Архив за месяц: Май 2025

Про уязвимость Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Добавить комментарий

Про уязвимость Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Про уязвимость Remote Code Execution - Erlang/OTP (CVE-2025-32433). Erlang - язык программирования для построения масштабируемых систем мягкого реального времени с требованиями высокой доступности. Используется в телекоммуникациях, банковской сфере, e-commerce, компьютерной телефонии и мессенджерах. OTP - набор Erlang-библиотек, предоставляющий middleware для разработки таких систем.

Уязвимость обработки сообщений в SSH-сервере Erlang/OTP позволяет неаутентифицированному злоумышленнику выполнить произвольный код. Код выполняется в контексте SSH-демона. Если демон запущен от root-а, это даёт полный контроль над устройством.

🔻 Бюллетень вендора вышел 16 апреля. Безопасные версии: OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.

🔻 Уже 17 апреля в блоге Platform Security появился write-up и PoC эксплоита (разработанный с использование AI).

🔻 Уязвимости подвержены устройства Cisco. И, наверняка, не только они. 😏

👾 Признаков эксплуатации вживую пока нет.

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824). Уязвимость из апрельского Microsoft Patch Tuesday. Уязвимость позволяет злоумышленнику, работающему под учетной записью обычного пользователя, повысить свои привилегии до уровня SYSTEM.

🔻 Согласно Microsoft, уязвимость использовалась в атаках на организации в США, Венесуэле, Испании и Саудовской Аравии. Эксплойт был встроен в малварь PipeMagic, используемую группировкой Storm-2460 для распространения шифровальщиков.

🔻 7 мая исследователи Symantec сообщили технические подробности по ещё одному эксплоиту для этой уязвимости от группировки Balloonfly (использующей шифровальщик Play). Эксплойт применялся до 8 апреля в атаке на организацию из США.

👾 А есть ли публичные эксплоиты? БДУ ФСТЭК считает, что да. NVD тоже приводит "ссылки на эксплоиты", но там скрипты для детекта и митигации. 🤷‍♂️ В сплоитпаках и на GitHub пока пусто.

С Днём Великой Победы!

Добавить комментарий

С Днём Великой Победы!

С Днём Великой Победы! Советский Союз заплатил чудовищную цену, чтобы Победа над объединённой людоедами Европой стала реальностью. Об этом никогда нельзя забывать. А те, кто сейчас обесценивает Нашу Победу - вражины. И отношение к ним должно быть соответствующим.

Нужно извлекать уроки из Великой Войны, работать над тем, чтобы нам больше никогда не пришлось приносить такие жертвы. Готовиться, работать по всем направлениям. Включая, безусловно, нашу специализацию - информационную безопасность.

Но главное - помнить, что бить ИХ реально. Что наши героические предки 80 лет назад "порвали на куски, размолотили в хлам" этих гадов, дошли до самого их логова.

Повторение войны такого масштаба было бы ужасным несчастьем. Но, к сожалению, с каждым годом это выглядит всё более реальным. Так что, возможно, в обозримом будущем повторять нам всё-таки придётся.

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Добавить комментарий

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054). Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.

Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…

✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. 🤔 Выясняется, что это ТА ЖЕ САМАЯ уязвимость. 🤪 CheckPoint сообщают: "Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054". Бардак. 🤷‍♂️ Так что по технике переадресую к прошлому посту.

👾 Начиная с 19 марта, Check Point отследили около 11 кампаний направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.

Дочитали с дочкой серию комиксов "Правила выживания в школе" Светланы Шмаковой

Добавить комментарий

Дочитали с дочкой серию комиксов Правила выживания в школе Светланы Шмаковой

Дочитали с дочкой серию комиксов "Правила выживания в школе" Светланы Шмаковой. Те, которые на русском вышли. Читали по ролям на ночь. Очень понравилось. 🤩🔥 Хорошая рисовка, интересные истории из жизни средней школы Беррибрук (канадской? американской? не уточняется 🙂), узнаваемые жизненные ситуации и конфликты (без жести). Герои справляются с ними вполне адекватно. Ну, может только родителей могли бы подключать поактивнее. 😉

Книги достаточно объёмные, 224-248 страниц. В оригинале эти 3 книги называются Awkward, Brave, Crush. Ещё 2 вышли, но не переведены: Diary, Enemies.

Автор переехала из России в Канаду в 16 лет. Какой-то специфической западной повесточки в комиксах не чувствуется. Может немного здорового феминизма. "Explicit language" местами присутствует. С другой стороны, а как ещё школьные хулиганы должны выражаться? Вроде самым коробящим было слово "задрот". 🙂 Имейте ввиду, возможно стоит предварительно самостоятельно пролистать.

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)

Добавить комментарий

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475). Ошибка экранирования в модуле mod_rewrite приводит к удалённому выполнению кода или чтению произвольных файлов. Для эксплуатации не требуется аутентификация.

🔻 Версия Apache HTTP Server 2.4.60 с исправлением этой уязвимости вышла 1 июля 2024 года. Уязвимость была обнаружена исследователем Orange Tsai из компании DEVCORE. 9 августа 2024 года он опубликовал write-up и слайды с BH2024. С 18 августа 2024 года PoC эксплоита доступен на Github.

🔻29 апреля 2025 года стало известно, что уязвимость CVE-2024-38475 активно эксплуатируется для компрометации шлюзов безопасного доступа SonicWall SMA. WatchTowr Labs расписали в своём блоге, как уязвимость позволяет читать файл базы SQLite с активными сессиями. 1 мая уязвимость добавили в CISA KEV.

Естественно, эта уязвимость может "всплыть" далеко не только в решениях SonicWall. 😏

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education

Добавить комментарий

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education. Курс рассчитан на ИБ-специалистов (SOC/CERT/CSIRT) и сетевых администраторов. В подготовке курса участвовали мои коллеги из PT ESC-а и отдела экспертизы PT NAD.

Нагрузка 5-7 часов в неделю: видеолекции с теорией, практика на облачном стенде, онлайн-созвоны с экспертами.

Обещают научить:

🔹 ключевым подходам и инструментам для анализа трафика
🔹 расследованию инцидентов на основе трафика

Для прохождения курса желательно иметь опыт работы с Wireshark и понимать архитектуру Microsoft Active Directory. 😉

⏰ Поток стартует 26 мая, курс продлится 6 недель
➡️ Регистрация и информация по стоимости на сайте

Мне тоже хотелось бы пройти, попробую вписаться. 😇