Архив рубрики: Проекты

Уязвимости западной логистики

Уязвимости западной логистики

Уязвимости западной логистики. 21 мая западные спецслужбы выпустили совместный advisory AA25-141A об атаках на инфраструктуру логистических и технологических компаний. Также западных. 🙂 Помимо привычных Five Eyes в авторах advisory значатся спецслужбы 7 стран: Германии, Чехии, Польши, Дании, Эстонии, Франции, Нидерландов.

Авторы advisory приписывают атаки группировке Fancy Bear и утверждают, что эта группировка связана с российскими гос. структурами. Я, разумеется, решительно осуждаю эти лживые инсинуации❗️

В документе упоминается эксплуатация уязвимостей:

🔻 Remote Code Execution - WinRAR (CVE-2023-38831)
🔻 Elevation of Privilege - Microsoft Outlook (CVE-2023-23397)
🔻 Remote Code Execution - Roundcube (CVE-2020-12641)
🔻 Code Injection - Roundcube (CVE-2021-44026)
🔻 Cross Site Scripting - Roundcube (CVE-2020-35730)

Для каждой уязвимости уже ГОДЫ как есть патчи, эксплоиты и признаки эксплуатации вживую. 🤦‍♂️🤷‍♂️

🗒 Отчёт Vulristics

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday. В этот раз уязвимостей много - 1091. Из них 716 в Linux Kernel. 🤯 Для 5 уязвимостей есть признаки эксплуатации вживую:

🔻 RCE - PHP CSS Parser (CVE-2020-13756). В AttackerKB, есть эксплойт.
🔻 DoS - Apache ActiveMQ (CVE-2025-27533). В AttackerKB, есть эксплойт.
🔻 SFB - Chromium (CVE-2025-4664). В CISA KEV.
🔻 PathTrav - buildkit (CVE-2024-23652) и MemCor - buildkit (CVE-2024-23651). В БДУ ФСТЭК.

Ещё для 52 (❗️) есть признаки наличия публичного эксплоита. Из них можно выделить 2 трендовые уязвимости, о которых я уже писал ранее:

🔸 RCE - Kubernetes "IngressNightmare" (CVE-2025-1974 и 4 других)
🔸 RCE - Erlang/OTP (CVE-2025-32433)

Также интересны эксплоиты для:

🔸 EoP - Linux Kernel (CVE-2023-53033)
🔸 XSS - Horde IMP (CVE-2025-30349)
🔸 PathTrav - tar-fs (CVE-2024-12905)
🔸 SFB - kitty (CVE-2025-43929)
🔸 DoS - libxml2 (CVE-2025-32414)

🗒 Полный отчёт Vulristics

Закончил подготовку слайдов для доклада про Vulristics на PHDays

Закончил подготовку слайдов для доклада про Vulristics на PHDays

Закончил подготовку слайдов для доклада про Vulristics на PHDays. 😇 Выступать буду в последний день фестиваля, в субботу 24 мая. Начало в 16:00. Зал 25 "Попов". Кто будет в это время на площадке - буду очень рад видеть. Кто не будет - подключайтесь онлайн. 😉

У меня будет целый час, чтобы обстоятельно поговорить про Vulristics, а также про анализ и приоритизацию уязвимостей вообще. 🤩 Пройдусь от структуры отчёта Vulristics и типовых задач (анализ Microsoft Patch Tuesday, Linux Patch Wednesday, отдельных трендовых уязвимостей и их подборок) к работе с источниками данных и проблемам корректного определения типа уязвимости и уязвимого продукта. Закончим возможностями использования Vulristics в пайплайнах. Утащить код в свой проект тоже не возбраняется - у Vulristics лицензия MIT. 🆓

➡️ Выступление на сайте PHDays - там можно скачать ics для календаря 😉
⏰ 24.05.2025 16:00 (МСК)
📍 Лужники, зал 25 "Попов"

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 93 уязвимости ~ в 1.5 раза меньше, чем в апреле. Из них 22 были добавлены между апрельским и майским MSPT. Есть 5 уязвимостей с признаками эксплуатации вживую:

🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".

Уязвимостей с публичными эксплоитами пока нет.

Из остальных можно выделить:

🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)

🗒 Полный отчёт Vulristics

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую
KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую. Анализируют 50 публичных источников, включая CISA KEV и фиды люксембургского CERT CIRCL, а также данные собственных сенсоров. Помимо признаков эксплуатации вживую, на странице уязвимости отображаются данные из CVE Org, EPSS, упоминания в Интернете, правила детектирования в сканерах (например, nuclei), потенциальные публичные эксплоиты и прочее.

Фид KEVintel можно выгрузить в виде JSON или CSV. Удобно для интеграций, планирую приделать к Vulristics. 😉 Но, к сожалению, в выгрузках сейчас доступны не все данные, отображающиеся на странице уязвимости. 🤷‍♂️ На сайте они намекают на "pro features". Возможно расширенный фид и будет такой платной фичей.

Апрельский Linux Patch Wednesday

Апрельский Linux Patch Wednesday

Апрельский Linux Patch Wednesday. Всего уязвимостей: 251. 👌 164 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Есть 7 уязвимостей с признаком наличия публичного эксплоита.

Для 2 уязвимостей есть подробно описанный эксплойт на GitHub. Обе они в первый раз исправлены в пакетах репозитория RedOS:

🔸 SQL injection - Exim (CVE-2025-26794)
🔸 Code Injection - MariaDB (CVE-2023-39593)

Для Memory Corruption - Mozilla Firefox (CVE-2025-3028), согласно NVD, эксплойт должен быть в багтреккере Mozilla, но к нему закрыт доступ. 🤷‍♂️

Для 4 уязвимостей есть публичные эксплоиты по данным БДУ ФСТЭК:

🔸 Information Disclosure - GLPI (CVE-2025-21626)
🔸 Security Feature Bypass - GLPI (CVE-2025-23024)
🔸 Denial of Service / Remote Code Execution - Perl (CVE-2024-56406)
🔸 Memory Corruption - Libsoup (CVE-2025-32050)

🗒 Полный отчёт Vulristics

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷‍♂️

Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)

Из остальных можно отметить:

🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)

🗒 Полный отчёт Vulristics