Архив рубрики: Уязвимость

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России.

🔹 В 13:02 в канале вышло загадочное сообщение о взломе аккаунта (на иллюстрации). Похожие сообщения частенько размещают злоумышленники, которым удалось полностью скомпрометировать инфраструктуру организации.

🔹 Через 4 минуты, в 13:06, вышло второе сообщение, из которого стало ясно, что это подводка к awareness-комиксу Positive Technologies. По сюжету злобное привидение пытается проэксплуатировать уязвимость MyQ Print Server, вероятнее всего RCE без аутентификации CVE-2024-28059. Но у него ничего не получилось, так как уязвимость уже была выявлена с помощью MaxPatrol VM и устранена. 🙂

Вот такое эффектное широковещательное сообщение о пользе Vulnerability Management-а. PR-щикам Минэкономразвития респект за смелость! 🔥

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703)

Добавить комментарий

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703). Control Web Panel (CWP) - это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).

💡 Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod. 🤷‍♂️ Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP. 😏

⚙️ Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.

🛠 Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.

👾 4 ноября уязвимость добавили в CISA KEV.

🌐 Shodan видит в Интернете около 220 000 инсталляций CWP.

Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России

Добавить комментарий

Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России. 👏 В первую очередь, конечно, у WhatsApp, принадлежащего экстремистской компании Meta. Доступ не блокируется одномоментно, чтобы не вызвать волну активного возмущения и распространение незаконной информации, снижающей эффективность фильтрации. 🤫 Вместо этого у западных сервисов постепенно деградирует функциональность. ⏳🤷‍♂️ Всё хуже работает голосовая связь, не приходят SMS, начались проблемы с фото и видео. Сервисы вроде работают, но с каждым днём становятся более "бесячими". 😏 Это мотивирует пользователей постепенно переходить на полнофункциональные альтернативы. В основном, конечно, в MAX. Очень жду, когда домовые, школьные и прочие чаты окончательно туда переедут. 🙏

Убеждён, что в РКН работают профессионалы, которые ведут Рунет в правильном направлении. Их нужно в этом поддерживать и посильно помогать. В том числе и по нашей части - в работе с перечнем уязвимостей. 😉

Как решать VM-ные задачи, когда организация состоит из нескольких юрлиц с общей IT-инфраструктурой?

Добавить комментарий

Как решать VM-ные задачи, когда организация состоит из нескольких юрлиц с общей IT-инфраструктурой? При этом VM-щик числится в одном юрлице, а IT-шники в другом ("внутреннем IT-интеграторе" или приобретённой дочерней компании). Ведь тогда IT-шникам гораздо проще препятствовать контролю своих активов со стороны VM-щика.

VM-щику следует начать с вопроса: "Кто я такой? Какая конкретная инфраструктура находится в моей зоне ответственности?" и формально подтвердить это у общего руководства организации.

🔹 Если есть мандат на контроль всей инфраструктуры, будьте любезны, товарищи IT-шники (независимо от юрлица), подчиняться общим требованиям по учёту активов и предоставлению к ним доступа для детектирования уязвимостей. 🥕

🔹 А если мандата нет, во всех коммуникациях следует подчёркивать, какая часть организации контролируется, а где контроля нет и где, скорее всего, самое адище. 🔥😈 Эти формальные свидетельства помогут вам, когда организацию подломят через неподконтрольную часть инфры. 😉

Про уязвимость SQL Injection - Django (CVE-2025-64459)

Добавить комментарий

Про уязвимость SQL Injection - Django (CVE-2025-64459). Django - это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.

🛠 6 ноября для уязвимости появился публичный эксплойт.

👾 Информации об эксплуатации в атаках пока нет.

🌐 По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.

Были сегодня в Оружейной палате Московского Кремля на детской экскурсии "Здесь не счесть сокровищ царских"

Добавить комментарий

Были сегодня в Оружейной палате Московского Кремля на детской экскурсии "Здесь не счесть сокровищ царских". Кремль, конечно, абсолютно сакральное место. Во всём торжественность, строгость и мощь. 😇 Работа службы охраны, даже судя по малой видимой части, образцовая. 👍 Чувствуется, что находишься рядом с центром управления региональной сверхдержавой. 🚀

🔹 Из экспонатов Оружейной палаты (фотографировать там запрещено, фотки из рувики и официального сайта) мне больше всего понравился костяной трон. Его называют троном Ивана Грозного, но вероятнее, что он принадлежал Михаилу Романову.

🔹 Также понравилась история рязанского клада, который был скрыт в земле при нападении хана Батыя в 1238 году, был найден крестьянами Устином Ефимовым (с сыном) и Яковом Петровым в 1822 году. Клад они не утаили, а передали официальным лицам, за что получили 10 000 р. серебром (корова стоила от 5 до 20 р.). Не могу не провести здесь параллель с централизованным репортингом уязвимостей. 😉

Ноябрьский Linux Patch Wednesday

Добавить комментарий

Ноябрьский Linux Patch Wednesday. В ноябре Linux вендоры начали устранять 516 уязвимостей, в полтора раза меньше, чем в октябре. Из них 232 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:

🔻 MemCor - Chromium (CVE-2025-13223). В CISA KEV с 19 ноября.

Ещё для 64 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Samba (CVE-2025-10230), Apache Tomcat (CVE-2025-55752), NVIDIA Container Toolkit (CVE-2024-0132, CVE-2025-23359), Lasso (CVE-2025-47151), QuickJS (CVE-2025-62494), Keras (CVE-2025-9905)
🔸 SQLi - Django (CVE-2025-64459)
🔸 InfDisc - Webmin (CVE-2024-44762), Squid (CVE-2025-62168), BIND (CVE-2025-31133), QuickJS (CVE-2025-62492, CVE-2025-62493)
🔸 SFB - BIND (CVE-2025-40778)
🔸 AuthBypass - Webmin (CVE-2025-61541)
🔸 MemCor - Suricata (CVE-2025-59150)

🗒 Полный отчёт Vulristics

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Уязвимость

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703)

Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России

Как решать VM-ные задачи, когда организация состоит из нескольких юрлиц с общей IT-инфраструктурой?

Про уязвимость SQL Injection - Django (CVE-2025-64459)

Были сегодня в Оружейной палате Московского Кремля на детской экскурсии "Здесь не счесть сокровищ царских"

Ноябрьский Linux Patch Wednesday