Архив метки: VMware

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday. В октябре Linux вендоры начали устранять 801 уязвимость, чуть больше, чем в сентябре. Из них 546 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:

🔻 EoP - VMware Tools (CVE-2025-41244). Уязвимость эксплуатируется с октября 2024 года и для неё доступны публичные эксплоиты. Согласно описанию, для эксплуатации требуется VMware Aria Operations.

Ещё для 39 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Redis (CVE-2025-49844 - RediShell, CVE-2025-46817), OpenSSH (CVE-2025-61984), 7-Zip (CVE-2025-11001, CVE-2025-11002)
🔸 EoP - FreeIPA (CVE-2025-7493), Asterisk (CVE-2025-1131)
🔸 SQLi - MapServer (CVE-2025-59431)
🔸 SFB - authlib (CVE-2025-59420)
🔸 MemCor - Binutils (CVE-2025-11082 и ещё 7), Open Babel (CVE-2025-10995 и ещё 6)

🗒 Полный отчёт Vulristics

На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года

На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года

На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года. С начала 2025 года до 30 июня мы отнесли к трендовым 37 уязвимостей. А за весь 2024 год - 74 уязвимости. Похоже, что в этом году к трендовым будет отнесено примерно столько же уязвимостей, что и в прошлом году. 🤔 А судя по затишью в прошлом и этом месяце, может, и поменьше.

🔻 Для 30 уязвимостей есть зафиксированные признаки эксплуатации в атаках, для 7 - публичные эксплоиты (но пока нет признаков эксплуатации).

🔻 По типам уязвимостей большая часть - это выполнение произвольного кода (15), и повышение привилегий (13).

🔻 22 трендовые уязвимости касаются продуктов Microsoft (59 %). Остальные вендоры: 7-Zip, MDaemon, Zimbra, CommuniGate, Roundcube, Erlang, Fortinet, Palo Alto Networks, Apache, Kubernetes, VMware.

🗒 Полный отчёт Vulristics

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск В тренде VM: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat. По видяшкам берём паузу, пока только текстом. 🤷‍♂️🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 11 трендовых уязвимостей:

🔻 Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)
🔻 Четыре эксплуатируемые уязвимости Windows из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)
🔻 Три уязвимости VMware "ESXicape" (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
🔻 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔻 Remote Code Execution - Kubernetes (CVE-2025-1974)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Бюллетень безопасности вендора вышел 4 марта. Все эти уязвимости зарепортили эксперты из Microsoft Threat Intelligence Center. Для всех трёх уязвимостей были признаки эксплуатации вживую и они были добавлены в CISA KEV.

По мнению исследователя Кевина Бомонта, эти уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий возможность запускать код на виртуальной машине, "может повысить уровень доступа к гипервизору ESX". Потенциально это позволяет скомпрометировать всю виртуализованную инфраструктуру организации.

Уязвимости касаются VMX процесса (Virtual Machine Executable), который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.

🔻Уязвимость состояния гонки TOCTOU (Time-of-Check Time-of-Use) в VMware ESXi и Workstation (CVE-2025-22224), приводящая к записи за пределами допустимого диапазона ("out-of-bounds write"). Злоумышленник с локальными административными привилегиями на виртуальной машине может выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).

🔻Уязвимость произвольной записи в память (Arbitrary Write) в VMware ESXi (CVE-2025-22225). Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к побегу из "песочницы".

🔻Уязвимость разглашения информации (Information Disclosure) в VMware ESXi, Workstation и Fusion (CVE-2025-22226). Причина уязвимости чтение за пределами допустимого диапазона (out-of-bounds read) в HGFS. VMware HGFS (Host-Guest File System) - это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.

Обновитесь до следующих безопасных версий:

🔹 VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
🔹 VMware ESXi 7.0: ESXi70U3s-24585291
🔹 VMware ESXi 6.7: ESXi670-202503001
🔹 VMware Workstation 17.x: 17.6.3
🔹 VMware Fusion 13.x: 13.6.3

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies. В прошедшем году к трендовым отнесли 74 уязвимости (для сравнения масштабов - всего в NVD за 2024 год добавили чуть более 40000).

Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.

Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.

При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.

В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).

4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.

34 трендовых уязвимостей касаются продуктов Microsoft (45 %).

🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.

🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).

2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).

Другие группы уязвимостей

🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)

🗒️ Полный отчёт Vulristics

🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"

В понедельник 21 октября снова вышли обновления для критичной уязвимости Remote Code Execution - VMware vCenter (CVE-2024-38812)

В понедельник 21 октября снова вышли обновления для критичной уязвимости Remote Code Execution - VMware vCenter (CVE-2024-38812)

В понедельник 21 октября снова вышли обновления для критичной уязвимости Remote Code Execution - VMware vCenter (CVE-2024-38812). Стоп, а разве обновления для неё не вышли ещё 17 сентября? Вышли, но их оказалось недостаточно.

"VMware by Broadcom определили, что исправления vCenter, выпущенные 17 сентября 2024 г., устраняют CVE-2024-38812 не полностью. Всем клиентам настоятельно рекомендуется применить исправления, которые в настоящее время перечислены в матрице реагирования. Кроме того, также доступны исправления для линейки 8.0 U2."

Если у вас используется VMware vCenter, обратите внимание и обновитесь ещё раз. Текущие исправленные версии VMware vCenter Server 7.0 U3t, 8.0 U2e и 8.0 U3d.

Также обновления доступны для решения VMware Cloud Foundation.

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж