Архив рубрики: Уязвимость

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT

Добавить комментарий

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT

В продолжение темы React2Shell (CVE-2025-55182), коллеги из BIZONE выложили вчера отчёт об эксплуатации уязвимости в атаках, направленных на российские компании из сфер страхования, электронной коммерции и IT. В основном постэксплуатация сводится к майнингу.

Случай 1. Эксплуатация уязвимости и последовательная инсталляция:

🔹 ботнета RustoBot с DDoS-функциями и майнером XMRig
🔹 ботнета Kaiji Ares
🔹 импланта Sliver

Случай 2. После эксплуатации уязвимости в контейнере скомпрометированного хоста устанавливали майнер XMRig и скрипты для повышения эффективности его работы.

Случай 3. Аналогичен случаю 2, но без доп. скриптов.

Также пишут об атаках с эксплуатацией React2Shell, направленных на другие страны, с использованием импланта CrossC2 для Cobalt Strike, средства удалённого администрирования Tactical RMM, загрузчика и бэкдора VShell, а также трояна удалённого доступа EtherRAT.

Про уязвимость Remote Code Execution - React Server Components "React2Shell" (CVE-2025-55182)

Добавить комментарий

Про уязвимость Remote Code Execution - React Server Components React2Shell (CVE-2025-55182)

Про уязвимость Remote Code Execution - React Server Components "React2Shell" (CVE-2025-55182). React - популярный опенсурсный JavaScript-фреймворк; для ускорения приложений он позволяет выполнять часть логики на сервере через React Server Components (RSC). Используя уязвимость десериализации недоверенных данных в RSC, удалённый неаутентифицированный злоумышленник может добиться выполнения кода на сервере с помощью специально сформированного HTTP-запроса.

⚙️ Исправления React были выпущены 3 декабря. Уязвимы и другие фреймворки, включающие React, например Next.js, React Router, Expo, Redwood SDK, Waku и другие.

🛠 Публичные эксплоиты доступны с 3 декабря. К 19 декабря на GitHub 250+ проектов эксплоитов и сканеров. 😮

👾 Атаки массовые, фиксируются с 5 декабря. Уязвимость в CISA KEV с 9 декабря.

🌐 Shadowserver детектирует в Интернет более 100 000 уязвимых хостов. Оценка для Рунета от CyberOK - более 40 000 хостов (потенциально), от BIZONE 10 000 - 25 000 хостов. 🤔

Декабрьский Linux Patch Wednesday

Добавить комментарий

Декабрьский Linux Patch Wednesday

Декабрьский Linux Patch Wednesday. В декабре Linux вендоры начали устранять 650 уязвимостей, примерно как и в ноябре. Из них 399 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет.

Для 29 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - JupyterLab Extension Template (CVE-2024-39700), fontTools (CVE-2025-66034), Cacti (CVE-2025-66399), CUPS (CVE-2025-64524)
🔸 XXE - Apache Tika (CVE-2025-66516)
🔸 SQLi - phpPgAdmin (CVE-2025-60797, CVE-2025-60798)
🔸 AuthBypass - cpp-httplib (CVE-2025-66570)
🔸 OpenRedirect - Chromium (CVE-2024-13983)

🗒 Полный отчёт Vulristics

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам

Добавить комментарий

Если выделить основную юридическую уязвимость в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам. При этом есть случаи, когда покупатели лично общались с продавцами и их родственниками, заверяли сделку у нотариуса и получали справку психиатра, что продавец адекватен. А в итоге классическое "ой, мошенники меня обманули", теряли и квартиру, и деньги.

То, что справка от психиатра фактически не работает сейчас - это большая проблема. Получается, что человек может быть неадекватным на 30 минут заключения любой сделки, а затем отменить её. И никакой защиты от этого нет. 🤷‍♂️

На такую критическую "юридическую уязвимость", требуется (по выражению Ивана Шубина) свой "юридический патч". Т.е. чёткая позиция государства по этому вопросу и принимаемый в судах механизм подтверждения адекватности в момент совершения сделки.

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

Добавить комментарий

Slop стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster. Первоначальное значение этого слова "мягкая грязь", но теперь им обозначают "цифровой контент низкого качества, который обычно производится в большом количестве с помощью искусственного интеллекта".

Пару недель назад Daniel Stenberg, основатель опенсурсного проекта curl, поделился статистикой по багрепортам на HackerOne. Из статистики видно, что количество подтверждённых уязвимостей падает, а общее количество репортов год от года растёт, в том числе из-за стремительного роста генерённого AI Slop-а.

Daniel Stenberg видит проблему в попытках багхантеров использовать неподходящие AI-инструменты:

"AI-чат-боты всегда отвечают, никогда не говорят «нет» и отчаянно стремятся угодить. Им задают вопрос - и они выдают ответ. Очень часто они его просто выдумывают. Они лгут. Люди, которые так ими пользуются, не умеют выявлять и отделять ложь от правды и, по сути, даже не пытаются этого делать."

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026

Добавить комментарий

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026. Фестиваль пройдёт 28-30 мая в Москве.

🏇 Когда можно подать доклад: с 9 декабря и до 9 марта.

Длительность доклада: 15 или 50 минут.

🗂 Доступно 20 треков: Offense, Defense, Hardware & Firmware Security, OSINT New Blood, Web3, Development General, Development Data, Development Security, OpenSource & OpenSecurity, AI/ML, AI Security, Devices & Technologies, Научпоп, Архитектура ИБ, ИТ-инфраструктура, Security Leader, Next-Generation SOC, Отличные люди в ИБ, Доказательство ИБ, Антикризисный 2026-й год. Описания треков читайте по ссылке, выбрав трек и нажав на i.

В описании Defense указано "Опыт управления уязвимостями", в AI/ML - "Прогнозирование уязвимостей", в Development Security - "Использование AI для поиска и анализа уязвимостей". 🔥 Присматриваюсь и к OpenSource треку, в прошлом году там было неплохо. 😉

Cisco не осилили Vulnerability Management

Добавить комментарий

Cisco не осилили Vulnerability Management

Cisco не осилили Vulnerability Management. 🤷‍♂️ В 2021 году Cisco купили известного и вполне успешного VM-вендора Kenna Security. В пресс-релизе обещали продемонстрировать "unprecedented combined capability".

И вот через 4 года, 9 декабря, Cisco объявили об окончании продаж и завершении жизненного цикла Cisco Vulnerability Management, Vulnerability Intelligence и модуля Application Security (ранее известных как Kenna VM, Kenna VI и AppSec). 🌝

🔹 продажи заканчиваются 10 марта 2026
🔹 продления - до 11 июня 2026
🔹 последний день поддержки - 30 июня 2028

"Cisco будут поддерживать текущие коннекторы, однако не будут разрабатывать какие-либо новые коннекторы и не будут выполнять переходы на новые платформы вендоров или вносить изменения в схемы данных. Алгоритм Cisco Security Risk Score не будет изменяться. Поддержка CVSS4 или EPSS v4 добавляться не будет." Морозят as is. 🥶

Каких-либо замен клиентам не предлагают. 🤷‍♂️

Tenable и Qualys зовут клиентов Cisco к себе.