Архив за месяц: Апрель 2025

Апрельский Linux Patch Wednesday

Апрельский Linux Patch Wednesday

Апрельский Linux Patch Wednesday. Всего уязвимостей: 251. 👌 164 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Есть 7 уязвимостей с признаком наличия публичного эксплоита.

Для 2 уязвимостей есть подробно описанный эксплойт на GitHub. Обе они в первый раз исправлены в пакетах репозитория RedOS:

🔸 SQL injection - Exim (CVE-2025-26794)
🔸 Code Injection - MariaDB (CVE-2023-39593)

Для Memory Corruption - Mozilla Firefox (CVE-2025-3028), согласно NVD, эксплойт должен быть в багтреккере Mozilla, но к нему закрыт доступ. 🤷‍♂️

Для 4 уязвимостей есть публичные эксплоиты по данным БДУ ФСТЭК:

🔸 Information Disclosure - GLPI (CVE-2025-21626)
🔸 Security Feature Bypass - GLPI (CVE-2025-23024)
🔸 Denial of Service / Remote Code Execution - Perl (CVE-2024-56406)
🔸 Memory Corruption - Libsoup (CVE-2025-32050)

🗒 Полный отчёт Vulristics

Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204)

Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204)

Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204). Уязвимость из апрельского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Это уязвимость в компоненте Windows Update Stack. Она связана с неверным определением ссылки перед доступом к файлу (CWE-59).

🔻 14 апреля исследователь Elli Shlomo (CYBERDOM) выложил техническое описание уязвимости и код эксплоита для получения привилегий SYSTEM. Однако 27 апреля, после сообщений о неработоспособности эксплоита, он его удалил, пообещав доработать. 🤔 Эксплуатабельность пока под вопросом.

🔻 22 апреля исследователь Kevin Beaumont сообщил, что исправление этой уязвимости, связанное с созданием папки приводит к новой уязвимости отказа в обслуживании, позволяющей пользователям без привилегий администратора блокировать установку обновлений безопасности Windows. В Microsoft ему ответили, что оперативно исправлять это не будут. 🤷‍♂️ Пока стоит решать это настройкой мониторинга.

PCI DSS 4.0.1 и управление уязвимостями

PCI DSS 4.0.1 и управление уязвимостями

PCI DSS 4.0.1 и управление уязвимостями. Провёл сегодня закрытый вебинар для ИБ-специалистов из банков СНГ про управление уязвимостями в контексте актуального PCI DSS v4.0.1 (вышел в июне 2024, обязателен с 31 марта 2025).

Расклады там следующие:

🔹 Привычные квартальные сканы периметра силами ASV-провайдеров остаются ().

🔹 Также нужно сканировать внутрянку не реже раза в квартал (), 🆕 делать это обязательно с аутентификацией (). Сканить можно самим без привлечения QSA/ASV, но не должно быть конфликта интересов - админам поручать сканирование их же систем нельзя ().

🔹 Непосредственно в документе устанавливаются срок устранения критичных уязвимостей - месяц (). Для других уровней исправлять "within an appropriate time frame" в соответствии с политиками организации.

🔹 Игнорировать некритичные уязвимости нельзя. Ко всем нужно регулярно обращаться и отслеживать изменение критичности ().

Начался приём заявок на ежегодную премию Pentest Award от Awillix

Начался приём заявок на ежегодную премию Pentest Award от Awillix

Начался приём заявок на ежегодную премию Pentest Award от Awillix. Подать заявку можно до 30 июня. Победителей наградят 1 августа. Помимо статуэток подарят технику Apple (ноут, смарфон, часы) , а также спец-призы от спонсоров BIZONE и CyberEd.

Жюри будут оценивать заявки по полноте описания и пруфам, сложности эксплуатации, использованию нестандартных подходов, качеству рекомендаций по устранению уязвимостей и субъективному вау-эффекту. 🙂 Интересны необычные подходы, ресерчи и методики. Чувствительные данные можно не раскрывать.

Номинации:

🔻 Пробив web
🔻 Пробив инфраструктуры
🔻 Мобильный разлом: от устройства до сервера
🔻 Девайс
🔻 «**ck the logic»
🔻 «Раз bypass, два bypass»
🔻 «Ловись рыбка» (фишинг)
🔻 Out of Scope ("нестандартные offensive-находки и открытия")

🔹 Антиноминация: Осторожно грабли ("самые ценные неудачи и полезные уроки в сфере ИБ")

Как и в прошлом году, собираюсь отслеживать и подсвечивать интересное. 😏

Про R-Vision R-EVOlution Conference 2025

Про R-Vision R-EVOlution Conference 2025

Про R-Vision R-EVOlution Conference 2025. Впечатления очень приятные. 🙂 Хорошо пообщались и на сцене, и в кулуарах. На сцене много времени уделили качеству сканирования и контролю активов. 😇

Я выкладывал тезисы и фоточки с мероприятия в лайв-канале. Основные моменты:

🔹 Перевод решений R-Vision на новую единую платформу EVO. Уже перевели VM и SIEM.

🔹 Заход в IT-сегмент - анонс решений CMDB, ITSM, ITAM, DGP. 👍 ИБ-процессы (включая VM) должны начинаться с наведения порядка в инфраструктуре. Иначе толку будет мало.

🔹 Новые фичи VM-а: сканирование в режиме комплаенс, новые агенты, поиск по базе детектируемых уязвимостей из интерфейса 🔥, плейбуки для автоматизации. В роадмапе на 2025 web-сканы, сканирование контейнеров, гипервизоров, расширение покрытия сетевых устройств, детекты без перескана.

Из минусов: в этот раз техническим командам R-Vision не дали слово в основной программе. 🤷‍♂️ В прошлом году мне очень нравилась эта фишечка. А так всё круто. 👍🙂

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск В тренде VM: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat. По видяшкам берём паузу, пока только текстом. 🤷‍♂️🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 11 трендовых уязвимостей:

🔻 Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)
🔻 Четыре эксплуатируемые уязвимости Windows из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)
🔻 Три уязвимости VMware "ESXicape" (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
🔻 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔻 Remote Code Execution - Kubernetes (CVE-2025-1974)

В следующую пятницу в Алматы состоится AppSecFest 2025

В следующую пятницу в Алматы состоится AppSecFest 2025

В следующую пятницу в Алматы состоится AppSecFest 2025. Программа доступна на сайте. Я отобрал для себя доклады, связанные с Vulnerability Management-ом:

Трек Security

🔹 10:40 - Тайны пакетных менеджеров. И где здесь про безопасность?

🔹 14:00 - Анатомия проникновения: DevSecOps глазами атакующего

🔹 14:55 - Host: oops.domain.internal - чит-код на пропуск в инфраструктуру

🔹 16:10 - Твой забытый EC2-инстанс — моя точка входа

Трек Application

🔹 14:30 - Исправляли и не исправили: как мутируют баги

🔹 16:30 - 1С за всех, все на 1С

📺 Собираюсь смотреть в трансляции.

🎫 У меня есть 2 бесплатных билета на площадку от организаторов. Кому нужно, пишите в личку с указанием ФИО, названия организации, должности, почты и телефона. 😉