Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Мне не нравится, когда опенсурс возводят в культ и представляют как волшебное решение всех проблем, а в особенности проблем с кибербезопасностью

Добавить комментарий

Мне не нравится, когда опенсурс возводят в культ и представляют как волшебное решение всех проблем, а в особенности проблем с кибербезопасностью. 😬 На самом деле опенсурс это в основном про хаос, безответственность и огромное количество неблагодарной и, как правило, неоплачиваемой работы. 🤷‍♂️

Возьмём библиотеку expr-eval из предыдущего поста. У библиотеки 800k скачиваний в неделю, она используется в куче проектов (только в npm 259 зависящих пакетов). При этом когда был последний коммит в проект? 4 года назад. 🫠 Вот исследователи нашли там критичную уязвимость, принесли фикс мейнтейнеру Matthew Crumley на GitHub, а достучаться до него не могут. Последняя активность на гитхабе в 2023 году. 🤷‍♂️ Соответственно, нет и вполне вероятно, что не будет фикса в этой библиотеке, которая остаётся доступной для использования.

Самого Matthew Crumley в этом нельзя винить, он, так-то, никому и ничего не должен. 😉 И надеюсь, что у него всё хорошо и просто человеку надоело. 🙏

Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735)

Добавить комментарий

Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735). expr-eval - это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.

🛠 Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.

⚙️ Пока уязвимость находится в процессе устранения в основном (фактически заброшенном 🤷‍♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.

🌐 Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.

👾 Признаков эксплуатации вживую пока нет.

Ходили сегодня на музыкальный спектакль "Морозко" в музыкальный театр "На Басманной"

Добавить комментарий

Ходили сегодня на музыкальный спектакль "Морозко" в музыкальный театр "На Басманной". Эта версия, конечно, сильно отличается от всем знакомой киноверсии Роу. Но суть +- та же:

🔹 Неважно, как хорошо и усердно ты работаешь, нет гарантий, что тебя за это будут ценить и уважать. 😐 Нужно быть готовым, что тебя могут отправить с невыполнимым поручением "на мороз". Просто в силу обстоятельств корпоративной войны. 🤷‍♂️

🔹 И если так вышло, не советую поступать как главная героиня сказки: терпеть и держать всё в себе. В том числе утвердительно отвечать на вопрос от Higher Authorities: "Тепло ли тебе девица?" 😏🥶 Есть, конечно, шанс попасть на проницательного Морозку, который решит все проблемы. 🪄 Но куда вероятнее "замёрзнуть в сугробе", оказавшись потом виноватым во всех бедах (ко всеобщему удовольствию).

Берегите психику, качайте софт-скилы и аккуратно всё фиксируйте. Как правило, это полезнее VM-щику, чем погружение в техники эксплуатации конкретных уязвимостей. 😉

Читаем подаренную книгу "Вирьё Моё" как сказку на ночь

Добавить комментарий

Читаем подаренную книгу "Вирьё Моё" как сказку на ночь. Изредка приходится цензурить недетские словечки, но в целом норм. 😅 Дочке интересно как там складывается жизнь у "Саши из Сыктывкара" в вендоре "отечественного антивируса, который назывался всего тремя буквами". 🙂 А мне в принципе интересно, как оно там у "дятлов" и подробности по знаковым кейсам былых времён. Написано живо, увлекательно, простым языком. Надеюсь и с фокусом на VM будет когда-нибудь похожая книжка. 😇

Вчера дошли до явного VM-ного момента - эксплуатации уязвимости CVE-2002-0649 червём Helkern/SQL Slammer. Проходят десятки лет, а Microsoft так и остаётся стабильным поставщиком трендовых уязвимостей, от которых штормит весь мир. 😏 Непропатченные по полгода уязвимости высокой критичности также остаются обычным делом в организациях. 😉🤷‍♂️

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам

Добавить комментарий

Продолжая тему предыдущего поста, больше всего в современной цифровизации меня подбешивает навязывание мобильных приложений, которые дают неадекватно широкий доступ к критичным операциям, в первую очередь к финансовым и государственным услугам.

Немного утрированно это выглядит так:

"А давай мы поставим тебе приложуху, чтобы ты мог в 2 тапа и без адекватной 2FA вывести свои накопления за 20 лет в неизвестном направлении, а затем набрать кредитов и микрокредитов и тоже их вывести. Тебе же это нужно прям 24/7/365! Или вот захочешь ты в 3 часа ночи свою квартиру продать - раз-два, и готово!"

Причём с банками понятно - им выгодно, чтобы я делал больше операций и тратил через них больше денег. Но когда речь идёт о государственных приложениях - они-то зачем упрощают доступ к опасным операциям с недоверенных устройств и облегчают жизнь злодеям?! 🤔

Уверен, что местные безопасники понимают, что всё это странная дичь, но решение по фичам приложений принимают не они.

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам

Добавить комментарий

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам. 🙄 Хотя здесь есть вполне очевидные проблемы с 2FA:

🟢 Если вы заходите с паролем от Госуслуг на одном устройстве (десктопе), а код получаете на другое устройство (по SMS, через мессенджер только на это устройство, OTP-приложение - не суть), это нормальная двухфакторка. 👍 Злоумышленнику нужно скомпрометировать сразу 2 разных устройства, это сложно и дорого.

🔴 Но если вы заходите с паролем в приложение Госуслуг на смартфоне и код получаете на тот же смартфон (см. выше как), то второго фактора у вас нет. 🤷‍♂️ Если злоумышленник скомпрометирует смартфон, он получит полный доступ к Госуслугам и натворит бед. А смартфоны в массе своей уже скомпрометированы. Ещё и сессия длится аж 6 месяцев! 😱

Эти риски почему-то игнорируются. 🤷‍♂️

Немного про Roblox и Luanti

Добавить комментарий

Немного про Roblox и Luanti. Я, как родитель, весьма рад блокировке Roblox. 👍 Эта лютая хтонь лезла отовсюду! 👾 Коллабы с российскими брендами, книжки, тонны дегенеративных видеороликов от "детских блогеров". А хуже всего, что Roblox массово тащили в курсы по программированию для детей! 😡 Притом, что контент в платформе реально жуткий. Хочется надеяться, что ограничение доступа хоть немного это безумие приглушит. 🙏

К счастью, в нашей семье Roblox не прижился. 😇 У Roblox нет официального Linux-клиента, а неофициальные способы запуска они банят. 🤷‍♂️😌

При этом, я не против компьютерных игр. Мы с дочкой вместе играем по домашней локалке в Luanti (Minetest). Это бесплатная опенсурсная платформа для Minecraft-like игр. Конкретно играем в Mineclonia: добываем ресурсы, строим здания, исследуем мир, боремся с монстрами. Есть множество модов и можно разрабатывать свои. Есть продвинутые технические моды, позволяющие строить сложные механизмы и сооружения! 🤩