Архив рубрики: Темы

Появилась идея начать составлять рейтинг российских операционных систем, отражающий то, насколько хорошо для них описываются известные уязвимости

Добавить комментарий

Появилась идея начать составлять рейтинг российских операционных систем, отражающий то, насколько хорошо для них описываются известные уязвимости

Появилась идея начать составлять рейтинг российских операционных систем, отражающий то, насколько хорошо для них описываются известные уязвимости.

Хотелось бы сделать наличие бюллетеней безопасности абсолютной нормой для вендоров отечественных ОС. Которых сейчас в реестре Минцифры только по классу 02.09 находится 55. 🫣

Если мы, как комьюнити, начнём это отслеживать, то, с одной стороны, сможем подсветить вендоров ОС, которые ответственно подходят к устранению уязвимостей, информируют пользователей об устранённых уязвимостях и предоставляют необходимую информацию вендорам средств анализа защищённости для разработки правил детектирования. 👍 А с другой стороны, можно будет простимулировать вендоров, у которых в этом отношении всё не очень хорошо. 📣

Возможно, удастся привлечь внимание регуляторов к тому, что для некоторых отечественных ОС нет бюллетеней безопасности, как, зачастую, и обновлений вообще. 🤷‍♂️ И что таким продуктам не место в реестрах. 😉

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи

Добавить комментарий

Сходили сегодня на детский спектакль Золотая антилопа, в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи. 🤴🙂

1. К продетектированным уязвимостям относись как к золоту, которого "не может быть слишком много". Стремись обладать наиболее качественными средствами детектирования, своей "золотой антилопой". 🦌🔍

2. Нормальное управление уязвимостями возможно только при наличии реальных рычагов давления, аналогичных мотивированному исполнительному палачу: "позволь я отрублю ему голову". ⚔️😈

3. Одного детектирования уязвимостей недостаточно. Необходимо инвестировать в приоритизацию и автоматизацию их устранения. Иначе "золото превратится в черепки", а уязвимости - в реальные инциденты, в результате чего ты потеряешь своё место. 💥👨‍💻

4. Никогда не принимай отказа в устранении уязвимостей. Всегда требуй поэтапный план устранения с зафиксированными дедлайнами. Если не готовы отдать буйвола, пусть отдают "ногу буйвола". 🐃😉

Про уязвимость Elevation of Privilege - Sudo (CVE-2025-32463)

Добавить комментарий

Про уязвимость Elevation of Privilege - Sudo (CVE-2025-32463)

Про уязвимость Elevation of Privilege - Sudo (CVE-2025-32463). Sudo - это утилита в Unix-подобных операционных системах, которая позволяет пользователю запускать программу с привилегиями другого пользователя, по умолчанию - суперпользователя (root).

🔻 Уязвимость позволяет локальному злоумышленнику повысить свои привилегии, заставив sudo загрузить произвольную динамическую библиотеку, используя указанный через опцию -R (--chroot) корневой каталог. Злоумышленник может выполнять произвольные команды от root-а на системах, поддерживающих (Name Service Switch configuration file).

⚙️ Уязвимость была исправлена в версии sudo 1.9.17p1, вышедшей 30 июня 2025 года.

🛠 В тот же день вышел write-up от исследователя Rich Mirch с PoC-ом эксплоита.

🐧 Я отмечал устранение этой уязвимости Linux-вендорами в рамках июльского Linux Patch Wednesday. Для уязвимости было доступно множество публичных эксплоитов.

👾 29 сентября уязвимость была добавлена в CISA KEV.

Про уязвимость Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362)

Добавить комментарий

Про уязвимость Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362)

Про уязвимость Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362). Cisco ASA и FTD - одни из самых распространённых решений для защиты периметра и организации удалённого доступа к корпоративной инфраструктуре. 🔗 25 сентября для них вышли обновления, исправляющие цепочку уязвимостей для получения полного контроля над устройствами:

🔻 Уязвимость CVE-2025-20362 позволяет неаутентифицированному злоумышленнику получить доступ к URL с ограниченным доступом.

🔻 Уязвимость CVE-2025-20333 позволяет аутентифицированному злоумышленнику выполнить произвольный код от root-а.

👾 Cisco сообщают, что цепочка уязвимостей эксплуатируется в атаках с мая 2025 года. Атаки связаны с кампанией ArcaneDoor. В атаках используются малвари LINE VIPER и RayInitiator.

🛠 Публичных эксплоитов пока нет.

🌐 Shadowserver показывает более 45000 уязвимых хостов, из них более 2000 в России.

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE"

Добавить комментарий

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision Как отличить качественную базу уязвимостей от справочника CVE

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE". Мне статья очень понравилась, в лайв-канале я сделал краткую выжимку.

Согласно статье, базы знаний средств детектирования уязвимостей и связанные с ними процессы VM-вендоров могут существенно различаться как минимум по девяти параметрам качества:

1. 📦 Полнота покрытия продуктов
2. 🔄 Частота выпуска обновлений правил детектирования
3. 🌐 Использование источников данных об уязвимостях
4. ✅ Верификация правил детектирования
5. 🧪 Тестирование процесса детектирования
6. 🔍 Прозрачность логики детектирования
7. ⚡️ Скорость исправления ошибок детектирования
8. 🛠 Адаптируемость детектирования под заказчика
9. 📖 Полнота информации по устранению уязвимостей

💡 Имхо, эти параметры могут стать основой для открытого фреймворка, используемого как самими VM-вендорами для самооценки своих решений и процессов, так и клиентами при выборе VM-решений.

В Vulners появилась информация по эксплоитам

Добавить комментарий

В Vulners появилась информация по эксплоитам

В Vulners появилась информация по эксплоитам. И тут сразу можно сказать: а её разве не было? Vulristics же большую часть информации об эксплоитах из Vulners и берёт! 🤔

Всё так. ✅ Но раньше эксплойт всегда был объектом Vulners из определённой коллекции. Например, страницей эксплоита из ExploitDB. Подход с централизованным сбором коллекций отлично работает для источников однотипных данных: баз уязвимостей, бюллетеней безопасности, сплоитпаков.

Но частенько бывает, что PoC эксплоита содержится не в типовом объекте, а где придётся. Например, в блог-посте рандомного исследователя или странице вендора. Для учёта таких случаев эксплоиты в Vulners теперь хранятся и как наборы ссылок в метаданных уязвимости. 🔗🧩 Эти ссылки собираются из различных источников, включая NVD, GitHub и Gitee.

Количество источников будет расширяться, информация по эксплоитам в Vulners будет полнee, и утилиты, такие как Vulristics, смогут ещё лучше приоритизировать уязвимости на её основе. 🧰📈

У коллег из СайберОК вышла подборка наиболее критичных уязвимостей сентября

Добавить комментарий

У коллег из СайберОК вышла подборка наиболее критичных уязвимостей сентября

У коллег из СайберОК вышла подборка наиболее критичных уязвимостей сентября. Основная фишка их дайджеста в том, что они не только обосновывают, почему одни уязвимости представляют опасность для российских организаций, но и почему другие, "раскрученные", уязвимости опасности не представляют. 👍 При обосновании используют СКИПА - собственный массовый сканер а-ля Shodan/Censys которым они сканируют весь Рунет.

📄 Полный отчёт доступен в их блоге и в json.

⚠️ Критичные для Рунета:

🔻 SSRF - GitLab (CVE-2025-6454)
🔻 XSS - UMI CMS (BDU:2025-08683)
🔻 CSRF - PARTS SOFT CMS (BDU:2025-05287, BDU:2025-05286)
🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)
🔻 RCE/DoS - Cisco IOS/IOS XE (CVE-2025-20352)

✅ Некритичные для Рунета:

🔹 RCE - FreePBX (CVE-2025-57819)
🔹 AuthBypass - Telerik Report Server (CVE-2024-4358)
🔹 SQLi - BIG-IP Next CM (CVE-2024-26026)
🔹 AuthBypass - SAP NetWeaver на IBM i-series (CVE-2025-42958)
🔹 RCE - GitHub Enterprise Server (CVE-2024-2469)