Архив рубрики: Темы

Мои коллеги по PT ESC зафиксировали первую фишинговую кампанию с использованием уязвимости Remote Code Execution - Microsoft Office (CVE-2026-21509), направленную на российские организации

Мои коллеги по PT ESC зафиксировали первую фишинговую кампанию с использованием уязвимости Remote Code Execution - Microsoft Office (CVE-2026-21509), направленную на российские организации. Атакующие, с высокой вероятностью связанные с группировкой BoTeam, рассылают зловредные RTF-файлы, оформленные как переписка с регулятором Ространснадзор ("Акт проверки транспортного средства", "Форма письменных пояснений").

Уязвимость CVE-2026-21509 позволяет обойти функции безопасности OLE при открытии зловредного документа Microsoft Office, выполнить HTTPS-запрос к серверу злоумышленников и скомпрометировать десктоп жертвы в ходе многоступенчатой атаки.

Уязвимость была экстренно исправлена 26 января вне регулярных Microsoft Patch Tuesday. Входит в списки трендовых уязвимостей Positive Technologies и R-Vision.

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM

Добавить комментарий

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM. Вебинар назывался достаточно провокационно: "98% уязвимостей можно игнорировать? Как перестать чинить всё подряд и заняться реальными угрозами". Меня формулировки про 2% всегда триггерят. 😤 Я считаю, что фиксить нужно ВСЕ уязвимости (но с разным SLA) и, по возможности, безусловным патчингом.

Но, по правде сказать, на этом вебинаре и НЕ транслировали идею, что 98% уязвимостей можно игнорировать. Скорее, подробно демонстрировали возможности Security Vision VM (я наделал ~100 скринов 🔥) и говорили о необходимости приоритизированного устранения уязвимостей. 👌

Для этого Security Vision представили свою версию Трендовых Уязвимостей. Это уязвимости из CISA KEV ИЛИ с EPSS > 0,5. Всего у них получается ~1500 таких уязвимостей.

Мне, конечно, есть что сказать и про EPSS, и про CISA KEV. 🙄 Но как быстрое решение, как плейсхолдер - почему бы и нет. Это лучше, чем ничего. 👍

По поводу внесения питерской компании Operation Zero и связанных с ней лиц в американский санкционный список

Добавить комментарий

По поводу внесения питерской компании Operation Zero и связанных с ней лиц в американский санкционный список. Имхо, в этой длящейся истории со сливом и продажей восьми американских эксплойтов важно отделять главное от второстепенного. И главное в ней - признание США, что они целенаправленно разрабатывают кибероружие. Их оборонные подрядчики ресёрчат уязвимости и разрабатывают эксплоиты для наступательных киберопераций и кибершпионажа. Угадайте, против кого. 😏

🔻 Уязвимости - это не просто ошибки ПО, которые нужно отнести вендору за баунти/спасибо и CVE-шку. 🤤

🔻 Уязвимости - это стратегически важная информация, требующая внимания и регулирования. ⚔️

Наши заклятые партнёры это хорошо понимают. Не случайно утечку эксплоитов сам министр финансов комментирует. 😉

Хотелось бы, чтобы в России поскорее обратили внимание на трансграничный репортинг уязвимостей и приняли меры для усиления наступательного киберпотенциала страны. 🙏

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies

Добавить комментарий

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies. За прошлый год добавили 66 трендовых уязвимостей (в 2024 было побольше - 74).

🔻 Для 54 уязвимостей (82%) есть признаки эксплуатации в атаках, для 12 (18%) есть публичные эксплойты без признаков эксплуатации. "Потенциальных" уязвимостей нет.

🔻 Большая часть трендовых уязвимостей имеет тип RCE (31, 47%), на втором месте EoP (20, 30%).

🔻 В отечественных коммерческих продуктах было обнаружено 4 трендовые уязвимости (в CommuniGate Pro и TrueConf Server). Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.

🔻 Компания Microsoft остаётся основным "поставщиком" трендовых уязвимостей: 31 уязвимость, 46% от общего количества (в 2024 году было 45%).

➡️ Перечень всех уязвимостей с разбивкой на группы смотрите в посте на Хабре, а подробности по уязвимостям в отчёте Vulristics.

🎞 Также есть видео-версия. 😉

На Хабре вышел пост компании Orion soft про уязвимость побега из песочницы в VMware ESXi (CVE-2025-22225) с моим комментарием

Добавить комментарий

На Хабре вышел пост компании Orion soft про уязвимость побега из песочницы в VMware ESXi (CVE-2025-22225) с моим комментарием. Бюллетень вендора по этой уязвимости вышел 4 марта 2025 г. Для неё сразу были признаки эксплуатации в реальных атаках в составе цепочки ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). В трендовые уязвимости Positive Technologies её добавили 10 марта 2025 г.

👾 Подробности по атакам появились относительно недавно, 7 января 2026 г., в блоге компании Huntress. Среди прочего, они нашли доказательства того, что 0day эксплойт для уязвимости существовал более чем за год до выхода патча.

Ок, но ведь год прошёл, и все уже давно пропатчились? 👀 Беда в том, что Broadcom жёстко ограничивают доступ к обновлениям VMware (особенно для российских компаний). 🛑 О причинах этого хороший пост в блоге Дениса Батранкова. 💰

Как по мне, с "варева" давно уже пора мигрировать на отечественные решения. 😉

Февральский Linux Patch Wednesday

Добавить комментарий

Февральский Linux Patch Wednesday. В феврале Linux вендоры начали устранять 632 уязвимости, в полтора раза меньше, чем в январе. Из них 305 в Linux Kernel. Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Chromium (CVE-2026-2441)
🔻 InfDisc - MongoDB "MongoBleed" (CVE-2025-14847)

Ещё для 56 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - OpenSSL (CVE-2025-15467, CVE-2025-69421, CVE-2025-11187), pgAdmin (CVE-2025-12762, CVE-2025-13780), DiskCache (CVE-2025-69872), PyTorch (CVE-2026-24747), Wheel (CVE-2026-24049)
🔸 AuthBypass - M/Monit (CVE-2020-36968)
🔸 EoP - Grafana (CVE-2025-41115, CVE-2026-21721), M/Monit (CVE-2020-36969)
🔸 AFR - Proxmox Virtual Environment (CVE-2024-21545)
🔸 SFB - Chromium (CVE-2026-1504), Roundcube (CVE-2026-25916)

🗒 Полный отчёт Vulristics

Вот такую информационную карту уязвимостей 2025 года показывал сегодня Алексей Сердечный, начальник отдела ФАУ "ГНИИИ ПТЗИ ФСТЭК России", в рамках своего доклада "Ландшафт актуальных угроз безопасности информации и тенденции их развития" на ТБ Форум

Добавить комментарий

Вот такую информационную карту уязвимостей 2025 года показывал сегодня Алексей Сердечный, начальник отдела ФАУ "ГНИИИ ПТЗИ ФСТЭК России", в рамках своего доклада "Ландшафт актуальных угроз безопасности информации и тенденции их развития" на ТБ Форум. Очень красиво. 👍

🔹 Можно видеть основные "скопления": Аппаратное обеспечение, Windows, Linux/Unix, Прикладное ПО, Beб, Библиотеки (где-то в середине, не подписано).

🔹 Подсвечены кластеры по вендорам и типам уязвимостей. Правда, если присматриваться, есть вопросики. Почему, например, Chrome в Linux/Unix, а не в Прикладном ПО? Или стоит ли выделять COVID19 в отдельный кластер? 🙂

🔹 Показаны уязвимости БДУ ФСТЭК, уязвимости без CVE, непроанализированные уязвимости, уязвимости с эксплоитами и признаками эксплуатации. Были ещё картинки по CWE-шкам, но я не стал их все выкладывать.

Идея для визуализации крутая. 🔥 Если трендовые уязвимости PT на такой карте показывать, около половины окажутся в кластере Windows. 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Темы

Мои коллеги по PT ESC зафиксировали первую фишинговую кампанию с использованием уязвимости Remote Code Execution - Microsoft Office (CVE-2026-21509), направленную на российские организации

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM

По поводу внесения питерской компании Operation Zero и связанных с ней лиц в американский санкционный список

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies

На Хабре вышел пост компании Orion soft про уязвимость побега из песочницы в VMware ESXi (CVE-2025-22225) с моим комментарием

Февральский Linux Patch Wednesday