. Однако, какой логики придерживаются люди, выставляющие контроллеры в интернет, мне решительно не понятно.
Ещё источники:
- The Register: Uncle Sam probes cyberattack on Pennsylvania water system by suspected Iranian crew
- Cyberscoop: Pennsylvania water facility hit by Iran-linked hackers
Make Windows secure again.
private-secure-windows - это набор настроек конфиденциальности и безопасности для Windows 10 и Windows 11, в которой постарались найти оптимальный баланс между конфиденциальностью, безопасностью и удобством использования. Он использует GPO и в основном основан на Microsoft Windows security baselines и Windows Restricted Traffic Limited Functionality Baseline.
Он имеет два уровня безопасности, основанные на профиле угроз:
Базовая безопасность и конфиденциальность
Содержит настройки конфиденциальности и безопасности, ограничивающие совместное использование личной информации и улучшающие конфигурацию безопасности без существенного снижения производительности и удобства использования.
- Подходит для автономных систем и личных систем
- Помогает защититься от пассивных атак
Высокий уровень безопасности и конфиденциальности
Включает дополнительные настройки безопасности повышенным уровнем угроз. Сюда входят настройки безопасности корпоративного уровня и защита от физических атак. Это может снизить удобство использования и производительность по сравнению с базовым уровнем.
- Подходит для автономных систем и небольших доменов/предприятий
- Помогает защититься от целевых атак
Поддерживаемые версии Windows:
- Windows 10 (21H1, 21H2 и 22H2)
- Windows 11 (21H2, 22H2 и 23H2)
Хоть privacy и security в контексте Windows звучит как оксюморон, для обычных пользователей идея имеет место быть.
Для систем в Active Directory уже несколько сложнее, но есть готовые GPO, которые возможно будут применимы и полезны.
Так же стоит учитывать, что это не CIS Benchmark, и если вы в работе ориентируетесь на CIS, то это закроет лишь часть задачи.
Vulners выпустлили плагин для trivy - trivy-plugin-vulners-db
Плагин для trivy который позволяет работать с базой vulners.com. С оценкой уязвимостей на основе искусственного интеллекта, прогнозированием эксплойтов, аналитикой и многим другим.
Установка и подключение в две строки:
- Устанавливаем плагин
trivy plugin install github.com/vulnersCom/trivy-plugin-vulners-db
trivy vulners-db --api-key <vulners api-key>
