Архив рубрики: Темы

Выступил сегодня на конференции "INFOSTART TEAMLEAD & CIO EVENT 2025"

Выступил сегодня на конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Очень необычный опыт. 🙂 Вроде родные стены ЦМТ, но при этом вообще никого из знакомых. Народ что-то обсуждает на 1C-ном. Незнакомые названия систем и технологий. Очень интересно, но ничего не понятно. 😅

Территорию ЦМТ тоже использовали оригинально: залы первого этажа отвели под обеденную зону, а на втором этаже сделали большую зону коворкинга. 👨‍💻 Щедро! 👍

Само выступление прошло не без приключений: кликер перестал работать и на небольшой экран-подсказчика выводились сразу 2 полноразмерных слайда (с моим зрением было нечитабельно 😑). Пришлось импровизировать. 😅🕺 Но вышло живенько и в тайминг я уложился. 🙂 После выступления продуктивно пообщался с ребятами 1C-никами про уязвимости, откуда они берутся, о важности обновлений и т.п. Про инциденты посплетничали - куда ж без этого. 😏

В общем, понравилось. 👍 Стоит практиковать такие выходы за пределы ИБ-шной тусовки почаще. 😉

Западные IT/ИБ-вендоры вернутся в Россию?

Добавить комментарий

Западные IT/ИБ-вендоры вернутся в Россию? Имхо, присутствие западных вендоров в России в обозримом будущем вернётся к уровню начала 2022 года. И это базовый сценарий. Просто потому, что непартнёрам такой расклад гораздо выгоднее, т.к. позволяет

🔻 "душить в зародыше" все попытки нашего самостоятельного развития
🔻 распространять в наши инфраструктуры бэкдоры под видом уязвимостей в поставляемых продуктах
🔻 пылесосить специалистов в свои R&D офисы
🔻 неплохо зарабатывать в процессе

Гораздо лучше и эффективнее, чем просто "ограничивать доступ к технологиям", так ведь? 😏 Наверняка новая администрация США это понимает и постарается вернуть всё как было.

Рассчитывать же на то, что российские клиенты САМИ больше не будут покупать продукты западных вендоров, которые один раз их уже кинули, довольно наивно. Разумеется, будут. Вопрос только в фичах и цене. 😉

Февральский Linux Patch Wednesday

Добавить комментарий

Февральский Linux Patch Wednesday. Всего уязвимостей: 561. 338 в Linux Kernel. Формально есть одна уязвимость с признаком эксплуатации вживую: RCE - 7-Zip (CVE-2025-0411). Но она про Windows MoTW и, естественно, не эксплуатируется на Linux.

Для 21 уязвимости есть публичные эксплоиты.

Из них можно выделить 5 уязвимостей системы мониторинга Cacti:

🔸 RCE - Cacti (CVE-2025-24367)
🔸 Command Injection - Cacti (CVE-2025-22604)
🔸 SQLi - Cacti (CVE-2024-54145, CVE-2025-24368)
🔸 Path Traversal - Cacti (CVE-2024-45598)

2 уязвимости OpenSSH, обнаруженные Qualys:

🔸 DoS - OpenSSH (CVE-2025-26466)
🔸 Spoofing/MiTM - OpenSSH (CVE-2025-26465)

Из остальных наиболее интересны:

🔸 RCE - Langchain (CVE-2023-39631), Snapcast (CVE-2023-36177), Checkmk (CVE-2024-13723),
🔸 EoP - Linux Kernel (CVE-2024-50066)
🔸 SQLi - PostgreSQL (CVE-2025-1094)
🔸 XSS - Checkmk (CVE-2024-13722), Thunderbird (CVE-2025-1015)

🗒 Полный отчёт Vulristics

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Добавить комментарий

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно. А что мешает конфигурировать безопасно? 🙂 Имхо, основная причина это отсутствие единого реестра, в котором были бы низкоуровневые рекомендации по настройке различных систем, обоснование от каких атак они защищают и что может отъехать от их применения. 🤔

Для уязвимостей, связанных с ошибками в ПО, эту роль худо-бедно выполняет CVE. У NIST и MITRE была аналогичная штука для безопасных конфигураций - CCE. И аналог CVSS - CCSS. Но они давно заброшены. 🤷‍♂️

Конечно, для многих систем есть Hardening Guides, которые перерабатываются в стандарты, такие как CIS Benchmarks. Есть стандарты американских военных DISA STIGS и SCAP-контент от OpenSCAP. Но всё это фрагментировано и с нестабильным качеством.

➡️ Завтра в 14:00 пройдёт вебинар Positive Technologies, про то, зачем нужен харденинг и как делать его проще с MaxPatrol HCC. 😉

А вы в курсе, чем отличается центр обработки данных (ЦОД) от обычной серверной комнаты? 🙂

Добавить комментарий

А вы в курсе, чем отличается центр обработки данных (ЦОД) от обычной серверной комнаты? 🙂 26 февраля в 11:00 Игорь Дорофеев из Академии Информационных Систем проведёт вебинар "ЦОД: актуальность и горизонты развития". Судя по описанию, нас ждёт ликбез и рассказ о перспективах развития отрасли ЦОДостроительства. Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 😉

А причём же здесь Управление Уязвимостями?

🔻 Неделю назад Гарда опубликовала результаты опроса российских компаний нефтегазового сектора. 30% опрошенных считают именно ЦОД-ы наиболее уязвимыми информационными системами.

🔻 В паблик кейсы с атаками на ЦОД-ы также периодически попадают [1, 2, 3].

Так что вебинар должен быть интересен не только тем, кто ЦОД-ы строит, обслуживает и использует, но и VM-щикам, которым и в этой части инфраструктуры необходимо устранять уязвимости. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте АИС
⏰ 26 февраля в 11:00

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости!

Добавить комментарий

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости! Кейс с CVE-2024-21413, которую в CISA KEV добавили через год после появления эксплоита, отлично демонстрирует специфику CISA KEV. Были ли атаки с использованием этой уязвимости за прошедший год? Разумеется. 🙂 Их не могло не быть, учитывая наличие всех инструментов.

Но дело в том, что CISA абсолютно фиолетово даже на самую очевидную эксплуатабельность. 🤷‍♂️ Им важны ТОЛЬКО сигналы об успешных атаках. Что логично, они "known exploited", а не "exploitable". И эти сигналы должны быть либо от вендора (очевидно не любого, а то бы там одни уязвимости плагинов WordPress были бы 🙂), либо от расследователей атак (также не любых, а признаваемых CISA). Появился сигнал - добавили. А если б не появился, то и не добавили бы.

CISA KEV - очень специфическая выборка из всех эксплуатирующихся уязвимостей, отражающая своеобразное понимание того, какие уязвимости должны исправляться в федеральных агентствах США приоритетно. И только. 😉