Архив рубрики: Уязвимость

Февральский Linux Patch Wednesday

Февральский Linux Patch Wednesday

Февральский Linux Patch Wednesday. Всего уязвимостей: 561. 338 в Linux Kernel. Формально есть одна уязвимость с признаком эксплуатации вживую: RCE - 7-Zip (CVE-2025-0411). Но она про Windows MoTW и, естественно, не эксплуатируется на Linux.

Для 21 уязвимости есть публичные эксплоиты.

Из них можно выделить 5 уязвимостей системы мониторинга Cacti:

🔸 RCE - Cacti (CVE-2025-24367)
🔸 Command Injection - Cacti (CVE-2025-22604)
🔸 SQLi - Cacti (CVE-2024-54145, CVE-2025-24368)
🔸 Path Traversal - Cacti (CVE-2024-45598)

2 уязвимости OpenSSH, обнаруженные Qualys:

🔸 DoS - OpenSSH (CVE-2025-26466)
🔸 Spoofing/MiTM - OpenSSH (CVE-2025-26465)

Из остальных наиболее интересны:

🔸 RCE - Langchain (CVE-2023-39631), Snapcast (CVE-2023-36177), Checkmk (CVE-2024-13723),
🔸 EoP - Linux Kernel (CVE-2024-50066)
🔸 SQLi - PostgreSQL (CVE-2025-1094)
🔸 XSS - Checkmk (CVE-2024-13722), Thunderbird (CVE-2025-1015)

🗒 Полный отчёт Vulristics

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно. А что мешает конфигурировать безопасно? 🙂 Имхо, основная причина это отсутствие единого реестра, в котором были бы низкоуровневые рекомендации по настройке различных систем, обоснование от каких атак они защищают и что может отъехать от их применения. 🤔

Для уязвимостей, связанных с ошибками в ПО, эту роль худо-бедно выполняет CVE. У NIST и MITRE была аналогичная штука для безопасных конфигураций - CCE. И аналог CVSS - CCSS. Но они давно заброшены. 🤷‍♂️

Конечно, для многих систем есть Hardening Guides, которые перерабатываются в стандарты, такие как CIS Benchmarks. Есть стандарты американских военных DISA STIGS и SCAP-контент от OpenSCAP. Но всё это фрагментировано и с нестабильным качеством.

➡️ Завтра в 14:00 пройдёт вебинар Positive Technologies, про то, зачем нужен харденинг и как делать его проще с MaxPatrol HCC. 😉

А вы в курсе, чем отличается центр обработки данных (ЦОД) от обычной серверной комнаты? 🙂

А вы в курсе, чем отличается центр обработки данных (ЦОД) от обычной серверной комнаты? 🙂

А вы в курсе, чем отличается центр обработки данных (ЦОД) от обычной серверной комнаты? 🙂 26 февраля в 11:00 Игорь Дорофеев из Академии Информационных Систем проведёт вебинар "ЦОД: актуальность и горизонты развития". Судя по описанию, нас ждёт ликбез и рассказ о перспективах развития отрасли ЦОДостроительства. Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 😉

А причём же здесь Управление Уязвимостями?

🔻 Неделю назад Гарда опубликовала результаты опроса российских компаний нефтегазового сектора. 30% опрошенных считают именно ЦОД-ы наиболее уязвимыми информационными системами.

🔻 В паблик кейсы с атаками на ЦОД-ы также периодически попадают [1, 2, 3].

Так что вебинар должен быть интересен не только тем, кто ЦОД-ы строит, обслуживает и использует, но и VM-щикам, которым и в этой части инфраструктуры необходимо устранять уязвимости. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте АИС
⏰ 26 февраля в 11:00

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости!

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости!

Уязвимости в CISA KEV это не все эксплуатирующиеся уязвимости! Кейс с CVE-2024-21413, которую в CISA KEV добавили через год после появления эксплоита, отлично демонстрирует специфику CISA KEV. Были ли атаки с использованием этой уязвимости за прошедший год? Разумеется. 🙂 Их не могло не быть, учитывая наличие всех инструментов.

Но дело в том, что CISA абсолютно фиолетово даже на самую очевидную эксплуатабельность. 🤷‍♂️ Им важны ТОЛЬКО сигналы об успешных атаках. Что логично, они "known exploited", а не "exploitable". И эти сигналы должны быть либо от вендора (очевидно не любого, а то бы там одни уязвимости плагинов WordPress были бы 🙂), либо от расследователей атак (также не любых, а признаваемых CISA). Появился сигнал - добавили. А если б не появился, то и не добавили бы.

CISA KEV - очень специфическая выборка из всех эксплуатирующихся уязвимостей, отражающая своеобразное понимание того, какие уязвимости должны исправляться в федеральных агентствах США приоритетно. И только. 😉

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности.

🔹Эта уязвимость из февральского Microsoft Patch Tuesday 2024 года (13.02.2024). На следующий день после MSPT на сайте СheckPoint вышел write-up и PoC. Ещё через день Microsoft поставили для уязвимости флаг "Exploited", но по каким-то причинам в тот же день этот флаг убрали. 🤷‍♂️ К 18 февраля на GitHub уже был код эксплоита и демка. "В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл". Каких-то сомнений в эксплуатабельности на тот момент уже не оставалось.
🟥 Естественно, к этому времени уязвимость уже была в трендовых.

🔹 А что CISA KEV? Они добавили эту уязвимость в каталог буквально недавно, 06.02.2025. Практически год спустя! 😏 И без каких-либо объяснений причин такой задержки.

Про уязвимость Remote Code Execution - CommuniGate Pro (BDU:2025-01331)

Про уязвимость Remote Code Execution - CommuniGate Pro (BDU:2025-01331)

Про уязвимость Remote Code Execution - CommuniGate Pro (BDU:2025-01331). CommuniGate Pro - это универсальная серверная платформа для организации корпоративных коммуникаций. Она объединяет в себе множество сервисов, включая электронную почту, передачу голосовых данных, обмен сообщениями и автоматизацию совместной работы. Так как это отечественное решение, его часто используют для импортозамещения Microsoft Exchange.

Уязвимость позволяет удалённому неаутентифицированному злоумышленнику выполнить произвольный код на уязвимом сервере CommuniGate Pro. Причина уязвимости - Stack-based Buffer Overflow. Уязвимы версии с 6.3.0 до 6.3.39.

👾 По данным компании CyberOK, есть признаки эксплуатации уязвимости в реальных атаках. По состоянию на 14 февраля около 40% всех отслеживаемых хостов CommuniGate Pro были подвержены уязвимости.

⚡️ Это первая трендовая уязвимость в отечественном продукте с 2023 года.