ISACARuSec

2022-05-24 09:11:35 Исследование "Kubernetes Privilege Escalation: Excessive Permissions in Popular Platforms". В нем авторы решили взять разные популярные решения (AKS, EKS, GKE, OCP, Antrea, Calico, Cilium, WeaveNet) - и посмотреть, как у них обстоят дела с правами.

По итогу:
- В 62.5% есть DaemonSets с мощными правами
- И в 50% побег из любого контейнера на Node приведет к полной компрометации кластера

Также они релизнули rbac-police, которая с помощью самобытных правил на Rego позволяет идентифицировать мощные права и пути повышения привилегий в Kubernetes кластере. Часть этих правил они еще добавили в Checkov, а еще в папке prevent они выложили пару политик для OPA Gatekeeper.

Я долго ломал голову почему нельзя было все эти правила сразу оформить в виде политик для Policy Engine - ведь так наиболее правильно и полезней, да и трудностей сделать это никаких нет. И потом понял, что rbac-police это развитие sa-hunter, который является скриптом для пентестеров! Открыть/Комментировать

2022-05-23 09:09:43 https://learnk8s.io/troubleshooting-deployments Открыть/Комментировать

2022-05-22 15:31:42 https://store.isaca.org/s/community-event?id=a334w000004o9psAAA

Virtual Summit—Risk Management Techniques for the Real World Открыть/Комментировать

2022-05-22 15:27:38 Новый RFC 9234 по защите от утечек маршрутов в Интернет разработан благодаря россиянам. Хоть где-то нас еще не выпиливают и не изгоняют! Открыть/Комментировать

2022-05-21 08:44:20 https://www.darkreading.com/application-security/mitre-creates-framework-for-supply-chain-security Открыть/Комментировать

2022-05-20 20:15:29 https://csrc.nist.gov/projects/cryptographic-module-validation-program

NIST Revises Special Publications 800-140C and 800-140D for the CMVP
NIST has published revisions of two Special Publications (SP) that identify security functions and sensitive security parameter generation and establishment methods allowed within the context of the Cryptographic Module Validation Program (CMVP):

NIST SP 800-140Cr1, CMVP Approved Security Functions
NIST SP 800-140Dr1, CMVP Approved Sensitive Security Parameter Generation and Establishment Methods
Each publication introduces the security function naming conventions that will be used for validation submissions and certificates. The revisions also add and remove references to other standards and recommendations. For a complete list of changes, see the Document Revisions section at the end of each publication. Открыть/Комментировать

2022-05-20 07:53:24 https://cloudsecurityalliance.org/artifacts/cybersecurity-best-practices-smart-contract-overview/ Открыть/Комментировать

2022-05-20 07:47:12 https://medium.com/anton-on-security/how-to-think-about-threat-detection-in-the-cloud-1baff902afe5 Открыть/Комментировать

2022-05-20 07:37:17 https://rafeeqrehman.com/2022/04/24/ciso-mindmap-2022-what-do-infosec-professionals-really-do/ Открыть/Комментировать

2022-05-19 19:40:51 VMware исправила критическую уязвимость обхода аутентификации в своих продуктах Workspace ONE Access, VMware Identity Manager (vIDM) и vRealize Automation.

Об уязвимости CVE-2022-22972 сообщил Бруно Лопес из Innotec Security. Как пояснил исследователь, злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации. Последствия ее эксплуатации достаточно серьезны.

Компания также исправила вторую уязвимость локального повышения привилегий высокой степени серьезности, которая отслеживается как CVE-2022-22973 и может позволить злоумышленникам повысить права доступа на неисправленных устройствах до уровня «root». Ошибка затрагивает VMware Workspace ONE, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), Облачный фонд VMware, vRealize Suite.

Учитывая критический характер выявленных баг, разработки призывает как можно скорее применить обновления в соответствии с инструкциями в VMSA-2021-0014
 
VMware предлагает также обходные пути для администраторов, которые не могут возможности оперативно пропатчить свои устройства. Эти меры предполагают отключение всех пользователей, кроме одного администратора, с последующим входом в систему через SSH для перезапуска службы Horizon-Workspace.

В тоже время компания не рекомендует их применять, склоняясь к единственному надежному варианта - установке соответствующих исправлений для уязвимых продуктов.

VMware не раскрывает сведений об использовании уязвимостей в дикой природе, однако если обратить внимание на вышедшую вчера чрезвычайную директиву 22-03 Агентства кибербезопасности и безопасности инфраструктуры США (CISA) в отношении исправления CVE-2022-22972 и CVE-2022-22973 в течение 5 дней, то вероятнее всего, риск атак потенциально неизбежен.

В прошлый раз злоумышленникам понадобилось 48 часов на реверс-инжинеринг патчей (апрельские исправления CVE-2022-229600 и CVE-2022-22954) и разработку эксплойта для начала атак. Открыть/Комментировать