Архив рубрики: Уязвимость

Про уязвимость Elevation of Privilege - Linux Kernel (CVE-2025-38001)

Добавить комментарий

Про уязвимость Elevation of Privilege - Linux Kernel (CVE-2025-38001)

Про уязвимость Elevation of Privilege - Linux Kernel (CVE-2025-38001). Уязвимость в модуле сетевого планировщика Linux HFSC. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику повысить привилегии до root-а.

⚙️ Уязвимость из июньского Linux Patch Wednesday. В отчёте Vulristics эта уязвимость ничем не отличалась от ещё 354 уязвимостей Linux Kernel: пространное описание в NVD, из которого никак не следует, к чему именно может привести эксплуатация уязвимости; отсутствие CVSS вектора. Классика. 🙄

🛠 Примерно через месяц после появления обновлений в Linux-дистрибутивах, 11 июля, вышел write-up по этой уязвимости и публичный эксплойт. На демонстрационном видео локальный атакующий скачивает и запускает бинарный файл, после чего получает root-овый шелл и читает содержимое /etc/shadow. На профильных ресурсах появление этого эксплоита осталось практически незамеченным. 🤷‍♂️

👾 Сведений об эксплуатации уязвимости в реальных атаках пока нет.

Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями

Добавить комментарий

Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями

Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями.

🟥 Advanced Vulnerability Assessment - качественное детектирование уязвимостей с планировщиком сканов, дифф-отчётами, информативными how to fix-ами. Здесь будет новый продукт.

🟥 Risk-Based Vulnerability Management - организация процесса управления уязвимостями и мисконфигурациями с учётом полной информации об уязвимостях и активах. Это MaxPatrol VM и модуль MaxPatrol HCC.

🟥 Threat Exposure Management - продвинутая приоритизация проблем безопасности (не только технических уязвимостей, а экспозиций разного уровня ❗️) через построение потенциальных путей атак. Это MaxPatrol Carbon.

Про уязвимость Remote Code Execution - Redis "RediShell" (CVE-2025-49844)

Добавить комментарий

Про уязвимость Remote Code Execution - Redis RediShell (CVE-2025-49844)

Про уязвимость Remote Code Execution - Redis "RediShell" (CVE-2025-49844). Redis - это популярная резидентная (in-memory) база данных типа «ключ–значение» с открытым исходным кодом, используемая как распределённый кэш и брокер сообщений, с возможностью долговременного хранения данных. Уязвимость позволяет удалённому аутентифицированному злоумышленнику выполнить произвольный код при помощи специально подготовленного Lua-скрипта. Требование "аутентифицированности" не снижает критичность, так как аутентификация в Redis по умолчанию отключена и часто не используется. 🤷‍♂️

⚙️ Уязвимость была обнаружена исследователями Wiz и представлена на Pwn2Own Berlin в мае этого года, была исправлена 3 октября (в версии 8.2.2).

🛠 С 7 октября для уязвимости доступен публичный эксплойт на GitHub.

👾 Сообщений об атаках пока нет.

🌐 На 7 октября в Интернет было доступно 330 000 экземпляров Redis, из них 60 000 без аутентификации.

Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990)

Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990). Уязвимость из октябрьского Microsoft Patch Tuesday. Agere Modem Driver (ltmdm64.sys) - это программный компонент, который позволяет компьютеру взаимодействовать с модемом Agere (или LSI) для коммутируемого (dial-up) или факсимильного соединения. 📠🙄 Несмотря на сомнительную практическую полезность, драйвер продолжал поставляться в составе операционных систем Windows. Локальный злоумышленник, успешно воспользовавшийся уязвимостью в этом драйвере, может получить права администратора.

⚙️ Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.

🛠 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. 🤷‍♂️

👾 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.

Выявление признаков компрометации как часть EASM-сервиса

Добавить комментарий

Выявление признаков компрометации как часть EASM-сервиса

Выявление признаков компрометации как часть EASM-сервиса. На прошлой неделе меня зацепила новость про новую фичу "Compromise Assessment" в CICADA8 ETM.

"При обнаружении критических уязвимостей на внешнем контуре CICADA8 ETM предоставляет компаниям возможность проверки до 3 хостов на наличие признаков компрометации."

Разработчики CICADA8 рассказали мне, что процесс полуавтоматический:

🔹 EASM-сканер выявляет эксплуатируемую уязвимость на периметре организации.
🔹 Заказчик запускает скрипт на уязвимом сервере для сбора инвентаризации, логов и IOC-ов, а затем отдаёт результаты в CICADA8.
🔹 Форензик-специалисты CICADA8 делают выводы о наличии признаков компрометации.

Имхо, это must-have функциональность для EASM-решений! 👍 Учитывая непрерывную активность злоумышленников по поиску возможных точек входа, если на периметре несколько часов торчит актив с критичной эксплуатируемой уязвимостью, речь уже не идёт о том, что вас МОГУТ сломать - скорее всего, вас УЖЕ сломали. 😉

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2025-27915)

Добавить комментарий

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2025-27915)

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2025-27915). Zimbra Collaboration - это пакет программного обеспечения для совместной работы, некоторый аналог Microsoft Exchange. Эксплуатация уязвимости в почтовом веб-клиенте (Classic Web Client) позволяет неаутентифицированному злоумышленнику выполнить произвольный JavaScript в контексте сеанса жертвы. Для этого злоумышленнику достаточно отправить письмо со специально сформированным ICS-файлом (календарь iCalendar). Полезная нагрузка активируется при просмотре сообщения в веб-интерфейсе.

⚙️ Уязвимость была исправлена 27 января в версиях 9.0.0 Patch 44, 10.0.13, 10.1.5, а также в неофициальной бесплатной сборке Zimbra Foss from Maldua.

🛠 30 сентября StrikeReady Labs опубликовали исследование уязвимости и публичный эксплоит.

👾 Также StrikeReady Labs сообщили об эксплуатации уязвимости в атаке на бразильскую военную организацию в январе, до выхода патча. 7 октября уязвимость добавили в CISA KEV.

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров

Добавить комментарий

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров. У них также могут слить незакрытые задачи на устранение уязвимостей и исходный код, что приведёт к массовой эксплуатации 0day уязвимостей. 😱 Как снизить такие риски? 🙂

Имхо, государству стоит определить вендоров, наиболее интересных злоумышленникам - прежде всего разработчиков решений, доступных из Интернет: систем удалённого доступа, CMS, CRM, e-learning, почты, мессенджеров и т.п.

Помимо повышенных требований к этим "периметровым" продуктам (отсутствие НДВ), необходимо ужесточить требования к вендорам:

🔻 Их инфраструктура должна соответствовать современным требованиям ИБ (хотя бы в объёме 117 приказа ФСТЭК).
🔻 Они обязаны отвечать за уязвимости и их сокрытие, а данные об уязвимостях должны быть доступны для изучения.
🔻 Их продукты должны быть выставлены на багбаунти.

Кто не тянет - тем не место в "импортозамещательных" реестрах. 😉