Архив метки: vulnerability

Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963)

Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963). Уязвимость из январского MSPT. В момент публикации MSPT, 13 января, VM-вендоры не выделяли эту уязвимость в своих обзорах, а Microsoft не сообщали о признаках эксплуатации уязвимости. CVSS вектор для уязвимости был CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (8.8). Из "PR:L" следует, что для эксплуатации уязвимости требуется аутентификация. Однако 17 марта Microsoft изменили описание уязвимости и CVSS вектор. Новый CVSS вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Из "PR:N" следует, что аутентификация для эксплуатации уязвимости не требуется.

Актуальное описание уязвимости:

"Десериализация недоверенных данных (CWE-502) в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить код по сети. В сетевой атаке неаутентифицированный атакующий может записать произвольный код, чтобы внедрить (inject) и выполнить его удалённо на сервере SharePoint."

👾 18 марта уязвимость добавили в CISA KEV. Подробностей по эксплуатации пока нет. Публичных эксплоитов тоже пока нет. Но по потенциальным последствиям эксплуатации уязвимость может быть сравнима с прошлогодней RCE "ToolShell" (CVE-2025-49704).

Ситуация вокруг этой уязвимости демонстрирует: критичность уязвимости нельзя оценить один раз и навсегда. Для уязвимости не только могут в любой момент появляться признаки эксплуатации вживую или публичные эксплоиты, но даже сам вендор может в любой момент по каким-то причинам изменить описание и CVSS уязвимости. Поэтому данные по продетектированным в инфраструктуре уязвимостям необходимо постоянно отслеживать (самостоятельно или силами VM-вендора), актуализировать критичность уязвимостей и корректировать дедлайны задач на их устранение.

В силу того, что ситуация по каждой конкретной уязвимости может в любой момент измениться, не следует отмахиваться от каких-то уязвимостей как от гарантированно некритичных или неэксплуатабельных. Ответственный подход заключается в том, что все продетектированные уязвимости требуют устранения, но в соответствии со своим (постоянно актуализируемым) приоритетом.

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС

Добавить комментарий

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС. Хорошая статья без фактических ошибок. 👍 Но часть про то, как же защититься, туда не вошла. Пишу здесь.

🔹 Регулярно устанавливайте обновления Telegram. Даже если вендор уязвимость публично не признаёт, весьма вероятно, что проблему они постараются решить в рамках bug fix-а.

🔹 Автоматическое скачивание картинок и видео в мессенджерах лучше отключить, а файлы от незнакомцев не открывать.

🔹 В общем случае безопаснее использовать веб-версию вместо мобильного или десктопного приложения.

🔹 ОС устройства тоже регулярно обновляйте, т.к. уязвимость мессенджера могут использовать совместно с уязвимостью ОС. Вспоминаем кейс с эксплуатацией CVE-2025-55177 в WhatsApp от экстремистской компании Meta.

🔹 Лучше включить iOS Lockdown Mode / Android Advanced Protection Mode.

🔹 В случае подозрения на компрометацию устройства откатите его до заводских настроек.

Мартовский Linux Patch Wednesday

Добавить комментарий

Мартовский Linux Patch Wednesday

Мартовский Linux Patch Wednesday. В марте Linux вендоры начали устранять 575 уязвимостей, на 57 меньше, чем в феврале. Из них 93 в Linux Kernel (⬇️ сильное снижение - в феврале было 305). Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Chromium (CVE-2026-3909, CVE-2026-3910)

Ещё для 130 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Caddy (CVE-2026-27590), NLTK (CVE-2025-14009), Rollup (CVE-2026-27606), GVfs (CVE-2026-28296), SPIP (CVE-2026-27475), OpenStack Vitrage (CVE-2026-28370)
🔸 AuthBypass - Curl (CVE-2026-3783), coTURN (CVE-2026-27624), Libsoup (CVE-2026-3099)
🔸 InfDisc - Glances (CVE-2026-30928, CVE-2026-32596)
🔸 PathTrav - gSOAP (CVE-2019-25355), basic-ftp (CVE-2026-27699)
🔸 EoP - Snapd (CVE-2026-3888), GNU Inetutils (CVE-2026-28372)
🔸 SFB - Caddy (CVE-2026-27585, CVE-2026-27587/88/89), Keycloak (CVE-2026-1529), PyJWT (CVE-2026-32597), Authlib (CVE-2026-27962, CVE-2026-28498, CVE-2026-28802)
🔸 CodeInj - lxml_html_clean (CVE-2026-28350), ormar (CVE-2026-26198)
🔸 SSRF - Libsoup (CVE-2026-3632)

🗒 Полный отчёт Vulristics

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

1 комментарий

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы:

🔻 Уязвимость на уровне приложения фактически подтвердили.
🔻 Вектором атаки, как и предполагалось, является пересылка жертве зловредного изображения (стикера).
🔻 К каким последствиям это может привести, всё ещё непонятно: от компрометации аккаунта до RCE на устройстве.
🔻 Заявляется наличие некоторого облачного механизма (антивируса?), с помощью которого Telegram фильтрует зловредные стикеры. Насколько он эффективен (и существует ли вообще 😏), - непонятно.
🔻 Официально Telegram уязвимость не признают, в лучшем случае исправят silent patching-ом и непонятно когда. Ответственным такое поведение назвать сложно. 🤷‍♂️🤦‍♂️

В то, что известный исследователь ZDI (8 лет стажа, ~200 CVE) мог сдать в Telegram неэксплуатабельную ерунду без пруфов, я не верю. Имхо, ZDI теперь имеют полное моральное право обидеться и сделать full disclosure.

Мартовский "В тренде VM": и снова уязвимости только в продуктах Microsoft

Добавить комментарий

Мартовский В тренде VM: и снова уязвимости только в продуктах Microsoft

Мартовский "В тренде VM": и снова уязвимости только в продуктах Microsoft. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Как и в феврале, она получилась весьма компактной и моновендорной.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Все четыре уязвимости из февральского Microsoft Patch Tuesday и все с признаками активной эксплуатации:

🔻 RCE - Windows Shell (CVE-2026-21510)
🔻 RCE - Microsoft Word (CVE-2026-21514)

💬 Microsoft классифицировали две уязвимости выше как Security Feature Bypass, однако фактически это Remote Code Execution.

🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)

🟥 Полный список трендовых уязвимостей смотрите на портале

Про уязвимость Remote Code Execution - n8n (CVE-2025-68613)

Добавить комментарий

Про уязвимость Remote Code Execution - n8n (CVE-2025-68613)

Про уязвимость Remote Code Execution - n8n (CVE-2025-68613). n8n - это платформа автоматизации рабочих процессов, доступная по лицензии fair-code. Некорректное управление динамически изменяемыми программными ресурсами (CWE-913) в системе оценки выражений рабочих процессов (workflow expression) n8n позволяет удалённому аутентифицированному злоумышленнику без прав администратора выполнить произвольный код.

⚙️ Уязвимость была устранена в 20-х числах декабря 2025 г.

⚒️ Эксплоиты на GitHub доступны с 22 декабря, в том числе для совместной эксплуатации с CVE-2026-21858 (Ni8mare).

👾 26 декабря вышел подробный write-up от Resecurity, в котором сообщалось о признаках эксплуатации уязвимости вживую. 27 февраля Akamai сообщили об эксплуатации уязвимости малварью Zerobot. 11 марта уязвимость добавили в CISA KEV.

🌐 В январе CyberOK СКИПА фиксировала чуть менее 9 000 активных n8n в Рунете, ~70% были уязвимы.

Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor"

Добавить комментарий

Qualys TRU выявили 9 уязвимостей в AppArmor, названных CrackArmor

Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor".

🔻 AppArmor - это механизм Mandatory Access Control, который используется по умолчанию в Ubuntu, Debian, SUSE и многих облачных платформах. Он повсеместно применяется в корпоративных средах, Kubernetes, IoT и edge-средах.

🔻 CrackArmor позволяет непривилегированным пользователям обходить ограничения user-namespace и выполнять произвольный код в ядре, локально повышать привилегии до root через взаимодействие с Sudo и Postfix, вызывать DoS-атаки из-за переполнения стека и обходить KASLR с помощью чтения за пределами допустимых границ памяти.

🔻 Уязвимы все версии ядра Linux, начиная с v4.11, на любых дистрибутивах с AppArmor - Ubuntu, Debian, SUSE и производные.

🔻 CVE-шек ещё нет, ждём команду Linux Kernel. 🤷‍♂️ Текущий статус: "2026-03-12: The patches are published upstream in Linus's tree."

🔻 У Qualys есть все PoC-и, но в паблик они их пока не выкладывали. Есть технический бюллетень.