Архив рубрики: Уязвимость

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)

Добавить комментарий

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). TrueConf Server - популярный российский корпоративный мессенджер и ВКС-система. Цепочка критических уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым:

🔻 Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа и позволяет злоумышленнику делать запросы к некоторым административным эндпоинтам без проверки прав и аутентификации.

🔻 Уязвимость BDU:2025-10115 позволяет злоумышленнику осуществить чтение произвольных файлов в системе.

🔻 Самая критичная - BDU:2025-10116 позволяет потенциальному злоумышленнику внедрить и выполнить произвольные команды ОС.

⚙️ Обновления безопасности вышли 27 августа 2025 года.

👾🛠 Признаков эксплуатации вживую и публичных эксплоитов пока нет.

🌐 По данным Positive Technologies, только в России насчитывается более 7000 инсталляций TrueConf Server.

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО

Добавить комментарий

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО. Давненько у меня не было такого волнительного начала сентября. Во-первых, доченька пошла в первый класс. 💐😇 Во-вторых, в этом учебном году стартует моя давняя задумка - семестровый университетский курс по Vulnerability Management. 🚀

VM-курс читается в рамках онлайн-магистратуры ИТМО "Кибербезопасность" - совместный проект с Positive Technologies. 🎓 Магистратура полноценная: 2 года обучения, диплом гособразца, очная форма, отсрочка.

В VM-курсе 6 лекций:

1️⃣ Уязвимости и их описание ✳️
2️⃣ Автоматизированное детектирование известных уязвимостей ✳️
3️⃣ Управление активами
4️⃣ Процесс VM в терминах РКБ
5️⃣ Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками ✳️
6️⃣ Практическая реализация процессов

Лекции со звёздочкой ✳️ читаю я, а остальные Олег Кочетов. Также будут практические и лабораторные работы. 👨‍💻😉

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-55188)

Добавить комментарий

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-55188)

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-55188). 7-Zip - популярный архиватор с открытым исходным кодом. Это Windows-приложение, но в рамках проекта предоставляются также консольные версии под Linux и macOS. Суть уязвимости: 7-Zip некорректно обрабатывает символьные ссылки и поэтому при извлечении специально подготовленного архива может перезаписывать произвольные файлы вне каталога распаковки. Похоже на WinRAR, да? 😉

🔻 В основном это эксплуатируется в Linux. Злоумышленники могут перезаписывать SSH-ключи, автозапускаемые скрипты и т.д.

🔻 Эксплуатация возможна и в Windows, но процесс распаковки 7-Zip должен иметь право создавать симлинки (требуется запуск от администратора или Developer Mode). 🤔

🩹 Уязвимость устранена в 7-Zip 25.01, вышедшем 3 августа.

🛠 9 августа исследователь lunbun разослал сообщение с описанием уязвимости, а 28 августа выложил write-up. PoC-и эксплоитов доступны на GitHub с 11 августа.

👾 Признаков эксплуатации вживую пока нет.

Технические, операционные и стратегические экспозиции

Добавить комментарий

Технические, операционные и стратегические экспозиции

Технические, операционные и стратегические экспозиции. Из определения следует, что экспозиции могут быть разного уровня и типа:

🛠 Технические: необновлённое ПО с известными уязвимостями, уязвимые самописные приложения, небезопасные протоколы, слабые пароли, мисконфигурации, открытые порты, излишняя сетевая связность, нешифрованные данные.

⚙️ Операционные: недостаточный мониторинг, слабый контроль доступа, неразвитые процедуры реагирования на инциденты, неполные планы восстановления, редкий пентест, хаотичная документация.

🎯 Стратегические: недооценка рисков, устаревшие политики, пробелы в комплаенсе, нехватка ресурсов, недостаток обучения персонала, риски от подрядчиков или облачных сервисов.

Любую атаку можно разложить на последовательность эксплуатации экспозиций. А экспозиции разного уровня можно мапить друг на друга.

Например, пробив периметра через известную уязвимость: 🛠 RCE в сервисе на периметре → ⚙️ нет работающего процесса контроля периметра → 🎯 не закуплен EASM. 😉

Формулируем определение "экспозиции"

Добавить комментарий

Формулируем определение экспозиции

Формулируем определение "экспозиции". Оказалось, что западные ИБ-специалисты (а скорее ИБ-маркетологи) на практике совершенно не запариваются какими-то заумными "степенями, вероятностями и уровнями риска", а просто понимают под экспозициями "уязвимости в широком смысле этого слова": от ошибок ПО, мисконфигураций и избыточной сетевой связности до проблем в реализации конкретных ИБ-процессов и управлении ИБ. А собственно под "уязвимостями" понимают только эксплуатируемые ошибки ПО. 🙂

Поэтому, расширяя определение уязвимости из ГОСТа, можем сформулировать:

"Экспозиция (киберэкспозиция) — это слабость технического, операционного или стратегического уровня, которая может быть использована для реализации угроз безопасности информации."

С таким определением "экспозиция" ("exposure") теряет флёр загадочности и становится вполне конкретным "зонтичным" термином для эксплуатабельных проблем ИБ. Это вносит ясность и в то, что такое EM/CTEM-решения, и чем они отличаются от VM-решений. 😉

Про уязвимость Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999)

Добавить комментарий

Про уязвимость Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999)

Про уязвимость Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999). SAP NetWeaver - базовая платформа SAP для запуска приложений и интеграции систем. Уязвимости были найдены в её компоненте Visual Composer - веб-среде для моделирования бизнес-приложений. Отсутствие проверки авторизации (CVE-2025-31324) и небезопасная десериализация (CVE-2025-42999) позволяют неаутентифицированным злоумышленникам добиваться удалённого выполнения кода и захватывать системы, данные и процессы SAP.

🩹 Уязвимости были устранены SAP в апреле и мае 2025 года.

👾 13 мая исследователи Onapsis сообщили, что эксплуатация CVE-2025-31324 началась ещё 10 февраля. Уязвимости добавили в CISA KEV 29 апреля и 15 мая.

🛠 PoC-и эксплоитов для CVE-2025-31324 начали появляться на GitHub с конца апреля. Но публичный боевой эксплойт, использующий ещё и CVE-2025-42999, появился, по сообщению Onapsis, 15 августа.

📊 По оценкам, продукты SAP всё ещё используют около 2000 российских организаций.

Какую альтернативу можно предложить скандальной правке 9^2?

Добавить комментарий

Какую альтернативу можно предложить скандальной правке 9^2?

Какую альтернативу можно предложить скандальной правке 9^2? Так, чтобы блокировки нежелательной информации были более рациональны и эффективны. И не мешали развитию российской ИБ-отрасли. 🤔

Если посмотреть ст 15.1 149-ФЗ о реестре блокировок, там часть пунктов с описанием типов запрещённой информации сформулирована кратко, а часть отсылает к другим ФЗ: "информации, нарушающей требования Федерального закона название>"

Как по мне, с такой сложной и критичной темой как кибербезопасность следует поступить аналогично. Не формулировать, что является запрещённой информацией в этой области в паре предложений, а взять тайм-аут и подойти к делу основательно через разработку нового ФЗ "О кибербезопасности". В котором, среди прочего, можно было бы ввести регуляции по:

🔻 Исследованию безопасности продуктов и багбаунти.
🔻 Централизованному репортингу уязвимостей в продуктах вендоров из недружественных стран.
🔻 Отнесению некоторой "кибербез"-информации в категорию запрещённой.