Как настроить аудидт или логвотч, если не знать что искать?

Question

[volhvrod-qq]

Есть уязвимость
https://confluence.atlassian.com/security/cve-2023...
https://redcanary.com/blog/confluence-exploit-rans...
https://www.cvedetails.com/cve/CVE-2023-22515/

Как можно настроить системы оповещения и сканировать на предотвращение или быстрое реагирование на подобные типы атак?

Comments

[CityCat4]

Удалил тег "Компьютерные сети"

[hint000]

Люди таким вещам по несколько лет учатся, получают дипломы.
IMHO, минимальный объём для раскрытия такой темы - книга. А большая статья потребуется только для ознакомления, с какой сторыны подходить к проблеме.

[SunTechnik]

Какая задача? Защититься именно существующий сервер или вообще от подобного рода атак?

Если именно по этой уязвимости, то atlassian приводит список url, которые надо закрыть от доступа из вне + триггер на создание (появление) нового пользователя.

Если как закрываться вообще от подобного рода атак, то нет универсального ответа.

[volhvrod-qq]

CityCat4, Да, ведь это точно никак не относится к компьютерным сетям

[volhvrod-qq]

hint000, Лучше, чем ничего. Хоть какой-то вектор, как начать, куда смотреть. Потому что сейчас передо мной только голые утилиты

[volhvrod-qq]

SunTechnik, И то, и другое. Атлассиан приводит список день в день для всех, включая аттакующих. Прочитайте анализирующие статьи их уязвимостей. Каждый раз большинство взломой и аттак приходится в первы едни после публикации уязвимостей. Не всегда хватает быстроты реакции, внимательности, писем, объема работ и тд, чтобы закрыть все дырки хотя бы до заплаток. А у многих стоят серверные версии, которые впринципе не получат скоро никаких заплаток. Елинственной решений убирать их из интернета или ДМЗ? Ставить их за ВПН? Так это не решение

Answer 1

[Vitaly Karasik]

Предотвращение - немедленно делать то, что советует Atlassian.

Обнаружение атак - в общем случае можно сделать алерт, если объем лога за минуту (10 минут, час) значительно вырос. Обычно есть 100 записей в минуту - будем посылать алерт если есть 300.
Плюс прочитать что пишет Atlassian и настроить алерты по ключевым словам (URL, requests, ...) которые используются в аттаках.

Если отвлечься от Atlassian и говорить в целом - чтобы не изобретать велосипед, нужен WAF (web application firewall). Я последние годы 99% в облаке, но если вы нет, наверняка есть и on-prem products.
Примеры облачных WAF - AWS WAF (ACL), Cloudflare. Мы получаем набор правил от провайдера WAF, который сделан на основе анализа огромного траффика и должен отфильтровывать "плохой" траффик. Разумеется, набор обновляется в реальном времени.

Так что слова для поиска: WAF, SIEM, IDS.

Comments

[volhvrod-qq]

Только каждый раз в этих атаках url и реквесты разные. И не все дыры атлассиан размещает у себя. Многие дыры с рейтингом 8-9 на атлассин продукты годами висят на CVE и до сих пор не закрыты и на сайтах атлассин не описаны7 Плюс время реакции. Ну и речь не только об атлассиан, просто это самый яркий пример того, что случилось сейчас. Взломало ооооочень много компаний.

[Vitaly Karasik]

volhvrod-qq,

Только каждый раз в этих атаках url и реквесты разные

Понимаю. Я не говорил что это 100% надежно и\или легко сделать.

Если отвлечься от Atlassian и говорить в целом - чтобы не изобретать велосипед, нужен WAF (web application firewall). Я последние годы 99% в облаке, но если вы нет, наверняка есть и on-prem products.
Примеры облачных WAF - AWS WAF (ACL), Cloudflare. Мы получаем набор правил от провайдера WAF, который сделан на основе анализа огромного траффика и должен отфильтровывать "плохой" траффик. Разумеется, набор обновляется в реальном времени.

Так что слова для поиска: WAF, SIEM, IDS.