Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Вчера в офисе Positive Technologies прошли ИТ-посиделки

Добавить комментарий

Вчера в офисе Positive Technologies прошли ИТ-посиделки

Вчера в офисе Positive Technologies прошли ИТ-посиделки. Это закрытое мероприятие для комьюнити выпускников PT-шных практикумов. В неформальной обстановке авторы курсов рассказали о том, как и с какой целью готовились учебные материалы, а слушатели дали обратную связь: что было наиболее ценно, а что можно было бы улучшить.

От практикума по Управлению Уязвимостями выступал я и Олег Кочетов. Очень приятно было услышать позитивные отзывы, как коллеги-выпускники применяют полученные знания в работе и как им это помогло в карьерном росте. 😇 Предложения по улучшению тоже зафиксировали и взяли в работу. 🙂 Кулуарно про реалии VM-ного рыночка тоже посплетничали - куда ж без этого. 😉

➡️ Следующий набор на VM-ный практикум стартует уже 9 июня, до пятницы можно успеть зарегистрироваться. Я буду участвовать в вебинарах в рамках курса и отвечать на вопросы участников. 😉

Грядёт МАКСимизация?

Добавить комментарий

Грядёт МАКСимизация?

Грядёт МАКСимизация? Новость про мессенджер MAX от VK. На встрече с президентом министр цифрового развития Максут Шадаев рассказал об успехах российских интернет-сервисов. У нас всё хорошо с видео, электронной коммерцией, соцсеточками, ИИ. Но про мессенджеры так не скажешь (все в ТГ сидят 😏). Хотя в других странах успешно развиваются свои национальные мессенджеры. А у VK как раз появился мессенджер на новой платформе, которая позволяет интегрировать всякие государственные и финансовые сервисы. Ведь интегрировать их в иностранные мессенджеры неправильно.

На это президент дал поручение: "Руководителям всем ведомств правительства целенаправленно организовать работу по поддержке отечественного мессенджера. А для этого услуги, которые предоставляют различные ведомства, финансовые учреждения и т.д. нужно переводить на эту платформу. Это чрезвычайно важно."

Высочайшая протекция оказана. Посмотрим, к чему это приведёт.

Я пока больше всего жду появления в MAX-е каналов. 🙂

Разговоры с чудаками и Управление Уязвимостями

Добавить комментарий

Разговоры с чудаками и Управление Уязвимостями

Разговоры с чудаками и Управление Уязвимостями. Согласен с Алексеем Лукацким, что тратить бесценное время жизни на общение с токсичными чудаками решительно не хочется. Но что делать, если это требуется в рамках рабочего процесса? Например, когда коллеги из IT или бизнеса уклоняются от устранения уязвимостей на своих активах, используя разнообразные риторические приёмы.

Имхо, главное беречь свою психику:

🔹 Стараемся не вовлекаться эмоционально. Наблюдаем за перфомансом токсичного коллеги как психиатр за пациентом. Слушаем, фиксируем, прикидываем "диагноз". На словесные выпады не ведёмся. 👨‍⚕️

🔹 Используем стандартную формальную аргументацию, отсылающую (поэтапно) к политикам организации, требованиям регуляторов и уголовному кодексу. ⚖️👮

🔹 Используем стандартную аргументацию, отсылающую к публичным инцидентам. 👾

🔹 На "докажи-покажи" не ведёмся, а вместо этого методично собираем доказательства, что работы не выполняются и поэтапно эскалируем это на руководство. ⬆️😏

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Добавить комментарий

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно. Исследователи могут и молчать. 😉 В продолжение темы про недоисследованные уязвимости хочется обратить внимание на последний кейс с XSS уязвимостями в MDaemon и Zimbra. Эти уязвимости были устранены в ноябре и феврале 2024 года. У них были "средний" CVSS: 5.3 и 6.1. Тип уязвимости XSS также не является супер-критичным. Не было никаких причин приоритизировать исправление этих уязвимостей.

ПРИ ЭТОМ исследователи ESET ещё в 2024 году знали, что эти уязвимости эксплуатируются в атаках. Они сами наблюдали эту эксплуатацию. И они просто МОЛЧАЛИ до 15 мая 2025 года. Как минимум 5,5 месяцев они не выдавали информацию, которая могла бы повысить приоритет устранения этих уязвимостей и защитить пользователей от атак. Ни вендорам не сообщали, ни в CISA KEV. 🤷‍♂️

Так что не ждите сообщений об атаках - обновляйтесь при первой возможности!

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)

Добавить комментарий

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443). Zimbra Collaboration - пакет ПО для совместной работы, включающий сервер электронной почты и веб-клиент. Злоумышленник может отправить электронное письмо, содержащее специально созданный заголовок календаря со встроенной полезной нагрузкой. Если пользователь откроет письмо в классическом веб-интерфейсе Zimbra, зловредный JavaScript-код выполнится в контексте окна веб-браузера.

Уязвимость была исправлена вендором 28 февраля 2024 года. Как и в случае с уязвимостью MDaemon, об эксплуатации уязвимости в атаках сообщили исследователи ESET (операция "RoundPress"). О дате обнаружения атак сообщили, что это было в 2024 году и уже после выпуска патча. Зловредный код позволял злоумышленникам красть учетные данные, извлекать контакты и настройки, получать доступ к сообщениям электронной почты.

Информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷‍♂️ С 19 мая уязвимость в CISA KEV.

Впечатление от модуля аналитики в RedCheck

Добавить комментарий

Впечатление от модуля аналитики в RedCheck

Впечатление от модуля аналитики в RedCheck.

🔹 Это большой шаг вперёд. 👍 Раньше, чтобы решать проблемы со сканами и анализировать уязвимости/мисконфигурации в масштабе инфраструктуры необходимо было стороннее решение (коммерческое или самописное), которое бы работало с RedCheck через API и/или на уровне базы. Теперь эти задачи в значительной мере можно решать прямо из интерфейса.

🔹 Радует внимание к обнаружению проблем в сканировании активов. 🔥 Следует также отслеживать для каких активов нет детектов уязвимостей (и прочее по первой колонке БОСПУУ), но с этим сложнее. 🤷‍♂️

🔹 Реализованные инструменты низкоуровневые. Они помогут понять, что уязвимости не исправляются и харденинг не проводится. Но почему и что с этим делать? Это за рамками.

🔹 Постоянно вручную делать фильтрации через формы - так себе удовольствие. Нужны хотя бы сохраняемые запросы с выводом на дашборды и в алерты. Возможно это будет в VM от Altx Soft, который обещают представить в 26 году.

Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck

Добавить комментарий

Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheckПосмотрел демо по модулю аналитики в сканере уязвимостей RedCheck

Посмотрел демо по модулю аналитики в сканере уязвимостей RedCheck. Модуль доступен в RedCheck 2.8 (вышел в декабре 2024 года) для вариантов Expert и Enterprise. Содержит формы:

🔹 "Актуальность сканирования" показывает почему нет результатов сканирования: ошибки или недоступность хоста, нет задания на сканирование хоста или задание на сканирование не запускалось.

🔹 "Недоступность хостов" показывает детали по причинам недоступности: ошибки сетевого доступа, тайм-ауты, некорректные учётки, ошибки прав доступа, нарушение целостности агента/сканера и т.д.

🔹 "Анализ уязвимости" позволяет фильтровать уязвимости на хостах по критичности, наличию эксплоитов, присутствию в бюллетенях НКЦКИ и БДУ ФСТЭК.

🔹 "Контроль устранения уязвимостей" позволяет выделять новые, устранённые и неустранённые уязвимости на хостах.

🔹 "Анализ конфигураций" позволяет отслеживать соответствие хостов стандартам безопасной настройки, в том числе по конкретным требованиям.

🎞 Демо с разбором кейсов