cve


| Следующая

Что такое CVE?

В приложении находят проблему с безопасностью Например, нужен физический доступ к ПК, учетная запись под меньшими правами или же из мира. И повышают права или проводят атаку на отказ в  обслуживании. Именно MITRE придумали CVE. Common Vulnerabilities and Exposures

Есть множество сайтов, агрегаторов cve. Обычно, они дают только номер и описывают. Но бывают сайты, где дают решения: обновится или отключить что то через настройки. Также бывают сайты, где специалисты ищут решение.

По сути если у уязвимости есть номер -- то значит об этом уже все знают. В том числе и разработчики конкретного софта. Другой вопрос, что разработчики часто тянут с решениями. Можно смело сказать так. Если вы нашли уязвимость на cve и начали что то делать, то вообще то 0 дай уже работает на вашем предприятии.

Вот сотрированный по годам на github

https://github.com/trickest/cve

Чтобы добавить свою cve, надо заполнить форму: https://cveform.mitre.org/

Процесс описан здесь: https://www.cve.org/ResourcesSupport/FAQs

Вот агрегаторы CVE.

https://vuldb.com/

https://vulners.com/

https://cve.mitre.org/cve/search_cve_list.html

https://www.cisa.gov/

https://security.snyk.io/

https://nvd.nist.gov/

https://www.cve.org/

https://bugzilla.redhat.com/buglist.cgi?quicksearch=gnu%20pass

https://www.cvedetails.com/vulnerability-list/vendor_id-72/product_id-913/GNU-Mailman.html

 

В дистрибутивах

Майнтенеры дистрибутивов ведут CVE рассылки, которые, как я понимаю, можно настраивать только под свои пакеты. То есть как только узнают пишут, потом уже идут исправления.

https://wiki.gentoo.org/wiki/Portage#glsa-check

Есть под дебиан.

 

Логика

Давайте честно. По логике, такие сайты имеют смысл только от мамкиных хакеров. То есть если вы на сайте такое прочитали, то разработчики вашего софта уже точно знают о проблеме. Иначе бы ей номер не присвоили. Другой вопрос, что опен соурс и даже платный софт не всегда сразу исправляет ошибки. Часто дают временные рекомендации. Также бывает, что решения не дают очень долго, а исправления на уровне блокировки трафика, например.

Но в любом случае надо искать уязвимости до того, как они получили cve номер. А это сложно.

Программистам

Есть продукты SCA которые ищут по базе библиотек и открытый код проверяют на поддерживаемость и на уязвимости.

Сканеры списком

Scanner Adapters

  Scanners Providers Evaluated As Default Onboard in Release
Clair
Clair
CentOS
Y
(removed as default in v2.2) v1.10
Anchore
Anchore
Anchore
Y
  v1.10
Trivy
Trivy
Aqua
Y
Y
v1.10
CSP
Aqua
Aqua
Y
  v1.10
DoSec
DoSec
DoSec
Y
  v1.10
Sysdig Secure
Sysdig
Sysdig
Y
  v2.1.0
TensorSecurity
TensorSecurity
TensorSecurity
Y
  v2.2.0
ArksecScanner
Arksec
Arksec
Y
  v2

Несколько статей по теме

Каждый день появляются новые уязвимости затрагивающие всевозможные программы, сервисы и операционные системы, такие как: Windows, macOS, Linux и Android.  Многие уязвимости ускользают от внимания обладателей этих устройств и пентестеров, но все эти уязвимости агрегируются и добавляются в базы уязвимостей. О таких сайтах собирающих уязвимости мы и расскажем в сегодняшней статье.

Еще по теме: Как проверить сайт на уязвимости

 

Что такое CVE?

Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке.

В данной базе для каждой уязвимости используется следующий атрибут записи CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер. В нашем примере уязвимость SSH V.7.7 под названием CVE-2018-15473.

Уязвимости пользуются большим спросом у хакеров и пентестеров. Они могут использоваться для взлома устаревших версий Windows, повышения привилегий и доступа к маршрутизаторам.

Зарубежные сайты для поиска уязвимостей

Теперь когда мы знаем, что такое CVE, давайте перейдем к списку лучших сайтов для поиска уязвимостей. Я намеренно начинаю обзор с зарубежных ресурсов. Рекомендую обратить внимание именно на них. Ведь информационная безопасность как и любая другая область IT требует знания английского языка. Без этого никак, и чем раньше вы начнете выходить из зоны комфорта и мучить этим свой мозг, тем лучше.

CIRCL

Центр реагирования на компьютерные инциденты CIRCL — это организация, которая фокусируется на взломах и информационной безопасности.

На сайте CIRCL представлены публикации исследований безопасности и база данных уязвимостей для поиска.

VulDB

На протяжении десятилетий специалисты VulDB работали с крупными и независимыми сообществами в сфере информационной безопасности для создания базы данных с возможностью поиска более 124000 уязвимостей.

Сотни новых уязвимостей еженедельно добавляются на сайт, которые в зависимости от серьезности получают метку (низкий, средний, высокий).

SecurityFocus

В прошлом SecurityFocus информировал о случаях взлома и публиковал всевозможные материалы по теме информационной безопасности.

В настоящее время сервис отслеживает отчеты об ошибках программного обеспечения и с 1999 года ведет архив CVE с возможностью быстрого поиска уязвимости.

40day.today

0day.today (доступный через Tor) — это база данных уязвимостей, которая также продает личные эксплойты, цена которых не превышает 5000$.

Есть несколько сообщений о мошеннических действиях с частными продажами, но несмотря на это база данных уязвимостей, доступна для бесплатного поиска и вполне законна для использования.

 

Rapid7

У Rapid7, создателей знаменитого фреймворка Metasploit, тоже есть свой архив уязвимостей. Однако, в отличие от других баз данных, Rapid7 очень редко использует фактический код уязвимости CVE. Вместо этого сервис предлагает советы, содержащие полезные ссылки на соответствующую документацию для исправления, а также ссылки на модули msfconsole.

К примеру, вышеупомянутую уязвимость SSH CVE-2018-15473 можно найти в msfconsole и применить с большой легкостью.

Еще по теме: Где скачать вирусы

NIST

Национальный институт стандартов и технологий NIST — это одна из старейших физико-технических лабораторий в США. В настоящее время он участвует в проекте «Национальная инициатива по образованию в области кибербезопасности».

Ведет свою базу данных уязвимостей, которая открыта для публичного использования.

Packet Storm Security

Packet Storm Security не предназначен для поиска уязвимостей. На сайте Packet Storm вы можете узнавать о новостях мира информационной безопасности, читать публикации о новых уязвимостях и инструментах используемых в пентесте и в защите от компьютерных атак.

Exploit Database

База данных Exploit Database в настоящее время поддерживается организацией Offensive Security, которая специализируется на взломе Windows и безопасности веб-приложений.

В своей базе данных, доступной для поиска, на данный момент более 40000 уязвимостей. Есть также сервис Google hacking database, о котором мы рассказывали в статье Google Dorks.

Exploit Database — это очень популярный сервис, которым пользуются пентестеры и хакеры. На мой взгляд это самый удобный сервис. Найти уязвимость можно как по названию, так и по определенным категориям, которые упрощают поиск.

Vulners

Vulners, основанная Киром Ермаковым, представляет собой базу данных CVE, в настоящее время содержащую более 176500 уязвимостей. Сайт включает статистику CVE, аудитор управления уязвимостями Linux.

Еще по теме: Образцы вирусов с исходным кодом

MITRE

MITRE — спонсируемая правительством США организация. Сайт ведет одну из самых больших баз данных уязвимостей.

Российские сайты для поиска уязвимостей

Русскоязычные сайты поиска уязвимостей, не могут похвастаться размахом и частотой обновления. Но для тех, кто не дружит с английским могут быть полезны.

База данных уязвимостей ФСТЭК

ФСТЭК — на мой субъективный взгляд далеко не самый лучший сайт для поиска уязвимостей.

База данных уязвимостей SecurityLab

Архив уязвимостей SecurityLab обновляется чаще чем ФСТЭК. Данных об уязвимости мало, но есть категории. Сайт черпает информацию об уязвимостях из зарубежных источников. Ничего своего, как впрочем и публикующиеся там статьи, как впрочем и весь сегодняшний рунет переводящий и перепечатывающий зарубежных специалистов.

 

https://spy-soft.net/exploit-databases-for-finding-vulnerabilities/

 

Разное

 

[https://hacked.slowmist.io/en] 
постоянно обновляемый сервис обмена угрозами, связанными со взломами различного рода децентрализованных финансовых сервисов. Есть еще подобный, но уже частично на русском языке - [https://rekt.news/ru/].