Архив за месяц: Ноябрь 2025

Насколько актуально VM-вендорам ввести списки трендовых уязвимостей?

Добавить комментарий

Насколько актуально VM-вендорам ввести списки трендовых уязвимостей?

Насколько актуально VM-вендорам ввести списки трендовых уязвимостей? Как по мне, более чем. Это полезно и для клиентов, и для самих VM-вендоров.

🔹 Самое очевидное - сообщения о трендовых уязвимостях помогают клиентам приоритизированно устранять наиболее критичные и эксплуатабельные уязвимости.

🔹 Публикация таких сообщений показывает адекватность VM-вендора. Что в компании есть люди, которые отслеживают "VM-ное инфополе" и понимают, через какие уязвимости злоумышленники ломают компании и как именно. Если потребуется, они могут инициировать создание недостающих правил детектирования.

🔹 Наконец, это даёт PR/маркетингу VM-вендора актуальный контент, полезный для потенциальных клиентов. 😉

Но если VM-вендор не хочет ретранслировать чужие новости и обновления CISA KEV, необходимо выстраивать независимый процесс непрерывной переоценки уязвимостей: "достаточно ли текущих данных для отнесения конкретной уязвимости к трендовым"? 🤔 Здесь широкое поле для работы экспертов и AI-инструментов.

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491). Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.

🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷‍♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.

👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.

🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.

"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм

Добавить комментарий

Вовка в Тридевятом царстве - это самый VM-ный советский мультфильм

"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм. Подумалось мне после вчерашней экскурсии. 🙂

Сюжет матчится идеально:

👑 CEO Царёв (выходец из технарей) не согласен с молодым VM-щиком Вовкой, что устранять уязвимости должны только IT-шники и грозится уволить его как тунеядца.

🐡 CTO Рыбкин игнорирует эскалацию проблем по устранению уязвимостей от VM-щика, который "палец о палец не ударил, а туда же, задачи заводит".

🧝‍♀️ Премудрые эксперты-Василисы преподают оторванный от реальности курс по VM-у.

🤤 Команда "одинаковых с лица" IT-шников, выделенная для решения задач патчинга, включает дурака и саботирует VM-процесс.

🥧🔥 Лютый фейл при попытке устранить уязвимости в OT-инфраструктуре PECHKA своими силами.

📃 Определённые успехи у Вовки пошли только после изменения майндсета, изучения нормативки, формализации общения и VM-процесса. 😉

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893)

Добавить комментарий

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893). XWiki - бесплатная и открытая вики-платформа, написанная на Java, с особым акцентом на расширяемость. В ней можно делать визуальное редактирование (WYSIWYG), импорт и экспорт документов в формате OpenDocument, добавлять аннотации и теги, а также гибко управлять правами доступа. Уязвимость позволяет злоумышленнику с правами guest-пользователя добиться выполнения произвольного кода на сервере, отправив специальный SolrSearch-запрос.

⚙️Уязвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.

🛠 POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.

👾 28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.

Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей

Добавить комментарий

Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей

Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей. Нам обычно рассказывают, как международное комьюнити экспертов должно совместно работать над раскрытием уязвимостей в продуктах американских вендоров. Часто "за спасибо" и ради общего блага! 🕊😇

Но как дело касается утечки эксплоитов 0day-ев, используемых США в кибератаках, риторика меняется:

"Национальная безопасность Америки НЕ ПРОДАЕТСЯ, особенно в условиях постоянно меняющейся угрозы, когда киберпреступность представляет серьезную опасность для наших граждан"

"ФБР и наши партнеры будут защищать Родину и привлекать к ответственности каждого, кто помогает нашим противникам ставить под угрозу национальную безопасность США"

Что ж вы свои 0day-и не раскрываете, лицемеры? 😏

Уязвимости - это действительно вопрос национальной безопасности, поэтому утечки 0day-ев из России за рубеж необходимо перекрыть, создав систему централизованного репортинга. 🚰❌

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период

Добавить комментарий

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период. Прошлый раз я такое проделывал в середине августа. 😉

Трендовые и у R-Vision, и у Positive Technologies:

RCE - Cisco ASA (CVE-2025-20333)
AuthBypass - Cisco ASA (CVE-2025-20362)
RCE - WinRAR (CVE-2025-8088)

Трендовые только у R-Vision:

🔹 RCE - Cisco IOS XE (CVE-2025-20352, CVE-2025-20363)
🔹 RCE - NetScaler ADC (CVE-2025-7775)
🔹 RCE - Wing FTP Server (CVE-2025-47812)
🔹 MemCor - Chromium (CVE-2025-10585)
🔹 CodeInj - PostgreSQL (CVE-2025-8714)

Трендовые только у Positive Technologies*:

🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10114, BDU:2025-10115)
🔻 RCE - SAP NetWeaver (CVE-2025-42999, CVE-2025-31324)
🔻 RCE - 7-Zip (CVE-2025-55188)
🔻 EoP - Sudo (CVE-2025-32463)

* добавленные в трендовые между 5 августа и 7 октября

🗒 Полный отчёт Vulristics

Интересный сюжет о разработке кибероружия в США подкинул U.S

Добавить комментарий

Интересный сюжет о разработке кибероружия в США подкинул U.S

Интересный сюжет о разработке кибероружия в США подкинул U.S. Department of Justice. 29 октября они опубликовали на своём сайте новость о судебном процессе. В ней фактически признаётся, что США занимаются целенаправленной разработкой кибероружия, т.е. средств эксплуатации 0day-уязвимостей. Вендорам уязвимых продуктов они об этом, естественно, ничего не сообщают. 😏

В создании таких средств участвуют компании "оборонные подрядчики" ("U.S. defense contractors"). Одна из таких компаний (Wired пишет, что это Trenchant) разрабатывала ПО, связанное с нацбезопасностью и "как минимум восемь чувствительных и защищённых компонентов кибер-эксплойтов". Хотя это ПО предназначалось только для правительства США и союзников, ТОП-менеджер этой компании продал его за $1.3 млн некоторому иностранному брокеру. 🤷‍♂️ Ущерб компании оценивается в $35 млн. Менеджер признал себя виновным в суде, ему грозит до 20 лет тюрьмы и штраф от $250 000 до 2x ущерба.

Такой вот кипеш из-за "простых уязвимостей". 😉