Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Про уязвимость Remote Code Execution - Zyxel CPE Series (CVE-2024-40891, CVE-2025-0890)

Добавить комментарий

Про уязвимость Remote Code Execution - Zyxel CPE Series (CVE-2024-40891, CVE-2025-0890)

Про уязвимость Remote Code Execution - Zyxel CPE Series (CVE-2024-40891, CVE-2025-0890). Подробности по уязвимости появились в блоге компании VulnCheck 3 февраля. Их исследователи поковыряли старый роутер Zyxel VMG4325-B10A и нашли там захардкоженные привилегированные учётки. А также возможность подключаться с этими учётками к уязвимым устройствам через telnet и выполнять произвольные shell-команды. Wrapper, который должен блокировать выполнение произвольных команд обходится через "ping ;sh" или "tftp -h || sh".

VulnCheck указали набор из 12 Zyxel CPE роутеров. Zyxel 4 февраля подтвердили, что эти устройства уязвимы, но патчи для них выпускать не будут, т.к. они в EoL. Какие ещё устройства могут быть уязвимы не сообщили. 🤷‍♂️

Но не будут же эти устройства выставлять в Интернет голым telnet-ом?! А выставляют. 😅 Fofa и Censys видят ~1500 хостов.

👾 GreyNoise сообщили 28 января, что уязвимость уже эксплуатируют для установки зловредного ПО Mirai.

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)

Добавить комментарий

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Эти три уязвимости из январского Microsoft Patch Tuesday. У них одинаковое описание. Все они были найдены в компоненте, используемом для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard (MDAG).

Эксплуатация уязвимостей позволяет получить привилегии System. Microsoft отдельно отмечают, что речь идёт именно о локальном повышении привилегий на хостовой системе, а не о побеге из гостевой системы в хостовую.

👾 Есть признаки эксплуатации уязвимости в реальных атаках. Публичных эксплоитов пока нет.

Единственная разница в описании уязвимостей, в том, что CVE-2025-21333 вызвана Heap-based Buffer Overflow, а CVE-2025-21334 и CVE-2025-21335 - Use After Free.

Игровая профориентация и информационная безопасность

Добавить комментарий

Игровая профориентация и информационная безопасность

Игровая профориентация и информационная безопасность. У меня сегодня был выходной, праздновали 7 лет доченьке. 🥳 Почти весь день провели в Кидбурге. 🙂 Дочке там очень нравится.

Когда мы были в Кидбурге 2 года назад, я делился соображениями, что было бы классно увидеть там и активности на тему информационной безопасности… И вот с прошлого года они появились - от компании Security Vision. 😊 Причём не только павильон со стандартными получасовыми активностями (с поиском зловредных QR-кодов в городе), но и расширенные групповые программы, и программы на день рождения. Ещё и тематическое меню в кафе, и стикеры "защищено от киберугроз" на других павильонах, и логотипы SV на футболках у мастеров. В общем, крепко так запартнёрились. 👍 Большие молодцы!

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468). Уязвимость из октябрьского Microsoft Patch Tuesday 2024 года. Microsoft Configuration Manager (ConfigMgr) используется для управления большими группами компьютеров: удаленного контроля, патчинга, развертывания ОС, установки ПО, и т.д.

Согласно описанию Microsoft, уязвимость позволяла неаутентифицированному злоумышленнику выполнять команды на уровне сервера или БД через специальные запросы к Management Point.

Эксперты Synacktiv раскрыли подробности через 100 дней после октябрьского MSPT - 16 января. Проблема была в сервисе MP_Location, который небезопасно обрабатывал клиентские сообщения. Это позволило реализовывать SQL-инъекции и выполнять произвольные запросы к БД с максимальными правами. В том числе выполнять команды на сервере через xp_cmdshell. 🤷‍♂️

Публичные эксплоиты доступны на GitHub. Сообщений об эксплуатации вживую пока не было.

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Добавить комментарий

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги. Имею сказать следующее.

1. Никто не застрахован. Обвинять жертву неправильно. Системная проблема требует системного решения.

2. Такие кейсы бьют не только по кошельку жертвы, но и по имиджу компании, сотрудник которой стал жертвой. Компаниям нужно развивать awareness. Наряду с антифишинговыми рассылками привычными должны стать антивишинговые звонки.

3. "В любой непонятной ситуации информируй непосредственного руководителя и службу безопасности компании!" Это должно быть на подкорке, 24/7. Сначала проинформировать работодателя, получить одобрение и лишь потом что-то предпринимать.

4. Возраст человека и его высокое положение в корпоративной иерархии - факторы риска. Максимальное внимание и заботу нужно проявлять к тем, кто является наиболее интересной целью для злоумышленников.

5. Телефонная связь - главный инструмент мошенников. С особой осторожностью следует относиться к звонкам с незнакомых номеров.

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям

Добавить комментарий

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям. Записал выпуск специально для подписчиков Телеграм-канала @avleonovrus «Управление Уявзимостями и прочее». 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года

👾 08:10 Маскот канала 😅

24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025"

Добавить комментарий

24 февраля приму участие в конференции INFOSTART TEAMLEAD & CIO EVENT 2025

24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Кажется, впервые буду выступать на преимущественно неИБ-шном мероприятии. 🙂 Конференцию организует Инфостарт - компания, которая занимается автоматизацией на 1C и поддерживает сообщество 1С-специалистов, насчитывающее 1,5 млн участников. 🤯 Совершенно другой мир и другая аудитория. 🤩

Буду рассказывать про Базовую оценку состояния Управления Уязвимостями. В рамках подготовки доклада соберу все свои посты на тему БОСПУУ из канала в драфтовую версию руководства по БОСПУУ. 😉

Выступать буду в первый день конференции, 24 февраля, в 14:20. Площадка знакомая - ЦМТ. Конгресс-зал 2. 🙂

Upd 13.02. Поменялось время и зал!