Архив рубрики: Темы

Ni8mare, N8scape и другие критические уязвимости n8n

Добавить комментарий

Ni8mare, N8scape и другие критические уязвимости n8n

Ni8mare, N8scape и другие критические уязвимости n8n. n8n - это платформа автоматизации рабочих процессов (code/no-code). Поддерживает более 400 интеграций и встроенные возможности ИИ. Лицензируется как fair-code. Доступна on-prem и как облачный сервис.

🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.

🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.

🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей

Добавить комментарий

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей. Речь идёт о троянах Webrat. Поначалу злодеи распространяли их под видом взломанного ПО и читов к онлайн-играм, а с сентября 2025 начали экспериментировать с GitHub репозитариями, якобы содержащими эксплоиты для уязвимостей CVE-2025-59295 (Buffer Overflow в Internet Explorer), CVE-2025-10294 (AuthBypass в плагине WordPress "The OwnID Passwordless Login") и CVE-2025-59230 (EoP в Windows Remote Access Connection Manager).

Для меня наличие публичных эксплоитов - один из ключевых факторов при приоритизации уязвимостей. GitHub-репы с эксплоитами приходится отсматривать регулярно. Фейков различной зловредности там хватает. С развитием AI-инструментов составить убедительную страницу с описанием эксплоита и чем-то похожим на его код становится делом нескольких минут. 🤷‍♂️ Чем дальше, тем больше такого будет.

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Добавить комментарий

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей. Сразу поясню: у меня никаких претензий к идее EPSS нет. Предсказание скорого появления эксплоитов для уязвимостей! Для всех CVEшек! Бесплатно! Это же просто сказка! Ну, если бы это нормально работало. 😏

И ладно бы, эта штука просто колебалась вслед за новостным потоком: пошли новости о появлении эксплоитов или атак - взлетаем от 0 до 100%. Это, конечно, было бы никакое не предсказание, а просто очередная штука для отслеживания хайповости уязвимостей, тыщи их. Но ведь EPSS даже с этим не справляется! Для MongoBleed с публичным эксплоитом и признаками эксплуатации в атаках EPSS был околонулевой. 🤦‍♂️ И это обычное дело. Как посчитали в CyberOK, при слепом использовании фильтра EPSS>10% вы пропустите половину уязвимостей из CISA KEV. 🤷‍♂️

Я правда жду, когда EPSS-предсказания станут адекватнее, но пока от релиза к релизу ничего не меняется. 😟

Андрей Дугин прочитал мою VM-ную сказку про Снежную Королеву и спрашивает читателей, случалось ли им переобуваться, переходя на другую сторону процесса

Добавить комментарий

Андрей Дугин прочитал мою VM-ную сказку про Снежную Королеву и спрашивает читателей, случалось ли им переобуваться, переходя на другую сторону процесса

Андрей Дугин прочитал мою VM-ную сказку про Снежную Королеву и спрашивает читателей, случалось ли им переобуваться, переходя на другую сторону процесса. У меня не случалось. 🤷‍♂️ Но я на другую сторону процесса не переходил, мне даже не предлагали. 😅

Реально ли меня захайрить, чтобы я начал топить за ультра-IT-шное: "патчить внутрянку не нужно, у нас закрытый сегмент, сначала докажите эксплуатабельность, подготовьте данные, возьмите на себя ответственность за возможные сбои" и прочее-прочее? 😈 При определённых обстоятельствах - вполне. 😏 Соблазн может оказаться велик, человек слаб, а семью нужно содержать. Но я даже в этой роли постарался бы не стопорить VM-процесс, а выступать конструктивным оппонентом.

К людям, которые резко меняют риторику при смене роли, я, как правило, претензий не имею. Люди в рабочей среде склонны вести себя в соответствии с устоявшимися практиками. Поэтому эффективнее не с людьми бодаться, а менять практики. Желательно сверху. А люди подстроятся. 😉

Сегодня ходили на "Снежную Королеву" в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации

Добавить комментарий

Сегодня ходили на Снежную Королеву в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации

Сегодня ходили на "Снежную Королеву" в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации. 🙂

🔹 Кай и Герда драйвят VM в отделе инфраструктурной безопасности. Всё складывается успешно, пока CTO (Снежная Королева) не переманивает Кая курировать устранение уязвимостей со стороны IT. Кай "ловит звезду" и превращается в недоговороспособного чудака, напрочь стопорящего VM-процесс. Герда пытается разрулить ситуацию.

🔹 Совещание Герды с CISO и CIO (Принц и Принцесса) проходит отлично: накинули ресурсов и увеличили бюджет. 🤩 А вот CFO (Разбойник) не проникся - бюджет срезают. 😢 Но получается задружиться с ERP-инженером (Северный Олень).

🔹 И вот после проникновенного выступления Герды на совместном совещании Кай осознаёт неправоту и становится таким, каким и был… Лол, конечно нет. 😅 Максимум получается выработать договорённости, чтобы криво-косо перезапустить VM-процесс. 👍🙏

+- Happy End! 😏

Итоговое количество CVE уязвимостей, которые были добавлены в 2025 году - 48185

Добавить комментарий

Итоговое количество CVE уязвимостей, которые были добавлены в 2025 году - 48185

Итоговое количество CVE уязвимостей, которые были добавлены в 2025 году - 48185. Об этом пишет Jerry Gamblin, разработчик CVE.icu, и я ему доверяю. 👌

Здесь возникает соблазн сказать, что этот набор CVEшек является каким-то осмысленным. Например, что это ВСЕ уязвимости, которые были обнаружены за прошлый год. А далее схватиться за голову: "Ах, как много!" 😱 И начать продвигать идеи, что их все невозможно устранять безусловным патчингом, необходимо выделять и патчить ТОЛЬКО самые критичные ИЗ НИХ. А в этом вам помогут наши решения… СТОП!

Беда в том, что это НЕ все уязвимости, найденные за прошлый год. Это уязвимости, заведённые некоторым клубом CNA организаций. Огромная разница! Почему именно эти организации в клубе? Почему одни заводят очень много CVEшек, а другие ничего? Как эти CVEшки соотносятся с инфраструктурой конкретной организации в локации X?

Нам до необходимого описания ВСЕХ уязвимостей, как до луны пёхом. А 48185? Просто цифирь. 😉

Залил видеозапись своего выступления на ежегодной пресс-конференции Positive Technologies, которая прошла 11 декабря под названием "Анатомия цифровых бурь"

Добавить комментарий

Залил видеозапись своего выступления на ежегодной пресс-конференции Positive Technologies, которая прошла 11 декабря под названием "Анатомия цифровых бурь". Я кратко рассказал, что такое трендовые уязвимости и зачем нужно их выделять, охарактеризовал трендовые уязвимости 2025 года, поругал Microsoft, подсветил уязвимости в отечественных продуктах и что с этим всем делать (развивать VM-процесс в организациях 🙂).

Также ответил на вопрос, является ли отечественное ПО более безопасным и надёжным. ИМХО, продукты отечественных вендоров вряд ли будут безопаснее западных, но переходить на них всё равно стоит. 😉

Логика здесь следующая. Чем меньше популярных западных продуктов будет использоваться в России, тем меньше российские организации будут страдать от массовой (в общемировом масштабе) эксплуатации критических уязвимостей в них. ⬇️👍 В первую очередь это касается продуктов Microsoft и западных сетевых устройств (Cisco, Fortinet, Palo Alto).

Да, конечно, от таргетированных атак отказ от этих продуктов полностью не защитит. При необходимости злодеи любые российские продукты расковыряют, уязвимости найдут, эксплоиты напишут и в малвари свои встроят. НО в том-то и дело, что для таких таргетированных атак потребуется инструментарий, разработанный специально для компрометации российских организаций и нигде больше не применимый, что сделает атаки гораздо сложнее и дороже, а значит, их будут проводить гораздо реже. 😉👍