Архив за месяц: Ноябрь 2025

Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей

Добавить комментарий

Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей

Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей. Нам обычно рассказывают, как международное комьюнити экспертов должно совместно работать над раскрытием уязвимостей в продуктах американских вендоров. Часто "за спасибо" и ради общего блага! 🕊😇

Но как дело касается утечки эксплоитов 0day-ев, используемых США в кибератаках, риторика меняется:

"Национальная безопасность Америки НЕ ПРОДАЕТСЯ, особенно в условиях постоянно меняющейся угрозы, когда киберпреступность представляет серьезную опасность для наших граждан"

"ФБР и наши партнеры будут защищать Родину и привлекать к ответственности каждого, кто помогает нашим противникам ставить под угрозу национальную безопасность США"

Что ж вы свои 0day-и не раскрываете, лицемеры? 😏

Уязвимости - это действительно вопрос национальной безопасности, поэтому утечки 0day-ев из России за рубеж необходимо перекрыть, создав систему централизованного репортинга. 🚰❌

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период

Добавить комментарий

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период. Прошлый раз я такое проделывал в середине августа. 😉

Трендовые и у R-Vision, и у Positive Technologies:

RCE - Cisco ASA (CVE-2025-20333)
AuthBypass - Cisco ASA (CVE-2025-20362)
RCE - WinRAR (CVE-2025-8088)

Трендовые только у R-Vision:

🔹 RCE - Cisco IOS XE (CVE-2025-20352, CVE-2025-20363)
🔹 RCE - NetScaler ADC (CVE-2025-7775)
🔹 RCE - Wing FTP Server (CVE-2025-47812)
🔹 MemCor - Chromium (CVE-2025-10585)
🔹 CodeInj - PostgreSQL (CVE-2025-8714)

Трендовые только у Positive Technologies*:

🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10114, BDU:2025-10115)
🔻 RCE - SAP NetWeaver (CVE-2025-42999, CVE-2025-31324)
🔻 RCE - 7-Zip (CVE-2025-55188)
🔻 EoP - Sudo (CVE-2025-32463)

* добавленные в трендовые между 5 августа и 7 октября

🗒 Полный отчёт Vulristics

Интересный сюжет о разработке кибероружия в США подкинул U.S

Добавить комментарий

Интересный сюжет о разработке кибероружия в США подкинул U.S

Интересный сюжет о разработке кибероружия в США подкинул U.S. Department of Justice. 29 октября они опубликовали на своём сайте новость о судебном процессе. В ней фактически признаётся, что США занимаются целенаправленной разработкой кибероружия, т.е. средств эксплуатации 0day-уязвимостей. Вендорам уязвимых продуктов они об этом, естественно, ничего не сообщают. 😏

В создании таких средств участвуют компании "оборонные подрядчики" ("U.S. defense contractors"). Одна из таких компаний (Wired пишет, что это Trenchant) разрабатывала ПО, связанное с нацбезопасностью и "как минимум восемь чувствительных и защищённых компонентов кибер-эксплойтов". Хотя это ПО предназначалось только для правительства США и союзников, ТОП-менеджер этой компании продал его за $1.3 млн некоторому иностранному брокеру. 🤷‍♂️ Ущерб компании оценивается в $35 млн. Менеджер признал себя виновным в суде, ему грозит до 20 лет тюрьмы и штраф от $250 000 до 2x ущерба.

Такой вот кипеш из-за "простых уязвимостей". 😉