Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз достаточно компактная. 💽
🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT
Всего четыре уязвимости:
🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)
Горизонтальные связи у людей обычно развиты гораздо лучше иерархических. В подозрительной ситуации люди скорее спросят не начальника, и тем более не ИБ-шника, а своего равного коллегу.
В фишинговых атаках это приводит к своеобразному social lateral movement: когда попавшийся на фишинг пользователь не успокаивается и начинает пересылать зловредный файл или ссылку коллегам с комментарием а-ля: "у меня не открывается - попробуй у себя".
Коллеги из StopPhish поделились кейсом:
🎣 Учебный фишинг отправили девяти сотрудникам. Шаблон: "Коллеги, добрый день! С 1 октября повышаем зарплату, подпишите допсоглашение на портале по ссылке ниже". Трое открыли и… Начали пересылать коллегам, закинули ссылку в общий чат и т.д. Итого: 688 открытий, 140 уникальных пользователей, рост охвата в 16 раз и общая эффективность атаки 7644%. 🤦♂️
В понедельник у StopPhish будет вебинар, собираюсь заглянуть. Они у них обычно толковые и много бесплатных полезных материалов раздают. 😉
Около четырёх месяцев назад я поотключал реакции в своих каналах. Полёт нормальный. Каналы растут и развиваются и без этой функциональности. Безусловно, были сомнения: а может зря? Ведь каждый имеет право на самовыражение, пусть лепят, что хотят. 🤔
Но такие наглядные кейсы как сегодня в канале Евгения Баклушина, показывают, что решение правильное. 😉 Кто-то шутки ради накинул ему лайков в посте про новогодний розыгрыш. Причём больше, чем просмотров у поста, чего быть никак не может.
Если кто-то из авторов или читателей ещё верит, что реакции в публичных каналах отражают "глас народа", то это не так. Они элементарно крутятся в любую сторону. Что самое неприятное, это можно делать достаточно незаметно, постепенно газлайтя авторов и склоняя их к нужной позиции. Все ведь хотят лайков, никто не хочет дизлайков. 😵💫 Вот и пишут соответствующее. Даже если эти реакции им обеспечивают иностранные акторы за скромный бюджет. 😏
Telegram - вольница ботоводов, реакции - зло.
Выступал сегодня на ежегодной пресс-конференции Positive Technologies, получившей название "Анатомия цифровых бурь". Как и в прошлом году, я представлял статистику по трендовым уязвимостям.
🔹 Трендовых уязвимостей в этом году будет скорее всего чуть меньше, чем в прошлом. Но за 20 дней может ещё случиться много кейсов а-ля React2Shell. 🤷♂️ Окончательную статистику по трендовым я подобью уже под оливье. 🎄
🔹 Microsoft - надёжный поставщик трендовых уязвимостей. 😏 Пока доля трендовых уязвимостей от MS даже выше, чем в прошлом году.
🔹 В прошлом году не было трендовых уязвимостей в отечественных продуктах, а в этом есть. Это RCE уязвимости в CommuniGate Pro и TrueConf (массовая эксплуатация!). Предвидим, что доля трендовых уязвимостей в отечественных продуктах будет расти вслед за импортозамещением и повышением интереса со стороны исследователей и злоумышленников.
И что с этим делать? Развивать Vulnerability / Exposure Management. 😉
Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки? Продолжаю подсвечивать понравившиеся фичи. На скриншотах примеры отображения путей атаки (маршрутов) в Carbon: видны активы и шаги злоумышленника.
🔹 Первый пример - получение доступа к критичному проекту на внутреннем GitLab. Сначала эксплуатируется уязвимость обхода аутентификации в Confluence (CVE-2023-22515) на периметре. Она позволяет получить админа в Confluence, загрузить плагин и получить RCE на сервере. Далее атака на внутренний Exchange с RCE уязвимостью ProxyNotShell (CVE-2022-41082). Затем идёт компрометация домена с помощью системной учётки.
🔹 Все эксплуатируемые проблемы, включая CVE-шки, собираются в Рекомендации.
🔹 Также добавил пример маршрута без эксплуатации CVE-шек (только начальный фишинг и мисконфигурации - экспозиции 😉) для кражи отчёта.
Подробнее на вебинаре 16 декабря и в статье на Anti-Malware. 🙂
Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки PhantomCore. Приводятся списки инструментов, используемых в атаках, файловые пути и IoC-и. В конце октября об эксплуатации этих уязвимостей также сообщали специалисты RED Security и СICADA8.
⚙️ Цепочка уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым. Обновления безопасности, устраняющие уязвимости, вышли 27 августа 2025 года.
🟥 Уязвимости в списке трендовых Positive Technologies с 28 августа 2025 года. Мы их подсвечивали в сентябрьском дайджесте трендовых уязвимостей.
Те, кто среагировали, обнаружили и устранили уязвимости в августе-сентябре, молодцы. 👍 А те, кто проигнорировали предупреждения и пострадали, надеюсь, извлекут из этого урок. 🙏
Что нового в MaxPatrol Carbon 25.7.4? Пообщался с коллегами перед предстоящим вебинаром 16 декабря. В этом посте - про отображение состояния инфраструктуры, а в следующем - непосредственно про пути атаки (маршруты).
🔹 Начали оценивать готовность инфраструктуры к моделированию кибератак (топология, пользователи и привилегии, граф возможностей). Для "отличной" оценки топологии в ней должно быть более 80% всех активов + выполняться доп. условия. При клике по остальным показателям, например по "Теневым активам", открываются результаты выполнения соответствующего PDQL-запроса в MaxPatrol VM.
🔹 Добавили виджет с воронкой от всех экземпляров трендовых уязвимостей в инфре до трендовых уязвимостей с эксплоитами и просчитанными маршрутами для реализации заданных недопустимых событий.
🔹 Критичность маршрутов теперь выделяется цветом (чем краснее - тем критичнее).
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.