Закончу серию постов про итоги года коротким видео-поздравлением с Котусника Код ИБ, прошедшего на прошлой неделе. В нём я общаюсь с Ольгой Поздняк и Дмитрием Борощуком: рассказываю, каким для меня был 2025 год, чего жду от 2026 года, желаю российским компаниям беспроблемного устранения уязвимостей, подсвечиваю две самые интересные уязвимости 2025 года и рассказываю про свой телеграм-канал.
Всех ещё раз поздравляю с наступающим и перемещаюсь к праздничному столу. 😉🍽🎄🎁 До встречи в новом году!
Я тоже пошарю картинку с новогодней статистикой из TGStat. Она за 26 декабря, свежую они генерить отказываются. 🤷♂️🙂
Миллион просмотров - ничего себе! 😲 И постов тоже прилично набралось. В этом году я накидывал их достаточно регулярно и, в общем, доволен собой. 😇
К замедлению роста количества подписчиков отношусь спокойно. Аудитория, которой может быть интересна основная тема канала, ограничена, и по большей части она уже здесь. 🙂👋 А делать вид, что я во всех ИБ-шных вопросах эксперт, и заполнять канал AI-слопом - точно не мой путь. 😉
При всех плюсах Телеграма (удобные мобильные и десктопные приложения, форматирование текста, API для постинга, возможность экспорта постов) не стоит забывать о главном минусе - полном игнорировании ботоводства.
Поэтому лайки, подписчики и комментарии здесь весьма условны. 🤷♂️ На днях мне скинули предложение "4 руб. за подписчика". 🌚 Эдак за стоимость айфончика можно изобразить самый популярный ИБ-канал в России! 🙃 Но зачем?
Подвожу итоги 2025 года под наши традиционные новогодние печеньки. Это был ещё один замечательный год. Много чего делал VM-ного и получил результаты, которыми вполне удовлетворён. 😇 Где-то, конечно, фейлился. Но это абсолютно не фатально.
Канал подрос. Хоть и не кратно, как в прошлые годы, но всё-таки существенно. Статистику по каналу отдельно рассмотрим чуть позже. 🙂 Я рад, что в этом году не малодушничал, высказывал своё непопулярное мнение по острым вопросам как есть, несмотря на очевидные издержки. Постараюсь также гнуть свою линию и в следующем году. 😉 Спасибо всем, кто читает, распространяет и комментирует посты в лайв-канале и ВК!
Хвала Создателю за всё! Ничего конкретного на следующий год намеренно не загадываю. Никаких New Year's Resolutions не делаю. Пусть будет как будет. "Не как Я хочу, но как Ты" (Мф. 26:39).
Всем добра и счастья в Новом 2026 году!
Пришёл новогодний подарок от коллег из R-Vision. 🙂 Внутри, помимо поздравительной открытки:
🔹 Бутылка отечественного вина. Мы алкоголь не употребляем, но это не беда - передарим. 😉
🔹 Сертификат на шоу Luminar-x Elements. Вот это круто, на ВДНХ часто бываем, обязательно заценим. 👍
Спасибо большое, R-Vision! С наступающим! 🎄
Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇
Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.
Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:
"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."
Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.
Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847). MongoDB - это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым - к чувствительным данным (учёткам, ключам, данным клиентов и т.д.).
⚙️ "Критические обновления" были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.
🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплоита, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.
🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k в России.
🎄 Новогодний релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ) версии 3.0.0. 🎉 Категории с последнего обновления в прошлом году не менялись. А вот количество вендоров существенно увеличилось.
Основные изменения:
🔹 В СДУИ добавил Cicada 8, Сбер, UDV Group
🔹 В СДУСП добавил CyberOK, Security Vision, iTPROTECT, Нейроинформ
🔹 В СДУП добавил SolidPoint и Security Vision
🔹 В САУ добавил BI ZONE
🔹 В СИУ добавил Vulns io
🔹 Обновил логотипы RedCheck, R-Vision, Solar, Security Vision, F6 (ранее F.A.C.C.T), Cicada 8 (ранее МТС).
🔹 Обновил описания продуктов Positive Technologies (СДУИ), Security Vision (СДУИ, САУ и СИУ), Cicada 8 (СДУСП) + исправил мелкие ошибки
❗️Disclaimer: Это мой личный pet-project, начатый в 2023 году и никак не связанный с моим работодателем. По всем вопросам пишите, пожалуйста, в личку @leonov_av.
🖼 Картинки в непожатом виде доступны ниже.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.