Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru

Добавить комментарий

Кстати, мой комментарий по MongoBleed (CVE-2025-14847) вышел в понедельник в Газета.Ru

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇

Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.

Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:

"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."

Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.

Про уязвимость Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847)

2 комментария

Про уязвимость Information Disclosure - MongoDB MongoBleed (CVE-2025-14847)

Про уязвимость Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847). MongoDB - это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым - к чувствительным данным (учёткам, ключам, данным клиентов и т.д.).

⚙️ "Критические обновления" были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.

🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплоита, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.

🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k в России.

🎄 Новогодний релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ) версии 3.0.0

Добавить комментарий

🎄 Новогодний релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ) версии 3.0.0🎄 Новогодний релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ) версии 3.0.0

🎄 Новогодний релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ) версии 3.0.0. 🎉 Категории с последнего обновления в прошлом году не менялись. А вот количество вендоров существенно увеличилось.

Основные изменения:

🔹 В СДУИ добавил Cicada 8, Сбер, UDV Group
🔹 В СДУСП добавил CyberOK, Security Vision, iTPROTECT, Нейроинформ
🔹 В СДУП добавил SolidPoint и Security Vision
🔹 В САУ добавил BI ZONE
🔹 В СИУ добавил Vulns io
🔹 Обновил логотипы RedCheck, R-Vision, Solar, Security Vision, F6 (ранее F.A.C.C.T), Cicada 8 (ранее МТС).
🔹 Обновил описания продуктов Positive Technologies (СДУИ), Security Vision (СДУИ, САУ и СИУ), Cicada 8 (СДУСП) + исправил мелкие ошибки

❗️Disclaimer: Это мой личный pet-project, начатый в 2023 году и никак не связанный с моим работодателем. По всем вопросам пишите, пожалуйста, в личку @leonov_av.

🖼 Картинки в непожатом виде доступны ниже.

Ходили сегодня семьёй на Новогоднюю Ёлку в Третьяковскую галерею

Добавить комментарий

Ходили сегодня семьёй на Новогоднюю Ёлку в Третьяковскую галерею

Ходили сегодня семьёй на Новогоднюю Ёлку в Третьяковскую галерею. Естественно, ёлка была на тему живописи. Баба-яга, Снегурочка, петух, волк и реставратор спасали Деда Мороза от злобного Трескуна. 🙂

Начало и конец представления показывали в зрительном зале: песни, танцы и картины на экране, оживлённые AI-шкой. В середине был мастер-класс по изготовлению карнавальных масок и осмотр реальных картин в залах Третьяковки в сопровождении актёра, который наводил на картины планшет и демонстрировал AR-эффекты. Ну и рассказывал в процессе про сами картины. Очень приятно, что среди картин была и "Деревенская кокетка" Федота Сычкова. 😇

Довольно занимательно в сюжет встроили темы из теории живописи через "путешествие внутрь картины": снятие лака, масляный слой, подмалёвок, кракелюры и т.д.

Некоторые приёмы можно позаимствовать при проведении детских мероприятий на тему ИБ. 🗒😉

Завершилось всё вручением подарков и фотографированием с Дедом Морозом. 🎅

Покоцал случайно обложку своего ежедневника и решил обклеить её стикерами с прошедших конференций

Добавить комментарий

Покоцал случайно обложку своего ежедневника и решил обклеить её стикерами с прошедших конференций
Покоцал случайно обложку своего ежедневника и решил обклеить её стикерами с прошедших конференций

Покоцал случайно обложку своего ежедневника и решил обклеить её стикерами с прошедших конференций. Многие их на ноутбуки клеют, но мне такое не нравится. Люблю, когда техника в чистоте. Поэтому стикеры у меня либо просто лежат, либо я их доченьке отдаю, и она их уже как-то использует. 🙂 В общем, пришло время - заюзал. Вроде получилось миленько и чуть-чуть ностальгично. 😅 Узнали мероприятия?

Из всех стикеров мои любимые: VM-ная подборка от Vulns io и "Эра Независимости" PHDays 11 - самая лучшая тема ИБ-конференции ever. 🙂

ASUS и CISA откопали ShadowHammer в 2025

2 комментария

ASUS и CISA откопали ShadowHammer в 2025

ASUS и CISA откопали ShadowHammer в 2025. 🤔 17 декабря CISA добавили в KEV уязвимость "CVE-2025-59374 - ASUS Live Update Embedded Malicious Code Vulnerability". В NVD уязвимость была также опубликована 17 декабря, CNA ASUS. Она про версию клиента ASUS Live Update с зловредными модификациями, внесёнными через компрометацию цепочки поставок.

По ссылке из NVD на сайт ASUS (с нероссийских IP) видим описание APT-атаки ShadowHammer 2019 года (❗️), в рамках которой серверы ASUS пять месяцев раздавали модифицированную версию Live Update, устанавливающую некоторым пользователям малвари. 😱

❓ Ок, шесть лет назад ASUS разово раздали бяку клиентам. Но зачем по этому кейсу сейчас заводить CVE и, тем более, тащить её в CISA KEV?

➡️ CISA ответили в духе "CVE есть, эксплуатация подтверждена; а как давно эксплуатация была и насколько уязвимость сейчас критична - нам пофигу".

ASUS формально завели CVE, CISA формально добавили её в KEV. 👌🌝

Если вам нужно срочно снять в банкомате наличные на сумму свыше 50 000 р, велики шансы, что у вас это сделать не получится

Добавить комментарий

Если вам нужно срочно снять в банкомате наличные на сумму свыше 50 000 р, велики шансы, что у вас это сделать не получится

Если вам нужно срочно снять в банкомате наличные на сумму свыше 50 000 р, велики шансы, что у вас это сделать не получится. И это, строго говоря, не зависит от того, клиентом какого банка вы являетесь и какие у вас лимиты по карте.

Я снимаю наличные нечасто, где-то раз в два месяца в одном и том же отделении Сбера и в одно и то же время, вечером. И сегодня при выполнении этой абсолютно типичной для меня операции банкомат ограничил мне выдачу денег:

"Для безопасности ваших средств операции снятия наличных по карте в банкомате ограничены на 48 ч., лимит - 50 000р в сутки. Это требование ФЗ №395-1 [А конкретно поправки, вступившей в действие с 1 сентября]. Подробнее s.sber.ru/2S9Flm. Чтобы снять наличные сверх лимита, вы можете обратиться в офис банка."

Ну а если вам нужны наличные в то время, когда офис банка закрыт - сорян, никак. 🤷‍♂️ По номеру горячей линии рободевушка также цитирует ФЗ и говорит, что ограничение снять никак нельзя, даже через оператора.