Архив рубрики: Темы

Про уязвимость Elevation of Privilege - Sudo (CVE-2025-32463)

Про уязвимость Elevation of Privilege - Sudo (CVE-2025-32463). Sudo - это утилита в Unix-подобных операционных системах, которая позволяет пользователю запускать программу с привилегиями другого пользователя, по умолчанию - суперпользователя (root).

🔻 Уязвимость позволяет локальному злоумышленнику повысить свои привилегии, заставив sudo загрузить произвольную динамическую библиотеку, используя указанный через опцию -R (--chroot) корневой каталог. Злоумышленник может выполнять произвольные команды от root-а на системах, поддерживающих (Name Service Switch configuration file).

⚙️ Уязвимость была исправлена в версии sudo 1.9.17p1, вышедшей 30 июня 2025 года.

🛠 В тот же день вышел write-up от исследователя Rich Mirch с PoC-ом эксплоита.

🐧 Я отмечал устранение этой уязвимости Linux-вендорами в рамках июльского Linux Patch Wednesday. Для уязвимости было доступно множество публичных эксплоитов.

👾 29 сентября уязвимость была добавлена в CISA KEV.

Про уязвимость Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362)

Добавить комментарий

Про уязвимость Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362). Cisco ASA и FTD - одни из самых распространённых решений для защиты периметра и организации удалённого доступа к корпоративной инфраструктуре. 🔗 25 сентября для них вышли обновления, исправляющие цепочку уязвимостей для получения полного контроля над устройствами:

🔻 Уязвимость CVE-2025-20362 позволяет неаутентифицированному злоумышленнику получить доступ к URL с ограниченным доступом.

🔻 Уязвимость CVE-2025-20333 позволяет аутентифицированному злоумышленнику выполнить произвольный код от root-а.

👾 Cisco сообщают, что цепочка уязвимостей эксплуатируется в атаках с мая 2025 года. Атаки связаны с кампанией ArcaneDoor. В атаках используются малвари LINE VIPER и RayInitiator.

🛠 Публичных эксплоитов пока нет.

🌐 Shadowserver показывает более 45000 уязвимых хостов, из них более 2000 в России.

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE"

Добавить комментарий

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE". Мне статья очень понравилась, в лайв-канале я сделал краткую выжимку.

Согласно статье, базы знаний средств детектирования уязвимостей и связанные с ними процессы VM-вендоров могут существенно различаться как минимум по девяти параметрам качества:

1. 📦 Полнота покрытия продуктов
2. 🔄 Частота выпуска обновлений правил детектирования
3. 🌐 Использование источников данных об уязвимостях
4. ✅ Верификация правил детектирования
5. 🧪 Тестирование процесса детектирования
6. 🔍 Прозрачность логики детектирования
7. ⚡️ Скорость исправления ошибок детектирования
8. 🛠 Адаптируемость детектирования под заказчика
9. 📖 Полнота информации по устранению уязвимостей

💡 Имхо, эти параметры могут стать основой для открытого фреймворка, используемого как самими VM-вендорами для самооценки своих решений и процессов, так и клиентами при выборе VM-решений.

В Vulners появилась информация по эксплоитам

Добавить комментарий

В Vulners появилась информация по эксплоитам. И тут сразу можно сказать: а её разве не было? Vulristics же большую часть информации об эксплоитах из Vulners и берёт! 🤔

Всё так. ✅ Но раньше эксплойт всегда был объектом Vulners из определённой коллекции. Например, страницей эксплоита из ExploitDB. Подход с централизованным сбором коллекций отлично работает для источников однотипных данных: баз уязвимостей, бюллетеней безопасности, сплоитпаков.

Но частенько бывает, что PoC эксплоита содержится не в типовом объекте, а где придётся. Например, в блог-посте рандомного исследователя или странице вендора. Для учёта таких случаев эксплоиты в Vulners теперь хранятся и как наборы ссылок в метаданных уязвимости. 🔗🧩 Эти ссылки собираются из различных источников, включая NVD, GitHub и Gitee.

Количество источников будет расширяться, информация по эксплоитам в Vulners будет полнee, и утилиты, такие как Vulristics, смогут ещё лучше приоритизировать уязвимости на её основе. 🧰📈

У коллег из СайберОК вышла подборка наиболее критичных уязвимостей сентября

Добавить комментарий

У коллег из СайберОК вышла подборка наиболее критичных уязвимостей сентября. Основная фишка их дайджеста в том, что они не только обосновывают, почему одни уязвимости представляют опасность для российских организаций, но и почему другие, "раскрученные", уязвимости опасности не представляют. 👍 При обосновании используют СКИПА - собственный массовый сканер а-ля Shodan/Censys которым они сканируют весь Рунет.

📄 Полный отчёт доступен в их блоге и в json.

⚠️ Критичные для Рунета:

🔻 SSRF - GitLab (CVE-2025-6454)
🔻 XSS - UMI CMS (BDU:2025-08683)
🔻 CSRF - PARTS SOFT CMS (BDU:2025-05287, BDU:2025-05286)
🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)
🔻 RCE/DoS - Cisco IOS/IOS XE (CVE-2025-20352)

✅ Некритичные для Рунета:

🔹 RCE - FreePBX (CVE-2025-57819)
🔹 AuthBypass - Telerik Report Server (CVE-2024-4358)
🔹 SQLi - BIG-IP Next CM (CVE-2024-26026)
🔹 AuthBypass - SAP NetWeaver на IBM i-series (CVE-2025-42958)
🔹 RCE - GitHub Enterprise Server (CVE-2024-2469)

Сентябрьский Linux Patch Wednesday

Добавить комментарий

Сентябрьский Linux Patch Wednesday. В сентябре Linux вендоры начали устранять 748 уязвимостей, чуть меньше, чем в августе. Из них 552 в Linux Kernel. Доля уязвимостей Linux Kernel растёт! Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 MemCor - Chromium (CVE-2025-10585). Для неё есть публичные эксплоиты.

Для 63 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - CivetWeb (CVE-2025-55763), ImageMagick (CVE-2025-55298), Asterisk (CVE-2025-49832), libbiosig (CVE-2025-46411 и ещё 22 CVE), sail (CVE-2025-32468 и ещё 7 CVE)
🔸 AuthBypass - OAuth2 Proxy (CVE-2025-54576), CUPS (CVE-2025-58060)
🔸 EoP - UDisks (CVE-2025-8067)
🔸 SQLi - Django (CVE-2025-57833)
🔸 SFB - CUPS (CVE-2025-58364)

🗒 Полный отчёт Vulristics

Как работать с уязвимостями своей инфраструктуры в SBER X-TI? Для этого в облако SBER X-TI нужно отправлять данные инвентаризации активов, по которым будут рассчитаны уязвимости

Добавить комментарий

Как работать с уязвимостями своей инфраструктуры в SBER X-TI? Для этого в облако SBER X-TI нужно отправлять данные инвентаризации активов, по которым будут рассчитаны уязвимости. Есть готовые интеграции с Security Vision или R-Vision (+ компании предоставили урезанные бесплатные версии продуктов только для инвентаризации), BiZone TDR и GRC, Ansible.

Для уязвимостей есть признаки эксплуатации вживую и публичные эксплоиты, есть расчёт критичности по методике ФСТЭК, есть проверенные патчи (они там появляются раньше и их больше, чем на БДУ ФСТЭК), можно заводить задачи на устранение с автоматическим закрытием при перескане.

Напоминает зародыш российского "Qualys-а". 🤔 Не хватает только облачных агентов и апплаенсов. И неплохо было бы загружать не только инвентаризацию, но и уязвимости продетектированные сторонним сканерами. 😉

Учитывая, что это всё бесплатно, всему нашему VM-рынку стоит обратить внимание и задуматься, чем это крыть.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Темы

Про уязвимость Elevation of Privilege - Sudo (CVE-2025-32463)

Про уязвимость Remote Code Execution - Cisco ASA/FTD (CVE-2025-20333, CVE-2025-20362)

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE"

В Vulners появилась информация по эксплоитам

У коллег из СайберОК вышла подборка наиболее критичных уязвимостей сентября

Сентябрьский Linux Patch Wednesday