Архив за месяц: Декабрь 2025

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182)

Добавить комментарий

По поводу Remote Code Execution уязвимости в React Server Components React2Shell (CVE-2025-55182)

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182). Уязвимость критичная, CVSS 10. Потенциальный импакт очень большой, т.к. это React - один из самых популярных JavaScript-фреймворков, на котором буквально половина Интернета написана.

По поводу реальной эксплуатабельности… Одни исследователи сейчас хайпятся, что есть работающий эксплойт, какие-то сообщения об атаках и вот-вот случится апокалипсис. 😱 Другие - на том, что это всё ерунда и в реальности это эксплуатироваться не будет. 😏 Истина где-то между. 🙂

Имхо, хороший VM-щик/AppSec должен дойти сегодня до разрабов-фронтендеров, проверить используются ли уязвимые компоненты React и Node.js, завести заявки на обновление с высоким приоритетом. И спокойно наблюдать за кипешом. 🌝

Следует ждать обновлений и для других уязвимых фреймворков, включающих React, например React Router, Expo, Redwood SDK, Waku и др.

На Код ИБ Итоги в 12:00 коснёмся этой темы. 🙂

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Добавить комментарий

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PROВышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PROВышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PROВышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PROВышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PROВышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PROВышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO. 🔥 Функционально это классический сканер уязвимостей, который позволяет заводить и запускать сканы в black box и white box (включая Docker) режимах. Дальше по этим задачам можно выпускать отчёты.

📄 Продукт выпускают на замену XSpider 7.8, у которого в этом году закончился сертификат ФСТЭК. Сертификат ФСТЭК на XSpider PRO планируют получить до конца года.

✂️ Архитектурно XSpider PRO представляет собой урезанную версию MaxPatrol VM. Сканирующий движок там такой же. С поправкой на то, что MaxPatrol VM ещё агентно сканировать может через EDR, а здесь исключительно безагентное сканирование.

💳 Лицензируется по узлам и функциональности (можно купить лицензию только на black box). Но есть ограничение: максимальное количество сканируемых узлов для решения - 500 ❗️ Это решение для небольших компаний. Если нужно больше, смотрите в сторону MaxPatrol VM. 😉

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Добавить комментарий

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года. Я выделял не самые критичные уязвимости (все они самые критичные!), а скорее самые интересные и разнообразные. И это, безусловно, субъективная оценка.

Материал забрали в середине лета, поэтому были все шансы, что до конца года появится что-то интересное. Так и получилось. 😅 Сейчас на первое место я бы поставил:

🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704, CVE-2025-53770). С этой уязвимостью были связаны самые громкие атаки. 😉

Уязвимости из статьи:

🔻 RCE - CommuniGate Pro (BDU:2025-01331)
🔻 RCE & AFR - Apache HTTP Server (CVE-2024-38475)
🔻 RCE - Erlang/OTP (CVE-2025-32433)
🔻 RCE - Internet Shortcut Files (CVE-2025-33053)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)

Американский аналитик уязвимостей Jerry Gamblin подсветил интересную аномалию: несмотря на общую многолетнюю тенденцию к ускорению прироста количества CVE идентификаторов, в ноябре 2025 года их было опубликовано рекордно мало!

Добавить комментарий

Американский аналитик уязвимостей Jerry Gamblin подсветил интересную аномалию: несмотря на общую многолетнюю тенденцию к ускорению прироста количества CVE идентификаторов, в ноябре 2025 года их было опубликовано рекордно мало!

Американский аналитик уязвимостей Jerry Gamblin подсветил интересную аномалию: несмотря на общую многолетнюю тенденцию к ускорению прироста количества CVE идентификаторов, в ноябре 2025 года их было опубликовано рекордно мало!

Мы упали с 4 086 публикаций в ноябре 2024 года до 2 900 в ноябре 2025 года. Это колоссальное снижение на 1 186 CVE (-29% год к году)!

Откуда взялось это падение? Почти 800 из этих «пропавших» CVE пришлись всего на три источника, которые замедлились по сравнению с прошлым годом:
1️⃣ Patchstack: - 444 CVE (падение примерно на 67%)
2️⃣ MITRE: - 175 CVE
3️⃣ Linux Kernel: - 174 CVE

Эти данные отлично демонстрируют, что "Global CVE Counts" часто определяется административными процессами всего в нескольких ключевых игроках (CNA).

Что явилось причиной такого замедления пока непонятно. Возможно в этом году какой-то особенный Thanksgiving. 🙂🦃 Также в кулуарах упоминают "retooling" в компании Patchstack.

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Добавить комментарий

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России.

🔹 В 13:02 в канале вышло загадочное сообщение о взломе аккаунта (на иллюстрации). Похожие сообщения частенько размещают злоумышленники, которым удалось полностью скомпрометировать инфраструктуру организации.

🔹 Через 4 минуты, в 13:06, вышло второе сообщение, из которого стало ясно, что это подводка к awareness-комиксу Positive Technologies. По сюжету злобное привидение пытается проэксплуатировать уязвимость MyQ Print Server, вероятнее всего RCE без аутентификации CVE-2024-28059. Но у него ничего не получилось, так как уязвимость уже была выявлена с помощью MaxPatrol VM и устранена. 🙂

Вот такое эффектное широковещательное сообщение о пользе Vulnerability Management-а. PR-щикам Минэкономразвития респект за смелость! 🔥

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703)

Добавить комментарий

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703)

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703). Control Web Panel (CWP) - это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).

💡 Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod. 🤷‍♂️ Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP. 😏

⚙️ Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.

🛠 Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.

👾 4 ноября уязвимость добавили в CISA KEV.

🌐 Shodan видит в Интернете около 220 000 инсталляций CWP.