Архив рубрики: Уязвимость

Андрей Дугин прочитал мою VM-ную сказку про Снежную Королеву и спрашивает читателей, случалось ли им переобуваться, переходя на другую сторону процесса

Добавить комментарий

Андрей Дугин прочитал мою VM-ную сказку про Снежную Королеву и спрашивает читателей, случалось ли им переобуваться, переходя на другую сторону процесса

Андрей Дугин прочитал мою VM-ную сказку про Снежную Королеву и спрашивает читателей, случалось ли им переобуваться, переходя на другую сторону процесса. У меня не случалось. 🤷‍♂️ Но я на другую сторону процесса не переходил, мне даже не предлагали. 😅

Реально ли меня захайрить, чтобы я начал топить за ультра-IT-шное: "патчить внутрянку не нужно, у нас закрытый сегмент, сначала докажите эксплуатабельность, подготовьте данные, возьмите на себя ответственность за возможные сбои" и прочее-прочее? 😈 При определённых обстоятельствах - вполне. 😏 Соблазн может оказаться велик, человек слаб, а семью нужно содержать. Но я даже в этой роли постарался бы не стопорить VM-процесс, а выступать конструктивным оппонентом.

К людям, которые резко меняют риторику при смене роли, я, как правило, претензий не имею. Люди в рабочей среде склонны вести себя в соответствии с устоявшимися практиками. Поэтому эффективнее не с людьми бодаться, а менять практики. Желательно сверху. А люди подстроятся. 😉

Сегодня ходили на "Снежную Королеву" в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации

Добавить комментарий

Сегодня ходили на Снежную Королеву в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации

Сегодня ходили на "Снежную Королеву" в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации. 🙂

🔹 Кай и Герда драйвят VM в отделе инфраструктурной безопасности. Всё складывается успешно, пока CTO (Снежная Королева) не переманивает Кая курировать устранение уязвимостей со стороны IT. Кай "ловит звезду" и превращается в недоговороспособного чудака, напрочь стопорящего VM-процесс. Герда пытается разрулить ситуацию.

🔹 Совещание Герды с CISO и CIO (Принц и Принцесса) проходит отлично: накинули ресурсов и увеличили бюджет. 🤩 А вот CFO (Разбойник) не проникся - бюджет срезают. 😢 Но получается задружиться с ERP-инженером (Северный Олень).

🔹 И вот после проникновенного выступления Герды на совместном совещании Кай осознаёт неправоту и становится таким, каким и был… Лол, конечно нет. 😅 Максимум получается выработать договорённости, чтобы криво-косо перезапустить VM-процесс. 👍🙏

+- Happy End! 😏

Итоговое количество CVE уязвимостей, которые были добавлены в 2025 году - 48185

Добавить комментарий

Итоговое количество CVE уязвимостей, которые были добавлены в 2025 году - 48185

Итоговое количество CVE уязвимостей, которые были добавлены в 2025 году - 48185. Об этом пишет Jerry Gamblin, разработчик CVE.icu, и я ему доверяю. 👌

Здесь возникает соблазн сказать, что этот набор CVEшек является каким-то осмысленным. Например, что это ВСЕ уязвимости, которые были обнаружены за прошлый год. А далее схватиться за голову: "Ах, как много!" 😱 И начать продвигать идеи, что их все невозможно устранять безусловным патчингом, необходимо выделять и патчить ТОЛЬКО самые критичные ИЗ НИХ. А в этом вам помогут наши решения… СТОП!

Беда в том, что это НЕ все уязвимости, найденные за прошлый год. Это уязвимости, заведённые некоторым клубом CNA организаций. Огромная разница! Почему именно эти организации в клубе? Почему одни заводят очень много CVEшек, а другие ничего? Как эти CVEшки соотносятся с инфраструктурой конкретной организации в локации X?

Нам до необходимого описания ВСЕХ уязвимостей, как до луны пёхом. А 48185? Просто цифирь. 😉

Залил видеозапись своего выступления на ежегодной пресс-конференции Positive Technologies, которая прошла 11 декабря под названием "Анатомия цифровых бурь"

Добавить комментарий

Залил видеозапись своего выступления на ежегодной пресс-конференции Positive Technologies, которая прошла 11 декабря под названием "Анатомия цифровых бурь". Я кратко рассказал, что такое трендовые уязвимости и зачем нужно их выделять, охарактеризовал трендовые уязвимости 2025 года, поругал Microsoft, подсветил уязвимости в отечественных продуктах и что с этим всем делать (развивать VM-процесс в организациях 🙂).

Также ответил на вопрос, является ли отечественное ПО более безопасным и надёжным. ИМХО, продукты отечественных вендоров вряд ли будут безопаснее западных, но переходить на них всё равно стоит. 😉

Логика здесь следующая. Чем меньше популярных западных продуктов будет использоваться в России, тем меньше российские организации будут страдать от массовой (в общемировом масштабе) эксплуатации критических уязвимостей в них. ⬇️👍 В первую очередь это касается продуктов Microsoft и западных сетевых устройств (Cisco, Fortinet, Palo Alto).

Да, конечно, от таргетированных атак отказ от этих продуктов полностью не защитит. При необходимости злодеи любые российские продукты расковыряют, уязвимости найдут, эксплоиты напишут и в малвари свои встроят. НО в том-то и дело, что для таких таргетированных атак потребуется инструментарий, разработанный специально для компрометации российских организаций и нигде больше не применимый, что сделает атаки гораздо сложнее и дороже, а значит, их будут проводить гораздо реже. 😉👍

Закончу серию постов про итоги года коротким видео-поздравлением с Котусника Код ИБ, прошедшего на прошлой неделе

Добавить комментарий

Закончу серию постов про итоги года коротким видео-поздравлением с Котусника Код ИБ, прошедшего на прошлой неделе. В нём я общаюсь с Ольгой Поздняк и Дмитрием Борощуком: рассказываю, каким для меня был 2025 год, чего жду от 2026 года, желаю российским компаниям беспроблемного устранения уязвимостей, подсвечиваю две самые интересные уязвимости 2025 года и рассказываю про свой телеграм-канал.

Всех ещё раз поздравляю с наступающим и перемещаюсь к праздничному столу. 😉🍽🎄🎁 До встречи в новом году!

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru

Добавить комментарий

Кстати, мой комментарий по MongoBleed (CVE-2025-14847) вышел в понедельник в Газета.Ru

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇

Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.

Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:

"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."

Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.

Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847)

Добавить комментарий

Information Disclosure - MongoDB MongoBleed (CVE-2025-14847)

Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847). MongoDB - это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым - к чувствительным данным (учёткам, ключам, данным клиентов и т.д.).

⚙️ "Критические обновления" были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.

🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплоита, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.

🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k в России.