Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями

Добавить комментарий

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями. Интервьюер - Павел Хавский. Это для тех, кому краткого резюме на 8 минут мало и хочется больше деталей. 🙂 По контенту это моя презентация для Код ИБ обновлённая по состоянию на 23 декабря, т.е. там всё, кроме MongoBleed. Также Павел вкидывал вопросы 💬 на около-VM-ные темы, на которые я старался, по мере сил, отвечать. 😅

00:00 Приветствие и знакомство
04:00 Ускоряющийся рост количества уязвимостей в NVD и связанные с этим проблемы
06:06 Что такое трендовые уязвимости и зачем мы их выделяем в Positive Technologies
07:56 💬 Может, массовое заведение уязвимостей в NVD делается намеренно, чтобы в них было сложнее искать то, что на самом деле важно?
14:54 Итоги 2025 года: 65 трендовых уязвимостей и где их можно посмотреть
19:05 Типы уязвимостей
19:25 Наличие эксплоитов и признаков эксплуатации
20:33 💬 Трендовые уязвимости в отечественном ПО: почему их больше, чем в прошлом году?
24:08 💬 Плохая работа TrueConf может быть связана с этими трендовыми уязвимостями?
25:42 Трендовые уязвимости Microsoft (47%)
28:37 Трендовые уязвимости, используемые в фишинговых атаках
29:36 Трендовые уязвимости Linux
30:10 💬 Стоит ли переходить на отечественные ОС на базе Linux и есть ли к ним доверие?
38:40 Трендовые уязвимости в библиотеках и фреймворках
40:50 Трендовые уязвимости сетевых устройств
42:16 Трендовые уязвимости, связанные с разработкой ПО
42:38 Трендовые уязвимости виртуализации и контейнеризации
43:00 Трендовые уязвимости ERP-систем
43:36 ТОП Трендовых: ToolShell и атаки на ядерные организации США
46:39 💬 Почему большие организации уязвимы и нужно ли пушить безопасность регуляторами?
52:10 💬 Мотивация VM-специалистов: энтузиазм или бюджет?
56:46 ТОП Трендовых: уязвимость-вспышка React2Shell
01:00:33 ТОП Трендовых: Эксплуатируемая уязвимость CommuniGate и качество детектирования уязвимостей
01:01:36 ТОП Трендовых: Уязвимость Apache HTTP Server и отслеживание EoL
01:03:56 ТОП Трендовых: Уязвимость Erlang/OTP
01:05:01 ТОП Трендовых: Уязвимости Windows для фишинга (1,2)
01:07:29 Прогноз на 2026: то же, но хуже
01:16:58 💬 Про карьеру в Vulnerability Management
01:24:06 💬 Новогодние пожелания

Видео, которое я выкладываю - согласованный перезалив на мой канал VK Видео. Я немного перемонтировал ролик, сделав больший акцент на слайдах, и поменял таймстемпы. Оригинальное видео на Youtube можно найти в этом посте.

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах

Добавить комментарий

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах

Наталья Касперская в своём канале подвела итоги опроса об электронных госуслугах. Вопрос был сформулирован так: "Считаете ли вы, что нужно расширять предоставление госуслуг в электронном виде?"

🔹 54% ответили, что электронные госуслуги вообще не нужны, когда есть МФЦ.
🔹 Ещё 36% ответили, что текущих электронных госуслуг достаточно.

Проголосовал 8701 человек.

Как по мне, электронные госуслуги в принципе нужны. Не у всех есть возможность дойти до МФЦ. И не во всех регионах МФЦ такие шикарные, как в Москве.

НО услуги услугам рознь. Одно дело - получить выписку из ЕГРН или подать анкету на загранпаспорт. 👌 И совсем другое - выпуск электронной подписи, оформление кредитов и операции с недвижимостью. 😱 А сейчас опасные электронные госуслуги доступны по умолчанию всем.

➡️ Следовало бы проводить оценку потенциальной опасности электронных госуслуг и вводить для опасных строгие меры защиты и верификации, чтобы злоумышленникам не было смысла перехватывать доступ к госуслугам жертв.

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год

Добавить комментарий

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год
Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год. Иллюстрации в календаре - афиши известных голливудских фильмов, переработанные в awareness-материалы по антифишингу. Качественно и остроумно сделано. Главное, что картинки бросаются в глаза, привлекают внимание. Рассматривать и читать текст интересно. 👍 А правильные мессаджи подспудно откладываются. Иллюстрации можно легко отделить по перфорации и развесить по офису как плакаты.

Календариком уже пользуюсь, повесил рядом со своим рабочим местом. 🙂 Спасибо большое, StopPhish! Всего вам хорошего в новом году! 🎄

Вернулись из поездки в Тверь

Добавить комментарий

Вернулись из поездки в Тверь
Вернулись из поездки в ТверьВернулись из поездки в Тверь

Вернулись из поездки в Тверь. В последний день сходили на мастер-класс по изготовлению новогодних ёлочных игрушек. В этот раз я не удержался от упоминания актуальной уязвимости. Игрушка заняла место на нашей ёлочке рядом с EoP в ядре Linux. 😅

Добрались без приключений. Если не считать лёгкого дискомфорта от морозца и повсеместных сугробов (как и везде сейчас в центральном регионе ❄️).

Впечатления от 5 дней пребывания (1, 2, 3, 4) самые приятные. Было интересно, комфортно и очень вкусно. 😇

Тверь остаётся на вершине моего личного ТОПа городов (вместе с Саранском ❤️). Зимой там ничуть не хуже, чем весной.

Если искать какие-то минусы, то я бы сказал, что городу не хватает трамвайчиков (как в Коломне). Трамвай (и троллейбус) там были, но их недавно уничтожили. Это, безусловно, очень грустно. 😔

Хотелось бы и ласточки-экспрессы до Москвы с выделенными местами. А то сейчас сложно предугадать, будешь ты ехать 1,5-2 часа стоя или сидя. 🙂

А так всё круто. 👍

Ni8mare, N8scape и другие критические уязвимости n8n

Добавить комментарий

Ni8mare, N8scape и другие критические уязвимости n8n

Ni8mare, N8scape и другие критические уязвимости n8n. n8n - это платформа автоматизации рабочих процессов (code/no-code). Поддерживает более 400 интеграций и встроенные возможности ИИ. Лицензируется как fair-code. Доступна on-prem и как облачный сервис.

🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.

🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.

🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.

Наш четвёртый день в Твери

Добавить комментарий

Наш четвёртый день в Твери
Наш четвёртый день в ТвериНаш четвёртый день в ТвериНаш четвёртый день в ТвериНаш четвёртый день в ТвериНаш четвёртый день в Твери

Наш четвёртый день в Твери. Ходили на детский спектакль и в филармонию.

🔹 Сказка "Марья Моревна и царский сын" в Тверском театре драмы - очень круто: костюмы, музыкальные номера (тяготеющие скорее к хип-хопу, видимо, чтобы детишкам было ближе 🙂), батальные сцены, даже спецэффекты. Всё на уровне! Сказка тоже хорошему учит. 😅 Если у жены в подвале закован мужик, который просит воды, не стоит проявлять к нему жалость до выяснения всех обстоятельств. Вдруг окажется, что это Кащей Бессмертный, с большим трудом побеждённый твоей женой, а ты ему освободиться поможешь? И когда в итоге смерть Кащея будет в твоих руках, не рефлексируй, а ломай иглу безжалостно. ❌🙂

🔹 В филармонию ходили на сборный новогодний концерт. Исполняли в основном советскую песенную классику в сопровождении струнной группы симфонического оркестра. Мне такое нравится. 😇 Ещё запомнились хоровые версии "Широка река" Кадышевой и "О Любви" Чижа. 🙂👍

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно

Добавить комментарий

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно. В мае 2025 года в npm-репозитории появился пакет "lotusbail", реализующий работу с API мессенджера WhatsApp (разрабатываемого экстремистской компанией Meta). Этот пакет выполнял все заявленные функции.👌 НО кроме того, содержал зловредную функциональность по перехвату сообщений, контактов, токенов аутентификации и привязке аккаунта жертвы к устройству атакующего. 🤷‍♂️

Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱

❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔