Архив за месяц: Октябрь 2025

Октябрьский Microsoft Patch Tuesday

Октябрьский Microsoft Patch Tuesday. Всего 213 уязвимостей, в два раза больше, чем в сентябре. Из них 41 уязвимость была добавлена между сентябрьским и октябрьским MSPT. Есть четыре уязвимости с признаком эксплуатации вживую:

🔻 SFB - IGEL OS (CVE-2025-47827) - есть публичный эксплойт
🔻 EoP - Windows Agere Modem Driver (CVE-2025-24990)
🔻 EoP - Windows Remote Access Connection Manager (CVE-2025-59230)
🔻 MemCor - Chromium (CVE-2025-10585)

Ещё одна уязвимость с публичным PoC эксплоитом:

🔸 RCE - Unity Runtime (CVE-2025-59489)

Из остальных уязвимостей без публичных эксплоитов и признаков эксплуатации можно выделить:

🔹 RCE - WSUS (CVE-2025-59287), Microsoft Office (CVE-2025-59227, CVE-2025-59234)
🔹 EoP - Windows Agere Modem Driver (CVE-2025-24052), Windows Cloud Files Mini Filter Driver (CVE-2025-55680)

🗒 Полный отчёт Vulristics

Общие сведения о базе уязвимостей R-Vision VM

Добавить комментарий

Общие сведения о базе уязвимостей R-Vision VM. Выпишу некоторые моменты по итогам сегодняшнего вебинара.

🎯 При формировании своей базы уязвимостей R-Vision делали упор на качестве (актуальности данных и корректности логики детектирования), независимости от единственного источника (к которому могут закрыть доступ), максимизации охвата ИТ-инфраструктуры заказчиков и быстроте добавления новых источников.

🧠 Смотрели разные варианты и форматы описания правил детектирования, включая CSAF CVRF. В результате приняли решение пилить самим в OVAL-like формате (в JSON с упрощёнными проверками, +- похоже на мои задумки с SOVA). При этом они могут быстро добавлять источники в формате OVAL - срок от 7 дней. Говорят, что прямо в ходе пилота добавляли правила детектирования уязвимостей ОС. Но вообще для формирования правил детектирования и обогащения базы могут принимать и конвертировать любые фиды.

✅ Compliance-проверки они пишут не в своём OVAL-like формате, а на YAML с VRL-логикой.

Поглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентября

Добавить комментарий

Поглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентября.

Выделил для себя:

⚖️ Поддержали обновлённую методику ФСТЭК по оценке критичности.

🃏 Существенно расширили данные в карточке уязвимостей. Добавили ссылки на бюллетени НКЦКИ, проверенные обновления ФСТЭК (Windows KB), CISA KEV, EPSS, поддержали CVSS 4.0.

🛃 Расширили аудит сетевых устройств (Cisco, Huawei, Juniper, Check Point, Fortinet и др.) по протоколам SSH и SNMP. Доработали сбор информации о ПО на устаревших системах (CentOS 6, Windows Server 2008R2 и 2012R2 и др.). Улучшили BlackBox сканирование, выделили отдельный режим Bruteforce (RDP, Radmin, NetBIOS, Sybase, PostgreSQL). Добавили возможность ставить скан на паузу или останавливать его.

📊 Улучшили работу с исключениями уязвимостей/продуктов для одного хоста или группы. Добавили диффотчёты.

И это список доработок всего за 3-4 месяца! Быстро пилят. 👍 Но нужно тестить. 😉

Как оценивать, насколько хорошо вендоры ОС описывают уязвимости, найденные/исправленные в ОС?

Добавить комментарий

Как оценивать, насколько хорошо вендоры ОС описывают уязвимости, найденные/исправленные в ОС?

При составлении рейтинга предлагаю давать по одному баллу за следующее:

1. Вендор ОС в принципе сообщает клиентам информацию об обнаруженных и исправленных уязвимостях (хотя бы о наиболее критичных).

2. Вендор ОС выкладывает на сайте бюллетени безопасности. То есть на сайте вендора есть публичный раздел, где описывается, что такие-то версии таких-то пакетов исправляют такие-то CVE/BDU-уязвимости.

3. Вендор ОС выкладывает на сайте информацию об уязвимостях в машиночитаемом формате (например, OVAL), достаточную для автоматического детектирования уязвимостей.

4. Вендор ОС предоставляет информацию об уязвимостях в машиночитаемом формате без лицензионных ограничений на использование. Для некоторых отечественных ОС OVAL-контент доступен, например, в решении ScanOVAL, но использовать его в других решениях нельзя именно в силу лицензионных ограничений.

Октябрьский "В тренде VM": уязвимости в Cisco ASA/FTD и sudo

Добавить комментарий

Октябрьский "В тренде VM": уязвимости в Cisco ASA/FTD и sudo. Традиционная ежемесячная подборка. В этот раз снова без уязвимостей Microsoft. 😲

🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT

Всего три идентификатора:

🔻 Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362). Эта цепочка уязвимостей эксплуатируется в атаках с мая 2025 года, но публичных эксплоитов пока нет.
🔻 Elevation of Privilege - Sudo (CVE-2025-32463). Есть признаки эксплуатации вживую, доступно множество публичных эксплоитов.

Сходили сегодня в театр на детский спектакль "Кентервильское привидение"

Добавить комментарий

Сходили сегодня в театр на детский спектакль "Кентервильское привидение". Если помните, по новелле Оскара Уайльда или советскому мультфильму, там сюжет строится на том, что американская семья приобретает замок с привидением и успешно его курощает.

Я смотрел и размышлял, что ITшник, который под различными предлогами отказывается устранять уязвимости во вверенной ему инфраструктуре, напоминает такое привидение, которое гремит цепями, зловеще завывает и рисует на полу "несмываемые" кровавые пятна. То есть уверяет всех, что обновить системы невозможно, что это приведёт к катастрофическим последствиям и что единственный вариант - оставить всё как есть. А VMщикам убираться подальше. 😉

И бороться с этим следует методами тех американцев. Не вестись: удалять пятна пятновыводителем, смазывать цепи, давать микстуру от завываний, а на запугивания запугивать в ответ. 😈

А в конце можно и помочь демотивированному привидению, когда оно будет готово принять помощь.

Появилась идея начать составлять рейтинг российских операционных систем, отражающий то, насколько хорошо для них описываются известные уязвимости

Добавить комментарий

Появилась идея начать составлять рейтинг российских операционных систем, отражающий то, насколько хорошо для них описываются известные уязвимости.

Хотелось бы сделать наличие бюллетеней безопасности абсолютной нормой для вендоров отечественных ОС. Которых сейчас в реестре Минцифры только по классу 02.09 находится 55. 🫣

Если мы, как комьюнити, начнём это отслеживать, то, с одной стороны, сможем подсветить вендоров ОС, которые ответственно подходят к устранению уязвимостей, информируют пользователей об устранённых уязвимостях и предоставляют необходимую информацию вендорам средств анализа защищённости для разработки правил детектирования. 👍 А с другой стороны, можно будет простимулировать вендоров, у которых в этом отношении всё не очень хорошо. 📣

Возможно, удастся привлечь внимание регуляторов к тому, что для некоторых отечественных ОС нет бюллетеней безопасности, как, зачастую, и обновлений вообще. 🤷‍♂️ И что таким продуктам не место в реестрах. 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Архив за месяц: Октябрь 2025

Октябрьский Microsoft Patch Tuesday

Общие сведения о базе уязвимостей R-Vision VM

Поглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентября

Как оценивать, насколько хорошо вендоры ОС описывают уязвимости, найденные/исправленные в ОС?

Октябрьский "В тренде VM": уязвимости в Cisco ASA/FTD и sudo

Сходили сегодня в театр на детский спектакль "Кентервильское привидение"

Появилась идея начать составлять рейтинг российских операционных систем, отражающий то, насколько хорошо для них описываются известные уязвимости