Архив метки: vulnerability

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС. Хорошая статья без фактических ошибок. 👍 Но часть про то, как же защититься, туда не вошла. Пишу здесь.

🔹 Регулярно устанавливайте обновления Telegram. Даже если вендор уязвимость публично не признаёт, весьма вероятно, что проблему они постараются решить в рамках bug fix-а.

🔹 Автоматическое скачивание картинок и видео в мессенджерах лучше отключить, а файлы от незнакомцев не открывать.

🔹 В общем случае безопаснее использовать веб-версию вместо мобильного или десктопного приложения.

🔹 ОС устройства тоже регулярно обновляйте, т.к. уязвимость мессенджера могут использовать совместно с уязвимостью ОС. Вспоминаем кейс с эксплуатацией CVE-2025-55177 в WhatsApp от экстремистской компании Meta.

🔹 Лучше включить iOS Lockdown Mode / Android Advanced Protection Mode.

🔹 В случае подозрения на компрометацию устройства откатите его до заводских настроек.

Мартовский Linux Patch Wednesday

Добавить комментарий

Мартовский Linux Patch Wednesday. В марте Linux вендоры начали устранять 575 уязвимостей, на 57 меньше, чем в феврале. Из них 93 в Linux Kernel (⬇️ сильное снижение - в феврале было 305). Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Chromium (CVE-2026-3909, CVE-2026-3910)

Ещё для 130 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Caddy (CVE-2026-27590), NLTK (CVE-2025-14009), Rollup (CVE-2026-27606), GVfs (CVE-2026-28296), SPIP (CVE-2026-27475), OpenStack Vitrage (CVE-2026-28370)
🔸 AuthBypass - Curl (CVE-2026-3783), coTURN (CVE-2026-27624), Libsoup (CVE-2026-3099)
🔸 InfDisc - Glances (CVE-2026-30928, CVE-2026-32596)
🔸 PathTrav - gSOAP (CVE-2019-25355), basic-ftp (CVE-2026-27699)
🔸 EoP - Snapd (CVE-2026-3888), GNU Inetutils (CVE-2026-28372)
🔸 SFB - Caddy (CVE-2026-27585, CVE-2026-27587/88/89), Keycloak (CVE-2026-1529), PyJWT (CVE-2026-32597), Authlib (CVE-2026-27962, CVE-2026-28498, CVE-2026-28802)
🔸 CodeInj - lxml_html_clean (CVE-2026-28350), ormar (CVE-2026-26198)
🔸 SSRF - Libsoup (CVE-2026-3632)

🗒 Полный отчёт Vulristics

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

1 комментарий

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы:

🔻 Уязвимость на уровне приложения фактически подтвердили.
🔻 Вектором атаки, как и предполагалось, является пересылка жертве зловредного изображения (стикера).
🔻 К каким последствиям это может привести, всё ещё непонятно: от компрометации аккаунта до RCE на устройстве.
🔻 Заявляется наличие некоторого облачного механизма (антивируса?), с помощью которого Telegram фильтрует зловредные стикеры. Насколько он эффективен (и существует ли вообще 😏), - непонятно.
🔻 Официально Telegram уязвимость не признают, в лучшем случае исправят silent patching-ом и непонятно когда. Ответственным такое поведение назвать сложно. 🤷‍♂️🤦‍♂️

В то, что известный исследователь ZDI (8 лет стажа, ~200 CVE) мог сдать в Telegram неэксплуатабельную ерунду без пруфов, я не верю. Имхо, ZDI теперь имеют полное моральное право обидеться и сделать full disclosure.

Мартовский "В тренде VM": и снова уязвимости только в продуктах Microsoft

Добавить комментарий

Мартовский "В тренде VM": и снова уязвимости только в продуктах Microsoft. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Как и в феврале, она получилась весьма компактной и моновендорной.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Все четыре уязвимости из февральского Microsoft Patch Tuesday и все с признаками активной эксплуатации:

🔻 RCE - Windows Shell (CVE-2026-21510)
🔻 RCE - Microsoft Word (CVE-2026-21514)

💬 Microsoft классифицировали две уязвимости выше как Security Feature Bypass, однако фактически это Remote Code Execution.

🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)

🟥 Полный список трендовых уязвимостей смотрите на портале

Про уязвимость Remote Code Execution - n8n (CVE-2025-68613)

Добавить комментарий

Про уязвимость Remote Code Execution - n8n (CVE-2025-68613). n8n - это платформа автоматизации рабочих процессов, доступная по лицензии fair-code. Некорректное управление динамически изменяемыми программными ресурсами (CWE-913) в системе оценки выражений рабочих процессов (workflow expression) n8n позволяет удалённому аутентифицированному злоумышленнику без прав администратора выполнить произвольный код.

⚙️ Уязвимость была устранена в 20-х числах декабря 2025 г.

⚒️ Эксплоиты на GitHub доступны с 22 декабря, в том числе для совместной эксплуатации с CVE-2026-21858 (Ni8mare).

👾 26 декабря вышел подробный write-up от Resecurity, в котором сообщалось о признаках эксплуатации уязвимости вживую. 27 февраля Akamai сообщили об эксплуатации уязвимости малварью Zerobot. 11 марта уязвимость добавили в CISA KEV.

🌐 В январе CyberOK СКИПА фиксировала чуть менее 9 000 активных n8n в Рунете, ~70% были уязвимы.

Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor"

Добавить комментарий

Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor".

🔻 AppArmor - это механизм Mandatory Access Control, который используется по умолчанию в Ubuntu, Debian, SUSE и многих облачных платформах. Он повсеместно применяется в корпоративных средах, Kubernetes, IoT и edge-средах.

🔻 CrackArmor позволяет непривилегированным пользователям обходить ограничения user-namespace и выполнять произвольный код в ядре, локально повышать привилегии до root через взаимодействие с Sudo и Postfix, вызывать DoS-атаки из-за переполнения стека и обходить KASLR с помощью чтения за пределами допустимых границ памяти.

🔻 Уязвимы все версии ядра Linux, начиная с v4.11, на любых дистрибутивах с AppArmor - Ubuntu, Debian, SUSE и производные.

🔻 CVE-шек ещё нет, ждём команду Linux Kernel. 🤷‍♂️ Текущий статус: "2026-03-12: The patches are published upstream in Linus's tree."

🔻 У Qualys есть все PoC-и, но в паблик они их пока не выкладывали. Есть технический бюллетень.

Rapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновение

Добавить комментарий

Rapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновение.

🔴 Основной мессадж "The Face of Penetration Testing is Changing": Red-teaming становится непрерывным процессом. С ростом числа эксплуатируемых CVE ежегодные тесты недостаточны. Нужна постоянная оценка экспозиций и защищенности. Metasploit Pro 5.0.0 предлагает новый подход с простым рабочим процессом, мощными модулями и критическими улучшениями, позволяя опережать растущие угрозы.

Подчёркивают:

🔹 Интуитивный интерфейс и визуализация сетевой топологии.
🔹 Детектирование уязвимостей, позволяющее видеть полную информацию до попытки эксплуатации.
🔹 Улучшенный рабочий процесс: умные подсказки параметров, ручная настройка payload-ов, быстрый повторный запуск модулей.
🔹 Обнаружение и эксплуатация уязвимостей AD CS, включая ESC9, ESC10 и ESC16.
🔹 Тегирование сессий.
🔹 SAML SSO для единого входа с корпоративной аутентификацией и MFA.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: vulnerability

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС

Мартовский Linux Patch Wednesday

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

Мартовский "В тренде VM": и снова уязвимости только в продуктах Microsoft

Про уязвимость Remote Code Execution - n8n (CVE-2025-68613)

Qualys TRU выявили 9 уязвимостей в AppArmor, названных "CrackArmor"

Rapid7 презентуют Metasploit Pro 5.0.0 - коммерческую платформу для тестирования на проникновение