Архив рубрики: Уязвимость

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)

Добавить комментарий

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182). Злоумышленник может отправить электронное письмо в формате HTML со зловредным JavaScript-кодом в теге img. Если пользователь откроет письмо в веб-интерфейсе почтового сервера MDaemon, зловредный JavaScript-код выполнится в контексте окна веб-браузера. Это позволяет злоумышленнику украсть учётные данные, обойти 2FA, получить доступ к контактам и почтовым сообщениям.

1 ноября 2024 года исследователи компании ESET обнаружили эксплуатацию уязвимости в реальных атаках. Они связали эксплуатацию этой, а также нескольких других уязвимостей в веб-интерфейсах почтовых серверов (Roundcube: CVE‑2023‑43770, CVE-2020-35730; Zimbra: CVE-2024-27443; Horde) в общую операцию "RoundPress".

Версия MDaemon 24.5.1, устраняющая уязвимость, вышла 14 ноября 2024 года. Однако информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷‍♂️ С 19 мая уязвимость в CISA KEV.

Метафора ПВО

Добавить комментарий

Метафора ПВО

Метафора ПВО. Мне из вчерашнего выступления Дениса Баранова на встрече с президентом понравилось сравнение систем кибербезопасности и систем ПВО. Сравнение многоуровневое:

🔹 Это и про определяющую важность функциональных возможностей решения, проверенных в ситуации реального конфликта. Как Денис сказал: "Вы какую систему себе купили бы? Ту, у которой буклетик покрасивее с листовочкой, или ту систему, которая выстояла под валом атак?"

🔹 Это и про специфику работы. Необходим постоянный R&D, чтобы детектировать и нейтрализовывать всё новые типы атак и уязвимостей.

🔹 Это и про то, что средства кибербезопасности, как и ПВО, должны, в идеале, разрабатываться в своей стране (или хотя бы в дружественной). Поставленная французами система ПВО QARI не сильно помогла Ираку во время "Бури в пустыне". 🤷‍♂️

В текущей непростой ситуации, когда работа и важность ПВО ежедневно и наглядно видна, такое сравнение понятно даже людям далёким от IT.

Уязвимости западной логистики

Добавить комментарий

Уязвимости западной логистики

Уязвимости западной логистики. 21 мая западные спецслужбы выпустили совместный advisory AA25-141A об атаках на инфраструктуру логистических и технологических компаний. Также западных. 🙂 Помимо привычных Five Eyes в авторах advisory значатся спецслужбы 7 стран: Германии, Чехии, Польши, Дании, Эстонии, Франции, Нидерландов.

В документе упоминается эксплуатация уязвимостей:

🔻 Remote Code Execution - WinRAR (CVE-2023-38831)
🔻 Elevation of Privilege - Microsoft Outlook (CVE-2023-23397)
🔻 Remote Code Execution - Roundcube (CVE-2020-12641)
🔻 Code Injection - Roundcube (CVE-2021-44026)
🔻 Cross Site Scripting - Roundcube (CVE-2020-35730)

Для каждой уязвимости уже ГОДЫ как есть патчи, эксплоиты и признаки эксплуатации вживую. 🤦‍♂️🤷‍♂️

🗒 Отчёт Vulristics

Майский Linux Patch Wednesday

Добавить комментарий

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday. В этот раз уязвимостей много - 1091. Из них 716 в Linux Kernel. 🤯 Для 5 уязвимостей есть признаки эксплуатации вживую:

🔻 RCE - PHP CSS Parser (CVE-2020-13756). В AttackerKB, есть эксплойт.
🔻 DoS - Apache ActiveMQ (CVE-2025-27533). В AttackerKB, есть эксплойт.
🔻 SFB - Chromium (CVE-2025-4664). В CISA KEV.
🔻 PathTrav - buildkit (CVE-2024-23652) и MemCor - buildkit (CVE-2024-23651). В БДУ ФСТЭК.

Ещё для 52 (❗️) есть признаки наличия публичного эксплоита. Из них можно выделить 2 трендовые уязвимости, о которых я уже писал ранее:

🔸 RCE - Kubernetes "IngressNightmare" (CVE-2025-1974 и 4 других)
🔸 RCE - Erlang/OTP (CVE-2025-32433)

Также интересны эксплоиты для:

🔸 EoP - Linux Kernel (CVE-2023-53033)
🔸 XSS - Horde IMP (CVE-2025-30349)
🔸 PathTrav - tar-fs (CVE-2024-12905)
🔸 SFB - kitty (CVE-2025-43929)
🔸 DoS - libxml2 (CVE-2025-32414)

🗒 Полный отчёт Vulristics

Про недоисследованные уязвимости

Добавить комментарий

Про недоисследованные уязвимости

Про недоисследованные уязвимости. Перед завтрашним выступлением на PHDays на тему приоритизации уязвимостей напомню, почему устранять следует ВСЕ уязвимости, а не только "критичные".

🔹 Для небольшого количества уязвимостей мы точно знаем, что они критически опасны: есть подробное техническое описание, проверенные публичные эксплоиты, подтверждённые случаи эксплуатации. Их меньше 1% от всех уязвимостей.

🔹 Для небольшого количества уязвимостей мы точно знаем, что они неопасны: эксплуатируются только в нетипичных условиях или эксплуатация не приводит к полезному для атакующих результату.

🔹 Остальные ~98-99% уязвимостей "недоисследованные" и наши знания о них неполны. 🤷‍♂️ Это как зловещий хтонический туман из повести Кинга. Оттуда периодически высовываются щупальца и кого-то утаскивают. 😱🐙👾 Т.е. появляются сведения об атаках с использованием уязвимости и она переходит в категорию критичных. 😏

Бойтесь недоисследованных уязвимостей и устраняйте их! 😉

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

Добавить комментарий

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями. В настоящий момент есть данные по Max Patrol VM V.2.8 (27.3) и RedCheck V.2.9.1. Ещё 6 решений в процессе тестирования. Сравнение шло по 74 критериям с использованием открытой методики тестирования. Это не просто заполнение опросников VM-вендором, а результаты практической работы с развёрнутыми решениями. Сравнительные таблицы доступны на web-странице и в pdf.

Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷‍♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉

Что посмотреть в третий день PHDays Fest, 24 мая, по теме Управления Уязвимостями?

Добавить комментарий

Что посмотреть в третий день PHDays Fest, 24 мая, по теме Управления Уязвимостями?

Что посмотреть в третий день PHDays Fest, 24 мая, по теме Управления Уязвимостями? Заканчиваю отбирать доклады. 😉

🔹 10:00 Обнаружение уязвимостей обхода аутентификации
🔹 11:00 Если нет ресурса на ИБ (Innostage)
🔹 11:00 Обратный инжиниринг уязвимостей (ProjectDiscovery)
🔹 14:00 Red teaming с SSRF в Exchange (Viettel Cyber Security)
🔹 14:15 Автоматизация развертывания и обновления (PT)
🔹 14:15 SSH для инвентаризации Windows (Security Vision) 🔥
🔹 15:00 Открытая платформа для ИБ процессов (SECURITM)
🔹 16:00 Бесфайлово следим за пользователями AD (CICADA8)
➡️ 16:00 Vulristics для приоритизации уязвимостей (PT) 😉
🔹 16:10 Автостендирование (PT)
🔹 17:00 Небезопасные проверки nuclei (PT) 🔥
🔹 17:00 Эксплуатация уязвимостей IoT
🔹 18:00 Признания багхантера (BSides Ahmedabad)
🔹 19:10 RBI - удаленная изоляция браузера (Яндекс)