Архив метки: PositiveTechnologies

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки? Продолжаю подсвечивать понравившиеся фичи. На скриншотах примеры отображения путей атаки (маршрутов) в Carbon: видны активы и шаги злоумышленника.

🔹 Первый пример - получение доступа к критичному проекту на внутреннем GitLab. Сначала эксплуатируется уязвимость обхода аутентификации в Confluence (CVE-2023-22515) на периметре. Она позволяет получить админа в Confluence, загрузить плагин и получить RCE на сервере. Далее атака на внутренний Exchange с RCE уязвимостью ProxyNotShell (CVE-2022-41082). Затем идёт компрометация домена с помощью системной учётки.

🔹 Все эксплуатируемые проблемы, включая CVE-шки, собираются в Рекомендации.

🔹 Также добавил пример маршрута без эксплуатации CVE-шек (только начальный фишинг и мисконфигурации - экспозиции 😉) для кражи отчёта.

Подробнее на вебинаре 16 декабря и в статье на Anti-Malware. 🙂

Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки

Добавить комментарий

Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки PhantomCore. Приводятся списки инструментов, используемых в атаках, файловые пути и IoC-и. В конце октября об эксплуатации этих уязвимостей также сообщали специалисты RED Security и СICADA8.

⚙️ Цепочка уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым. Обновления безопасности, устраняющие уязвимости, вышли 27 августа 2025 года.

🟥 Уязвимости в списке трендовых Positive Technologies с 28 августа 2025 года. Мы их подсвечивали в сентябрьском дайджесте трендовых уязвимостей.

Те, кто среагировали, обнаружили и устранили уязвимости в августе-сентябре, молодцы. 👍 А те, кто проигнорировали предупреждения и пострадали, надеюсь, извлекут из этого урок. 🙏

Что нового в MaxPatrol Carbon 25.7.4?

Добавить комментарий

Что нового в MaxPatrol Carbon 25.7.4? Пообщался с коллегами перед предстоящим вебинаром 16 декабря. В этом посте - про отображение состояния инфраструктуры, а в следующем - непосредственно про пути атаки (маршруты).

🔹 Начали оценивать готовность инфраструктуры к моделированию кибератак (топология, пользователи и привилегии, граф возможностей). Для "отличной" оценки топологии в ней должно быть более 80% всех активов + выполняться доп. условия. При клике по остальным показателям, например по "Теневым активам", открываются результаты выполнения соответствующего PDQL-запроса в MaxPatrol VM.

🔹 Добавили виджет с воронкой от всех экземпляров трендовых уязвимостей в инфре до трендовых уязвимостей с эксплоитами и просчитанными маршрутами для реализации заданных недопустимых событий.

🔹 Критичность маршрутов теперь выделяется цветом (чем краснее - тем критичнее).

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Добавить комментарий

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO. 🔥 Функционально это классический сканер уязвимостей, который позволяет заводить и запускать сканы в black box и white box (включая Docker) режимах. Дальше по этим задачам можно выпускать отчёты.

📄 Продукт выпускают на замену XSpider 7.8, у которого в этом году закончился сертификат ФСТЭК. Сертификат ФСТЭК на XSpider PRO планируют получить до конца года.

✂️ Архитектурно XSpider PRO представляет собой урезанную версию MaxPatrol VM. Сканирующий движок там такой же. С поправкой на то, что MaxPatrol VM ещё агентно сканировать может через EDR, а здесь исключительно безагентное сканирование.

💳 Лицензируется по узлам и функциональности (можно купить лицензию только на black box). Но есть ограничение: максимальное количество сканируемых узлов для решения - 500 ❗️ Это решение для небольших компаний. Если нужно больше, смотрите в сторону MaxPatrol VM. 😉

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Добавить комментарий

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года. Я выделял не самые критичные уязвимости (все они самые критичные!), а скорее самые интересные и разнообразные. И это, безусловно, субъективная оценка.

Материал забрали в середине лета, поэтому были все шансы, что до конца года появится что-то интересное. Так и получилось. 😅 Сейчас на первое место я бы поставил:

🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704, CVE-2025-53770). С этой уязвимостью были связаны самые громкие атаки. 😉

Уязвимости из статьи:

🔻 RCE - CommuniGate Pro (BDU:2025-01331)
🔻 RCE & AFR - Apache HTTP Server (CVE-2024-38475)
🔻 RCE - Erlang/OTP (CVE-2025-32433)
🔻 RCE - Internet Shortcut Files (CVE-2025-33053)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Добавить комментарий

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России.

🔹 В 13:02 в канале вышло загадочное сообщение о взломе аккаунта (на иллюстрации). Похожие сообщения частенько размещают злоумышленники, которым удалось полностью скомпрометировать инфраструктуру организации.

🔹 Через 4 минуты, в 13:06, вышло второе сообщение, из которого стало ясно, что это подводка к awareness-комиксу Positive Technologies. По сюжету злобное привидение пытается проэксплуатировать уязвимость MyQ Print Server, вероятнее всего RCE без аутентификации CVE-2024-28059. Но у него ничего не получилось, так как уязвимость уже была выявлена с помощью MaxPatrol VM и устранена. 🙂

Вот такое эффектное широковещательное сообщение о пользе Vulnerability Management-а. PR-щикам Минэкономразвития респект за смелость! 🔥

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации

Добавить комментарий

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации. Раньше, до версии 27.4 (2.9), единственным способом получения токенов аутентификации был запрос к mpvm_url + ':3334/connect/token' с указанием логина, пароля и параметра ClientSecret из конфига /var/lib/deployer/role_instances/Core/params.yaml на сервере. Не очень удобно, но жить можно.

Начиная с версии 27.4 (2.9), в продукте появился удобный интерфейс для работы с токенами. Можно зайти в PT Management Console, в левом нижнем углу нажать на значок с человечком и вашим логином, выбрать опцию "Токены доступа". Затем "+ Создать". Указать название, описание, срок действия и необходимые привилегии. И вуаля - готовый токен. Удобно, наглядно и в конфиг на сервере лезть не требуется. 👍

Этот токен можно использовать в скрипте ровно так же, как и токен, получаемый через API по логину/паролю и ClientSecret. Например, выполнять с его помощью PDQL запросы. 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: PositiveTechnologies

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?

Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки

Что нового в MaxPatrol Carbon 25.7.4?

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации