Архив за месяц: Декабрь 2025

Актуализирую отчёт и презентацию по трендовым уязвимостям 2025 года: "потенциальных" уязвимостей больше нет

Добавить комментарий

Актуализирую отчёт и презентацию по трендовым уязвимостям 2025 года: потенциальных уязвимостей больше нет

Актуализирую отчёт и презентацию по трендовым уязвимостям 2025 года: "потенциальных" уязвимостей больше нет. 😎

🔹 Сейчас у нас 65 трендовых уязвимостей: для 52 из них есть признаки эксплуатации вживую, а для 13 признаков эксплуатации пока нет, но есть публичные эксплоиты.

🔹 "Потенциальные уязвимости", без признаков эксплуатации и без публичных эксплоитов, раньше были, но к концу года все они свой потенциал раскрыли и перешли в одну из двух первых категорий.

Это подтверждает, что трендовые уязвимости Positive Technologies отбираются тщательно и корректно. 😉 Действительно выделяем самые опасные, даже если в момент отнесения к трендовым это может быть не так очевидно (как в случае с TrueConf).

Разумеется, до конца года ещё 11 дней, процесс анализа и отбора трендовых уязвимостей никогда не останавливается и, вполне вероятно, эти цифры могут ещё измениться.

🗒 Отчёт Vulristics со всеми уязвимостями

🟥 Портал трендовых уязвимостей

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников

Добавить комментарий

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников.

🔹 15 декабря Microsoft сообщили об обнаружении нескольких сотен скомпрометированных хостов в самых разных организациях. Упоминают подключения к серверам Cobalt Strike, использование bind mounts, RMM MeshAgent, RAT VShell и EtherRAT, загрузчиков ВПО SNOWLIGHT и ShadowPAD, криптомайнера XMRig, средств извлечения секретов TruffleHog и Gitleaks.

🔹 16 декабря исследователи S-RM сообщили об атаке с эксплуатацией React2Shell для доступа к корпоративной сети и развёртывании шифровальщика Weaxor.

🔹 17 декабря CyberScoop со ссылкой на Palo Alto сообщили о более 60 скомпрометированных организаций. Помимо утилит из поста Microsoft, Palo Alto упоминают использование бэкдоров KSwapDoor и Auto-color, а также Noodle RAT.

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT

Добавить комментарий

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT. В основном постэксплуатация сводится к майнингу.

Случай 1. Эксплуатация уязвимости и последовательная инсталляция:

🔹 ботнета RustoBot с DDoS-функциями и майнером XMRig
🔹 ботнета Kaiji Ares
🔹 импланта Sliver

Случай 2. После эксплуатации уязвимости в контейнере скомпрометированного хоста устанавливали майнер XMRig и скрипты для повышения эффективности его работы.

Случай 3. Аналогичен случаю 2, но без доп. скриптов.

Также пишут об атаках с эксплуатацией React2Shell, направленных на другие страны, с использованием импланта CrossC2 для Cobalt Strike, средства удалённого администрирования Tactical RMM, загрузчика и бэкдора VShell, а также трояна удалённого доступа EtherRAT.

Про уязвимость Remote Code Execution - React Server Components "React2Shell" (CVE-2025-55182)

Добавить комментарий

Про уязвимость Remote Code Execution - React Server Components React2Shell (CVE-2025-55182)

Про уязвимость Remote Code Execution - React Server Components "React2Shell" (CVE-2025-55182). React - популярный опенсурсный JavaScript-фреймворк; для ускорения приложений он позволяет выполнять часть логики на сервере через React Server Components (RSC). Используя уязвимость десериализации недоверенных данных в RSC, удалённый неаутентифицированный злоумышленник может добиться выполнения кода на сервере с помощью специально сформированного HTTP-запроса.

⚙️ Исправления React были выпущены 3 декабря. Уязвимы и другие фреймворки, включающие React, например Next.js, React Router, Expo, Redwood SDK, Waku и другие.

🛠 Публичные эксплоиты доступны с 3 декабря. К 19 декабря на GitHub 250+ проектов эксплоитов и сканеров. 😮

👾 Атаки массовые, фиксируются с 5 декабря. Уязвимость в CISA KEV с 9 декабря.

🌐 Shadowserver детектирует в Интернет более 100 000 уязвимых хостов. Оценка для Рунета от CyberOK - более 40 000 хостов (потенциально), от BIZONE 10 000 - 25 000 хостов. 🤔

Декабрьский Linux Patch Wednesday

Добавить комментарий

Декабрьский Linux Patch Wednesday

Декабрьский Linux Patch Wednesday. В декабре Linux вендоры начали устранять 650 уязвимостей, примерно как и в ноябре. Из них 399 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет.

Для 29 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - JupyterLab Extension Template (CVE-2024-39700), fontTools (CVE-2025-66034), Cacti (CVE-2025-66399), CUPS (CVE-2025-64524)
🔸 XXE - Apache Tika (CVE-2025-66516)
🔸 SQLi - phpPgAdmin (CVE-2025-60797, CVE-2025-60798)
🔸 AuthBypass - cpp-httplib (CVE-2025-66570)
🔸 OpenRedirect - Chromium (CVE-2024-13983)

🗒 Полный отчёт Vulristics

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам

Добавить комментарий

Если выделить основную юридическую уязвимость в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам. При этом есть случаи, когда покупатели лично общались с продавцами и их родственниками, заверяли сделку у нотариуса и получали справку психиатра, что продавец адекватен. А в итоге классическое "ой, мошенники меня обманули", теряли и квартиру, и деньги.

То, что справка от психиатра фактически не работает сейчас - это большая проблема. Получается, что человек может быть неадекватным на 30 минут заключения любой сделки, а затем отменить её. И никакой защиты от этого нет. 🤷‍♂️

На такую критическую "юридическую уязвимость", требуется (по выражению Ивана Шубина) свой "юридический патч". Т.е. чёткая позиция государства по этому вопросу и принимаемый в судах механизм подтверждения адекватности в момент совершения сделки.

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

Добавить комментарий

Slop стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster. Первоначальное значение этого слова "мягкая грязь", но теперь им обозначают "цифровой контент низкого качества, который обычно производится в большом количестве с помощью искусственного интеллекта".

Пару недель назад Daniel Stenberg, основатель опенсурсного проекта curl, поделился статистикой по багрепортам на HackerOne. Из статистики видно, что количество подтверждённых уязвимостей падает, а общее количество репортов год от года растёт, в том числе из-за стремительного роста генерённого AI Slop-а.

Daniel Stenberg видит проблему в попытках багхантеров использовать неподходящие AI-инструменты:

"AI-чат-боты всегда отвечают, никогда не говорят «нет» и отчаянно стремятся угодить. Им задают вопрос - и они выдают ответ. Очень часто они его просто выдумывают. Они лгут. Люди, которые так ими пользуются, не умеют выявлять и отделять ложь от правды и, по сути, даже не пытаются этого делать."