Архив метки: ArcticWolf

Ноябрьский "В тренде VM": уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux

Добавить комментарий

Ноябрьский В тренде VM: уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux

Ноябрьский "В тренде VM": уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux. Традиционная ежемесячная подборка. После нескольких месяцев относительного затишья снова большой выпуск. 🔥

🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT

Всего девять уязвимостей:

🔻 RCE - Windows Server Update Services (WSUS) (CVE-2025-59287)
🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704)
🔻 RCE - Windows LNK File (CVE-2025-9491)
🔻 EoP - Windows Remote Access Connection Manager (CVE-2025-59230)
🔻 EoP - Windows Agere Modem Driver (CVE-2025-24990)
🔻 RCE - Redis "RediShell" (CVE-2025-49844)
🔻 RCE - XWiki Platform (CVE-2025-24893)
🔻 XSS - Zimbra Collaboration (CVE-2025-27915)
🔻 EoP - Linux Kernel (CVE-2025-38001)

🟥 Портал трендовых уязвимостей

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491). Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.

🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷‍♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.

👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.

🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Добавить комментарий

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591). Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.

🔹 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.

🔹 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.

🔹 С 21 января на GitHub доступен публичный эксплойт.

🔹 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.

Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).