Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Про уязвимость Remote Code Execution - Roundcube (CVE-2025-49113)

Добавить комментарий

Про уязвимость Remote Code Execution - Roundcube (CVE-2025-49113)

Про уязвимость Remote Code Execution - Roundcube (CVE-2025-49113). Roundcube - популярный веб-клиент для работы с электронной почтой (IMAP) с открытым исходным кодом. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере Roundcube Webmail. Причина уязвимости - Deserialization of Untrusted Data (CWE-502).

🔹 1 июня вендор выпустил исправленные версии 1.6.11 и 1.5.10. В течение 48 часов патч был проанализирован злоумышленниками и сообщения о продаже эксплойта появились в даркнете.

🔹 3 июня эксперты PT SWARM воспроизвели уязвимость.

🔹 С 5 июня публичные эксплоиты доступны на GitHub.

🔹 6 июня Кирилл Фирсов, исследователь, зарепортивший эту уязвимость, опубликовал подробный write-up. В нём он утверждает, что уязвимость присутствовала в коде 10 лет и что есть признаки её публичной эксплуатации.

🔹 16 июня появились сообщения об успешной атаке на немецкого почтового хостинг-провайдера с использованием этой уязвимости.

Вчера провёл традиционный закрытый вебинар по VM-у в рамках Бауманского курса профессиональной переподготовки по направлению "Управление ИБ"

Добавить комментарий

Вчера провёл традиционный закрытый вебинар по VM-у в рамках Бауманского курса профессиональной переподготовки по направлению Управление ИБ

Вчера провёл традиционный закрытый вебинар по VM-у в рамках Бауманского курса профессиональной переподготовки по направлению "Управление ИБ". С этого года они работают под брендом БАУМАНТЕХ. 🙂 На вебинаре было около 30 человек. Текущий набор слушателей курса очень сильный. Было заметно, что люди с обширным IT/ИБ-бэкграундом. 🔥 Получил большое удовольствие от общения. Вопросы были отличные. 👍

Отметил для себя, что

🔹 БОСПУУ нужно превращать в текст (методичку?) и прорабатывать вглубь. Это явно востребовано.

🔹 Нужны также образцы корпоративных документов (политик), описывающих VM-процесс в типовой организации. Чтобы, ориентируясь на них, можно было составить свои. Сейчас в паблике такого нет. 🤷‍♂️ А ещё желательно, чтобы эти образцы документов соответствовали и БОСПУУ, и методикам/руководству ФСТЭК, и 117-му приказу ФСТЭК. 🤔

Планов, как обычно, громадьё. 🙂

Три года назад, 3 июля 2022 года, я начал вести телеграм-канал "Управление Уязвимостями и прочее"

Добавить комментарий

Три года назад, 3 июля 2022 года, я начал вести телеграм-канал Управление Уязвимостями и прочее

Три года назад, 3 июля 2022 года, я начал вести телеграм-канал "Управление Уязвимостями и прочее". 🙂🎉🎂 За прошедший год количество подписчиков выросло с 6000 до более чем 9000! Большое спасибо всем, кто читает, лайкает и репостит, а также участвует в обсуждениях в чате и live-канале!

Собираюсь продолжать в том же духе. Буду писать всякое про уязвимости, средства анализа защищённости, VM-практики, свои (и чужие) опенсурсные проекты и требования регуляторов. Безусловно, при каждом удобном случае продолжу топить за девестернизацию российского IT. 😉

Не знаю уж, что настанет раньше: переход психологически (и юридически) значимой отметки в 10к подписчиков или прекращение стабильной работы Telegram в России. 🤷‍♂️🙂 Вполне возможно, что второе. Но, думаю, в любом случае останемся на связи.

Про уязвимость Elevation of Privilege - Windows SMB Client (CVE-2025-33073)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows SMB Client (CVE-2025-33073)

Про уязвимость Elevation of Privilege - Windows SMB Client (CVE-2025-33073). Уязвимость из июньского Microsoft Patch Tuesday. Для эксплуатации уязвимости злоумышленник может выполнить вредоносный скрипт, чтобы заставить хост жертвы подключиться к атакующему серверу по SMB и пройти аутентификацию. В результате злоумышленник может получить привилегии SYSTEM.

🔹 Детали эксплуатации уязвимости были опубликованы 11 июня (на следующий день после MSPT) на сайтах компаний RedTeam Pentesting и Synacktiv.

🔹 Эксплоиты для уязвимости доступны на GitHub с 15 июня.

🔹 Исследователи PT ESC подтвердили эксплуатабельность уязвимости и 24 июня опубликовали ликбез, варианты эксплуатации и информацию по методам детектирования.

Помимо установки обновления, для устранения уязвимости необходимо настроить принудительное требование подписи SMB для SMB-служб контроллеров и рабочих станций.

Информации об эксплуатации вживую пока нет.

Всегда есть риски оказаться в заложниках изменившейся политической ситуации

Добавить комментарий

Всегда есть риски оказаться в заложниках изменившейся политической ситуации

Всегда есть риски оказаться в заложниках изменившейся политической ситуации. Тут в новостях показывают задержанных и избитых в Азербайджане российских IT-шников. С одним из них, фронтендером и бывшим VK-шником Дмитрием Безуглым, мы в первом круге в известной американской соцсети. Не припомню, чтобы лично общались или даже переписывались, но вот сам факт. Всё близко. Судя по профилю, он уволился из VK и релоцировался в Тбилиси в августе 2022-го года, затем перебрался в Дубай. Ну и вот оказался в гостеприимном Азербайджане в ненужное время…

Задержанных подозревают в тяжких преступлениях, среди которых и "киберпреступления". Товарищи релоцированные ИБ-шники, примите к сведению! Вам такое дело пришить смогут куда проще, чем фронтендеру.

Лучи поддержки Дмитрию и другим задержанным соотечественникам. Хочется надеяться, что их вытащат, они вернутся на Родину и перестанут уже дурака валять.

Июньский Linux Patch Wednesday

Добавить комментарий

Июньский Linux Patch Wednesday

Июньский Linux Patch Wednesday. В этот раз 598 уязвимостей, почти в 2 раза меньше, чем в мае. Из них 355 в Linux Kernel. Для 3 уязвимостей есть признаки эксплуатации вживую (CISA KEV):

🔻 SFB - Chromium (CVE-2025-2783)
🔻 MemCor - Chromium (CVE-2025-5419)
🔻 CodeInj - Hibernate Validator (CVE-2025-35036). Уязвимость эксплуатируется в атаках на Ivanti Endpoint Manager Mobile (EPMM), отслеживается по CVE-2025-4428.

Ещё для 40 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:

🔸 RCE - Roundcube (CVE-2025-49113)
🔸 EoP - libblockdev (CVE-2025-6019)
🔸 DoS - Apache Tomcat (CVE-2025-48988), Apache Commons FileUpload (CVE-2025-48976)
🔸 InfDisc - HotelDruid (CVE-2025-44203)
🔸 DoS - ModSecurity (CVE-2025-47947)

🗒 Полный отчёт Vulristics

Ведётся ли сейчас информационная атака на мессенджер MAX?

Добавить комментарий

Ведётся ли сейчас информационная атака на мессенджер MAX?

Ведётся ли сейчас информационная атака на мессенджер MAX? Ну, очевидно, ведётся. 🙂 Кто-то накидывает за деньги из условного Тбилиси. Кто-то бесплатно готов хаять любой российский продукт, которому оказывается господдержка. А возможно конкуренты ещё надеются стать нацмессенджером вместо MAX-а от VK.

Аргументы слабенькие:

🔹 То, что мобильный клиент сделали на основе ТамТам-а неудивительно. VK реюзнули свои же наработки.

🔹 То, что хранят "IP-адрес, контакты, время активности" - а какой мессенджер не хранит? 😅

🔹 То, что опенсурсные библиотеки используют, у которых сомнительные мантейнеры и контрибьюторы - скверно, но решаемо. Форкнут или перепишут под другие. А вы уверены в зависимостях у остальных приложений на вашем смартфоне? 😏

🔹 Юридическое оформление дочки сделали неаккуратно, да. Но какая разница, если за проектом всё равно большой VK?

Настоящие проблемы MAX-а в том, что он сыроват, в нём нет каналов и нет стимула им пользоваться пока работает Телега. Ждём осени. 😉