Nuclei: Автоматизация безопасности через шаблоны

Nuclei — инструмент командной строки с открытым исходным кодом для масштабируемого сканирования безопасности на основе шаблонов. Принцип работы основан на использовании централизованной базы шаблонов (формат YAML). Каждый шаблон содержит инструкции для проверки одной конкретной уязвимости, небезопасной конфигурации или технологии.

✅Преимущества
- Шаблоны позволяют минимизировать ложные срабатывания за счет точного описания условий обнаружения
- Сообщество безопасности регулярно создает и обновляет шаблоны для новых уязвимостей
- Поддерживает проверки HTTP, DNS, TCP и рабочих процессов

✨Устанавливаем

go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
nuclei -update-templates

✨Проверяем

nuclei -h

✨Сканируем

nuclei -u example.com -severity critical,high
nuclei -list targets.txt -o results.json -json

🟣Для проверки цели на конкретную уязвимость (например, Log4Shell (CVE-2021-44228)), укажем путь к конкретному шаблону:

nuclei -u https://example.com -t /path/to/nuclei-templates/cves/2021/CVE-2021-44228.yaml

Получаем такой результат:

[CVE-2021-44228] @ https://example.com/api/login
[info] The target is vulnerable to Log4Shell (CVE-2021-44228).
[template] cves/2021/CVE-2021-44228.yaml
[severity] critical

📎Полезные команды
✨Объединение с subfinder и httpx

echo "domain.com" | subfinder | httpx | nuclei -silent

✨Оптимизация скорости

nuclei -list targets.txt -rate-limit 50 -concurrency 10

✨Лимиты для избежания блокировок

nuclei -u example.com -rate-limit 10 -timeout 20

❎Недостатки
- Высокая нагрузка на сеть при агрессивном сканировании
- Риск блокировки IPS/WAF системами при отсутствии настройки лимитов

📱 Компания Discord опубликовала заявление с подробным разъяснением инцидента безопасности, который произошел с одним из ее сторонних поставщиков услуг по обслуживанию клиентов. В отличие от взлома систем самого Discord, инцидент стал результатом целенаправленной атаки на сотрудника третьей стороны.

🔺Хронология инцидента
Инцидент берет начало не с технического взлома, а с многоэтапной атаки методом социальной инженерии. Злоумышленники, используя методы манипуляции, смогли обманом получить доступ к учетной записи одного из сотрудников сторонней службы поддержки. Это произошло до 5 мая 2023 года, когда команде безопасности Discord официально стало известно о произошедшем.

После компрометации учетной записи злоумышленник получил доступ к тем данным, которые обрабатываются в тикетах службы поддержки. Это означает, что был раскрыт ограниченный объем информации, включающий адреса электронной почты пользователей, обращавшихся в поддержку, содержание их сообщений к операторам, а также любые документы, прикрепленные к этим обращениям.

🔺Важно подчеркнуть, что внутренние системы Discord и основные данные аккаунтов не были затронуты. Расследование не выявило никаких признаков того, что злоумышленник получил доступ к паролям, платежной информации или к личным сообщениям, которыми пользователи обмениваются в дружеских беседах и на серверах.

🔺Реакция и предпринятые меры
Узнав об инциденте, Discord немедленно приступил к серии действий по устранению угрозы и минимизации последствий.
🟣Первым действием стала полная блокировка скомпрометированной учетной записи сотрудника сторонней службы поддержки для предотвращения дальнейшего несанкционированного доступа.
🟣В срочном порядке обслуживание клиентов было переведено на нового поставщика услуг для обеспечения непрерывности работы.
🟣Была запущена целевая рассылка всем пользователям, чьи данные могли быть затронуты инцидентом. Каждому такому пользователю было направлено персональное сообщение с описанием ситуации и рекомендацией проявлять повышенную бдительность к фишинговым письмам, которые могут прийти на адрес электронной почты, указанный в обращении в поддержку.
🟣Компания инициировала работу по усилению систем безопасности и пересмотру процессов взаимодействия с третьими сторонами для предотвращения подобных инцидентов в будущем.

В своем заявлении компания принесла извинения за произошедшее и заверила, что продолжает укреплять как собственные системы безопасности, так и требования к сторонним партнерам, чтобы не допустить подобных инцидентов в будущем.

💬А что думаете вы о данном инциденте?