Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Июльский Linux Patch Wednesday

Добавить комментарий

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday. В этот раз 470 уязвимостей, чуть меньше, чем в июне. Из них 291 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 SFB - Chromium (CVE-2025-6554)

Ещё для 36 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:

🔸 RCE - Redis (CVE-2025-32023), pgAdmin (CVE-2024-3116), Git (CVE-2025-48384)
🔸 EoP - Sudo (CVE-2025-32462, CVE-2025-32463)
🔸 PathTrav - Tar (CVE-2025-45582)
🔸 XSS - jQuery (CVE-2012-6708)
🔸 SFB - PHP (CVE-2025-1220)
🔸 DoS - LuaJIT (CVE-2024-25177), Linux Kernel (CVE-2025-38089)
🔸 MemCor - DjVuLibre (CVE-2025-53367)

🗒 Полный отчёт Vulristics

Отключил реакции в своих каналах и другим авторам советую

Добавить комментарий

Отключил реакции в своих каналах и другим авторам советую

Отключил реакции в своих каналах и другим авторам советую. 😉 Давным-давно Павел Дуров презентовал технические ограничения Телеграм-каналов как специально задуманную фичу:

Каналы - это чистая односторонняя коммуникация!

Никакого ненужного шума от лайков и комментов. Только вы, ваши сообщения и читатели, которые на вас подписаны… 😇

Но потом появились и реакции, и комментарии, и даже сторисы… 🙄

Теперь сообщения практически во всех каналах обрамлены "облаком общественного одобрения и неодобрения", которое стало частью сообщения.

🔹 Читатели подспудно соотносят своё восприятие сообщения с чужими реакциями.

🔹 Для автора реакции становятся источником дешёвого дофамина ("Ура, ИМ понравилось! 🤩 Я молодец! Нужно ещё похожего написать, чтобы ещё полайкали! 😊") или расстройств, когда минусуют.

И всё это от пары десятков анонимных кликов по эмоджи! Которые элементарно накручиваются. Ну, бред же! Бреед! 🤪

Теперь с обратной связью прошу в комменты live-канала или личку. 😉

Вы точно знаете своих удалёнщиков?

Добавить комментарий

Вы точно знаете своих удалёнщиков?

Вы точно знаете своих удалёнщиков? Как хитрые товарищи из одной изолированной страны зарабатывают сотни млн. $ и усиливают кибероперации, используя западную расслабленность и любовь к удалённой работе? 💸😏

🔹 Они натаскивают своих ІТ-шников.

🔹 Перевозят их в нейтральные страны с быстрым интернетом.

🔹 Трудоустраивают в западные компании, преимущественно в американские.

🔹 ІТ-шники (тысячи их!) усердно работают работу, перечисляя большую часть своих западных зарплат в пользу Родины. Параллельно сливают данные и дают доступ к инфраструктуре работодателей. Двойной профит! 🤑

А требования в вакансиях к наличию гражданства и работе только из США? 🥸 Легко обходятся! 😏 На днях американку приговорили к 8,5 годам за поддержание фермы из 90 ноутбуков для имитации работы из США.

Бороться с этим возможно только отменой удалёнки и значительным усилением background checks. Но компании вряд ли на это пойдут. И не стоит забывать про проблему многочисленных подрядчиков. 😉

Иногда общение стоит минимизировать

Добавить комментарий

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать. Главная проблема в работе с уязвимостями - это НЕ сами уязвимости. Это необходимость постоянно общаться с людьми, которые этого общения не хотят и которым ты не нравишься. 🫩 Это актуально и при пушинге устранения уязвимостей в инфраструктуре, и при сдаче-приёмке уязвимостей, найденных в ходе багбаунти.

Поэтому я сторонник того, чтобы неприятное общение максимально сокращать и формализовывать. Игры в "докажи-покажи" отнимают массу сил и времени, а когда общение неизбежно заходит в тупик, обе стороны всё равно начинают действовать формально. 🤷‍♂️ Так почему бы не поступать так с самого начала? 😏

➡️ В качестве примера рекомендую ознакомиться с эпичной историей, как Игорь Агиевич сдавал уязвимость в блокчейне Hyperledger Fabric (CVE-2024-45244). Имхо, вместо общения в такой ситуации было бы достаточно скинуть вендору ресёрч и PoC, выждать 3 месяца, зарегать CVE и, без особых рефлексией, сделать full disclosure. 🤷‍♂️😈

Не может быть, оказывается MAX не pivacy-driven messenger! 😱

Добавить комментарий

Не может быть, оказывается MAX не pivacy-driven messenger! 😱

Не может быть, оказывается MAX не pivacy-driven messenger! 😱😆 Раньше про MAX набрасывали, что он небезопасный. После объявления багбаунти перестали. 🙂🤷‍♂️ Теперь разгоняют, что MAX "неприватный". Для пруфов ковыряют Android-клиент и скринят текст EULA. 😏

Моё мнение такое:

🔹 Собирает ли MAX информацию о пользователях? Безусловно. Как и любое приложение "фонарик" на вашем устройстве. Зачем? В основном, чтобы показывать вам релевантную рекламу в сервисах VK. По сравнению с тем, что собирают операционные системы и веб-браузеры это крохи и ни о чём.

🔹 Сообщит ли MAX о ваших тёмных делишках в правоохранительные органы? 🌚 Если от этих органов придёт запрос, то сообщит. Как и любой другой мессенджер и веб-сервис. 🤷‍♂️

🔹 Мог бы MAX быть privacy-driven? Как условный Signal? Или An0m? 😉 В принципе да. Но задача создать инструмент, которым могли бы безбоязненно пользоваться всякого рода злодеи и не ставилась. 😏 Наоборот, злодеям в нём должно быть МАКСимально некомфортно. 😈

Нетрадиционное использование комплаенс-сканирования

Добавить комментарий

Нетрадиционное использование комплаенс-сканирования

Нетрадиционное использование комплаенс-сканирования. Как правило, комплаенс-сканирование в организации преследует две цели:

🔹 Удостовериться, что настройки сетевых хостов удовлетворяют регуляторным требованиям.

🔹 Проверить хосты на соответствие требованиям практической безопасности (харденинга), чтобы максимально усложнить эксплуатацию уязвимостей на этих хостах.

Иногда эти цели совпадают, иногда не особо. 😉 Но есть и третья цель:

🔻 Удостовериться, что настройки хостов позволяют средствам защиты информации работать адекватно.

В качестве примера можно привести статью моего коллеги по PT ESC, Романа Чернова, о настройке аудита на Linux-хостах таким образом, чтобы данных было достаточно для надёжного детектирования инцидентов SIEM-ом.

Как можно видеть на схеме, отслеживать корректность настроек логирования в Linux не так-то просто. 😱 Но эту задачу можно решать автоматизированно с помощью комплаенс-сканов MaxPatrol HCC. 😉

Кибероружие следует сдавать государству

Добавить комментарий

Кибероружие следует сдавать государству

Кибероружие следует сдавать государству. Продолжу накидывать аргументы за централизацию репортинга уязвимостей через государственного регулятора. Давайте проведём аналогию между уязвимостями и оружием. Идея не нова, термин "cyberweapon" употребляется десятки лет.

Если человек идёт по дороге и видит, допустим, пистолет, что он вправе с ним легально сделать? Может ли он его использовать по своему усмотрению? Может ли он его продать? Может ли он его вывезти за пределы страны?

Ну ведь, нет же, правда? 🙂 Единственное, что он вправе сделать - это сообщить о нём в полицию или отнести его в полицию самостоятельно. Т.е. передать государственной службе, которая примет решение, что да, это действительно оружие, и распорядится им правильным образом.

Тогда почему сейчас считается нормальным передавать уязвимости ("кибероружие") разработчикам ПО из недружественных стран? Вместо использования этой важной информации во благо нашей страны? Как по мне, это следует изменить.