Архив рубрики: Уязвимость

Формулируем определение "экспозиции"

Формулируем определение "экспозиции". Оказалось, что западные ИБ-специалисты (а скорее ИБ-маркетологи) на практике совершенно не запариваются какими-то заумными "степенями, вероятностями и уровнями риска", а просто понимают под экспозициями "уязвимости в широком смысле этого слова": от ошибок ПО, мисконфигураций и избыточной сетевой связности до проблем в реализации конкретных ИБ-процессов и управлении ИБ. А собственно под "уязвимостями" понимают только эксплуатируемые ошибки ПО. 🙂

Поэтому, расширяя определение уязвимости из ГОСТа, можем сформулировать:

"Экспозиция (киберэкспозиция) — это слабость технического, операционного или стратегического уровня, которая может быть использована для реализации угроз безопасности информации."

С таким определением "экспозиция" ("exposure") теряет флёр загадочности и становится вполне конкретным "зонтичным" термином для эксплуатабельных проблем ИБ. Это вносит ясность и в то, что такое EM/CTEM-решения, и чем они отличаются от VM-решений. 😉

Про уязвимость Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999)

Добавить комментарий

Про уязвимость Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999). SAP NetWeaver - базовая платформа SAP для запуска приложений и интеграции систем. Уязвимости были найдены в её компоненте Visual Composer - веб-среде для моделирования бизнес-приложений. Отсутствие проверки авторизации (CVE-2025-31324) и небезопасная десериализация (CVE-2025-42999) позволяют неаутентифицированным злоумышленникам добиваться удалённого выполнения кода и захватывать системы, данные и процессы SAP.

🩹 Уязвимости были устранены SAP в апреле и мае 2025 года.

👾 13 мая исследователи Onapsis сообщили, что эксплуатация CVE-2025-31324 началась ещё 10 февраля. Уязвимости добавили в CISA KEV 29 апреля и 15 мая.

🛠 PoC-и эксплоитов для CVE-2025-31324 начали появляться на GitHub с конца апреля. Но публичный боевой эксплойт, использующий ещё и CVE-2025-42999, появился, по сообщению Onapsis, 15 августа.

📊 По оценкам, продукты SAP всё ещё используют около 2000 российских организаций.

Какую альтернативу можно предложить скандальной правке 9^2?

Добавить комментарий

Какую альтернативу можно предложить скандальной правке 9^2? Так, чтобы блокировки нежелательной информации были более рациональны и эффективны. И не мешали развитию российской ИБ-отрасли. 🤔

Если посмотреть ст 15.1 149-ФЗ о реестре блокировок, там часть пунктов с описанием типов запрещённой информации сформулирована кратко, а часть отсылает к другим ФЗ: "информации, нарушающей требования Федерального закона название>"

Как по мне, с такой сложной и критичной темой как кибербезопасность следует поступить аналогично. Не формулировать, что является запрещённой информацией в этой области в паре предложений, а взять тайм-аут и подойти к делу основательно через разработку нового ФЗ "О кибербезопасности". В котором, среди прочего, можно было бы ввести регуляции по:

🔻 Исследованию безопасности продуктов и багбаунти.
🔻 Централизованному репортингу уязвимостей в продуктах вендоров из недружественных стран.
🔻 Отнесению некоторой "кибербез"-информации в категорию запрещённой.

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

Добавить комментарий

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177). Это продолжение истории про Memory Corruption/RCE - ImageIO (CVE-2025-43300).

🧩 29 августа Meta (признана экстремистской организацией в России) предупредила часть пользователей WhatsApp о возможной компрометации их устройств. 🎯 0day уязвимость в WhatsApp для iOS и Mac (CVE-2025-55177) позволяла злодеям инициировать обработку контента из произвольного URL-а из-за "неполной авторизации сообщений синхронизации связанных устройств". Затем они эксплуатировали знакомую RCE при обработке DNG файлов (CVE-2025-43300).

Злоумышленники наверняка найдут и другие способы доставки зловрденых DNG-шек. 😉

И что же делать? Кроме перехода на MAX и Аврору. 😉

♻️ своевременно обновлять приложения и ОС

🛡 использовать iOS Lockdown Mode / Android Advanced Protection Mode

🔄 при подозрении на компрометацию сбрасывать устройство к заводским настройкам

Августовский Linux Patch Wednesday

Добавить комментарий

Августовский Linux Patch Wednesday. Я припозднился с этим LPW, т.к. улучшал генерацию списков LPW-бюллетеней и работу Vulristics. 🙂 В августе Linux вендоры начали устранять 867 уязвимостей, почти в 2 раза больше, чем в июле. Из них 455 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 SFB - Chromium (CVE-2025-6558) - эксплуатируемая SFB в Chromium уже четвёртый месяц подряд. 🙄

Для 72 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - WordPress (CVE-2024-31211) - прошлогодняя, но в Debian пофиксили недавно; Kubernetes (CVE-2025-53547), NVIDIA Container Toolkit (CVE-2025-23266), Kafka (CVE-2025-27819)
🔸 Command Injection - Kubernetes (CVE-2024-7646)
🔸 Code Injection - PostgreSQL (CVE-2025-8714/8715), Kafka (CVE-2025-27817)
🔸 Arbitrary File Writing - 7-Zip (CVE-2025-55188)

🗒 Полный отчёт Vulristics

Посмотрел предлагаемые правки к статье 15.1 149-ФЗ о "реестре блокировок" в рамках второго пакета мер по борьбе с кибермошенниками

Добавить комментарий

Посмотрел предлагаемые правки к статье 15.1 149-ФЗ о "реестре блокировок" в рамках второго пакета мер по борьбе с кибермошенниками. Соглашусь с коллегами, с настолько широкой формулировкой выглядит так себе.

В первую очередь, конечно, под удар попадают российские ресёрчеры. Более-менее полное описание уязвимости и способа эксплуатации подпадает под первую часть формулировки. Но ресёрчерам и не привыкать. Они и так под 273 УК РФ ходят. Теперь им ещё и сайты поблочат. Видимо чтобы они окончательно поняли, что в России им не рады и нужно уезжать работать на запад. 🙄

Вторая часть ещё интереснее. Что значит информация "позволяющая получить доступ" к ПО/эксплоитам? Только прямая ссылка? А фраза "эксплойт есть на GitHub"? А фраза "Наличие эксплойта: Существует" в описании уязвимости на БДУ ФСТЭК? А указание CVE-идентификатора, по которому можно эксплойт найти? 🤪

Я не знаю как помогут эти правки бороться с кибермошенниками, но киберпотенциал страны они точно подорвут. 🤷‍♂️

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность

Добавить комментарий

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность.

Вчера разработчики из компании VulnCheck показали прототип плагина для Chrome/Chromium, который подсвечивает CVE-идентификаторы на сайте и при наведении на них показывает окошко с информацией по уязвимости. Наиболее важная информация - входит ли уязвимость в VulnCheck KEV (расширенный аналог CISA KEV). ⚡️

Ребята из Vulners увидели эту новость, идея им понравилась и они буквально за день реализовали свой аналог. 👨‍💻 Также подсвечиваются CVE-шки и при наведении отображаются актуальные параметры: описание, наличие признаков эксплуатации вживую и публичных эксплоитов. По клику можно перейти на сайт Vulners, чтобы изучить эти эксплоиты и признаки эксплуатации. 😉🚀

Wow-эффект присутствует! 🤯🙂👍 Новости, бюллетени регуляторов, ТОП-ы уязвимостей, блоги начинают играть новыми красками. 🎨 Очень прикольно! 😎 И бесплатно! 🆓

Vulners Lookup доступен в магазине плагинов Google. 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Уязвимость

Формулируем определение "экспозиции"

Про уязвимость Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999)

Какую альтернативу можно предложить скандальной правке 9^2?

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

Августовский Linux Patch Wednesday

Посмотрел предлагаемые правки к статье 15.1 149-ФЗ о "реестре блокировок" в рамках второго пакета мер по борьбе с кибермошенниками

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность