Архив метки: vulnerability

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru

Добавить комментарий

Кстати, мой комментарий по MongoBleed (CVE-2025-14847) вышел в понедельник в Газета.Ru

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇

Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.

Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:

"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."

Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.

Про уязвимость Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847)

Добавить комментарий

Про уязвимость Information Disclosure - MongoDB MongoBleed (CVE-2025-14847)

Про уязвимость Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847). MongoDB - это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым - к чувствительным данным (учёткам, ключам, данным клиентов и т.д.).

⚙️ "Критические обновления" были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.

🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплоита, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.

🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k в России.

ASUS и CISA откопали ShadowHammer в 2025

Добавить комментарий

ASUS и CISA откопали ShadowHammer в 2025

ASUS и CISA откопали ShadowHammer в 2025. 🤔 17 декабря CISA добавили в KEV уязвимость "CVE-2025-59374 - ASUS Live Update Embedded Malicious Code Vulnerability". В NVD уязвимость была также опубликована 17 декабря, CNA ASUS. Она про версию клиента ASUS Live Update с зловредными модификациями, внесёнными через компрометацию цепочки поставок.

По ссылке из NVD на сайт ASUS (с нероссийских IP) видим описание APT-атаки ShadowHammer 2019 года (❗️), в рамках которой серверы ASUS пять месяцев раздавали модифицированную версию Live Update, устанавливающую некоторым пользователям малвари. 😱

❓ Ок, шесть лет назад ASUS разово раздали бяку клиентам. Но зачем по этому кейсу сейчас заводить CVE и, тем более, тащить её в CISA KEV?

➡️ CISA ответили в духе "CVE есть, эксплуатация подтверждена; а как давно эксплуатация была и насколько уязвимость сейчас критична - нам пофигу".

ASUS формально завели CVE, CISA формально добавили её в KEV. 👌🌝

Раньше в положении о НКЦКИ не было ничего про уязвимости - а теперь будет!

Добавить комментарий

Раньше в положении о НКЦКИ не было ничего про уязвимости - а теперь будет!

Раньше в положении о НКЦКИ не было ничего про уязвимости - а теперь будет! Был опубликован приказ ФСБ России от 24.12.2025 № 540 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366».

Среди прочего, он добавляет такой пункт:

"5. В целях выполнения предусмотренных настоящим Положением задачи и функций НКЦКИ в пределах своей компетенции имеет право:

5.9. Запрашивать для выполнения задачи и осуществления функций НКЦКИ у субъектов критической информационной инфраструктуры, центров ГосСОПКА и органов (организаций) результаты проведенных мероприятий, направленных на защиту от компьютерных атак в отношении принадлежащих им информационных ресурсов Российской Федерации, а также информацию об устранении уязвимостей информационных ресурсов Российской Федерации."

Похоже, планируют стимулировать устранение уязвимостей, и это не может не радовать. 🙂👍

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились на компьютере. Уязвимость этого драйвера, исправленная в рамках декабрьского Microsoft Patch Tuesday, позволяет локальному атакующему получить привилегии SYSTEM. Причина уязвимости - Use After Free (CWE-416).

⚙️ Уязвимость была обнаружена исследователями Microsoft (из MSTIC и MSRC). Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.

👾 Уязвимость была отмечена Microsoft как эксплуатирующаяся в реальных атаках и добавлена в CISA KEV. Подробностей по атакам пока нет.

🛠 С 10 декабря на GitHub были доступны репозитории, якобы содержащие эксплоиты для уязвимости. Впоследствии они были удалены. Есть несколько объявлений о продаже эксплоитов (возможно мошеннических).

Весьма интересная статья вышла 1 декабря в блоге американского аналитического института Center for Strategic and International Studies (нежелательная организация в России)

Добавить комментарий

Весьма интересная статья вышла 1 декабря в блоге американского аналитического института Center for Strategic and International Studies (нежелательная организация в России)

Весьма интересная статья вышла 1 декабря в блоге американского аналитического института Center for Strategic and International Studies (нежелательная организация в России). Автор статьи поднимает вопрос "использования глобальных кибер-цепочек поставок (Cyber Supply Chains) в качестве оружия". А фактически пишет про то, что государства осуществляют контроль над своими формально частными вендорами, внедряя в коммерческие продукты недокументированные возможности под видом уязвимостей (буквально "embed vulnerabilities"), а затем используют их в кибератаках на инфраструктуры других государств.

Разумеется, автор статьи приводит в пример исключительно зловредные действия со стороны КНР. Ведь конечно же США тем же самым не занимаются. 😄

⚠️ Уязвимости - это далеко не всегда следствие случайных ошибок! 😉

🎶 Саундтрек этого поста: АНТИЛЛА - Бадаламенти (видео live-версия). 🙂 Группа нечуждая ИБ: там Юля Омельяненко на флейтах и их соло-гитарист - автор PHDays OST 2022. 😉

Две недели назад TAdviser выпустили "Карту российского рынка информационной безопасности 2025"

Добавить комментарий

Две недели назад TAdviser выпустили Карту российского рынка информационной безопасности 2025

Две недели назад TAdviser выпустили "Карту российского рынка информационной безопасности 2025". В отличие от прошлого года, на ней появилось "Управление Уязвимостями". Прогресс. 👍🙂

🔹 Управление Уязвимостями объединили с решениями по Харденингу. Поэтому в группу попали Spacebit, Кауч и ЛИНЗА, которые (пока) не про уязвимости. Всего 15 вендоров.

🔹 Осталась группа Средств Анализа Защищённости, совмещённая с DevSecOps. В ней 22 вендора. С прошлого года убрали (5): Фродэкс (Vulns io), BIFIT, RED, Crosstech, Pentestit. Добавили (6): VK Cloud, Sber Tech, Yandex, УЦСБ, Axiom JDK, Luntry. Переименовали (1): Profiscope в CodeScoring.