CyberOK_news

Public

Просмотреть канал

Не можете присоединиться? @cyberok_news

1.1k Участники

Обновлено: May 11, 2026 at 4:35 AM

CyberOK_news

Кибер-бутик https://www.cyberok.ru/

@cyberok_news offers specialized information about httpswwwcyberokru for subscribers interested in Кибербезопасность

Рейтинг

Глобальный рейтинг

#456

Рейтинг по языку

#45

Рейтинг по категории

#23

-1

Рост участников (Последние 13 дней)

Всего: 1.1K

Рост за 24ч: +0 0%

Последние посты

CyberOK_news

13 мая 2026 г., 05:09

📎 File

Agentic SAMM — русская версия для комментариев и отзывов.

887

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

💣 Jolokia против вас: как захватывают Apache ActiveMQ Classic

CVE-2026-34197 (CVSS 3.1: 8.8) в брокере сообщений Apache ActiveMQ Classic опубликована в апреле 2026 исследователями https://Horizon3.ai/

🌏 СКИПА фиксирует до 100 активных уникальных инстансов в Рунете. ~94% потенциально уязвимы.
Пользователи СКИПА PentOps были своевременно уведомлены.

Уязвимость эксплуатируется через Jolokia (вектор стал возможен после CVE-2022-41678) и была обнаружена с помощью Claude. Атака использует метод addNetworkConnector для загрузки удалённого конфигурационного файла и выполнения произвольных команд через MBeans. Требуется аутентификация, но дефолтные учётные данные и смежная уязвимость CVE-2024-32114 упрощают эксплуатацию.

🧠 Механизм эксплуатации
В интерфейсе Jolokia (JMX-HTTP bridge) разрешены операции на MBeans org.apache.activemq:. Злоумышленник отправляет POST-запрос к /api/jolokia/ с вызовом addNetworkConnector и может
передать параметр brokerConfig, указывающий на внешний XML-файл конфигурации.
Далее Spring создаёт компоненты до проверки, что позволяет внедрить вредоносные factory-бины, которые выполняют системные команды через Runtime.exec().

Нюанс: В версиях 6.0.0–6.1.1 проверка учётных данных отключена и эксплуатация CVE-2026-34197 проходит полностью без аутентификации.

💥 Об уязвимости
Затронуты:
• 5.x до 5.19.4
• 6.x от 6.0.0 до 6.2.3

🔻 CVSS 3.1: 8.8 – высокий уровень опасности*
*В конфигурациях с версиями 6.0.0–6.1.1 фактический риск возрастает до критического (9.8), так как атака не требует авторизации.

🔍 Индикаторы атаки
• POST-запросы к /api/jolokia/ с addNetworkConnector.
• Записи в журналах брокера: vm:// URI и brokerConfig=xbean:http....
• Исходящие сетевые запросы от процесса Java на неизвестные адреса и домены.
• Запуск неожиданных дочерних процессов (sh, bash, curl, wget) от ActiveMQ.

🛡 Рекомендации
1. Обновить до 5.19.4+ или 6.2.3+.
2. Сменить дефолтные учётные данные (admin).
3. Ограничить доступ к веб-консоли и /api/jolokia/ через WAF/или межсетевой экран. Доступ к маршруту /api/jolokia/ должен быть ограничен выделенными IP-адресами администраторов.
4. Настроить мониторинг процессов и трафика.
5. Ознакомиться с https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/ исследователей Horizon3.

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

Применение AI-агентов в разработке программного обеспечения стремительно расширяется — и вместе с ним расширяется поверхность атаки, которую традиционные практики безопасной разработки попросту не покрывают.

«Мы фиксируем, что команды внедряют агентные инструменты быстрее, чем успевают выстроить адекватные практики безопасности. Классический SAMM даёт хорошую основу, но что делать, когда агент начинает самостоятельно вызывать инструменты, читать внешний контекст и действовать автономно без человека в цикле?», — Сергей Гордейчик, генеральный директор CyberOK.

Чтобы закрыть этот пробел, мы публикуем Agentic SAMM (ASAMM) — исследовательский фреймворк, расширяющий OWASP SAMM для систем с AI-агентами.

Ключевые концепции:
Контекст — плоскость управления. Всё что агент читает может стать инструкцией. Вызов инструмента — граница безопасности. Авторизовано не означает согласовано с задачей. Окно автономии — измеримый риск: произведение времени без контрольной точки на взрывной радиус доступных действий.

Фреймворк включает таксономию угроз (C1–C4), двухосевую модель доверия, 17 контролей по 5 функциям SAMM с уровнями зрелости L1–L3 и маппингом на NIST AI RMF, NCSC и ГОСТ Р 56939-2024.

Два пути внедрения: миграция с существующей программы безопасности или новое развёртывание с нуля.

Документ открыт для рецензирования. GitHub:

https://github.com/scadastrangelove/asamm

Русская версия с детальным маппингом по параграфам ГОСТ Р 56939-2024 доступна там же.

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

🎭 Amiro. CMS: чужой сценарий на вашей странице

Исследователь СайберОК Роберт Торосян обнаружил XSS в Amiro. CMS.
📡 https://www.cyberok.ru/skipa.html фиксирует 12 000+ установок; более 5% уязвимы. Клиенты СКИПА PentOps уведомлены 29 июня.

📊 Об уязвимости
COK-2025-06-02 / https://bdu.fstec.ru/vul/2025-16449
🔸 CVSS 3.1 5.3 – средний уровень опасности. Уязвимы версии до 7.8.4.

Уязвимость связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

💡Компенсирующие меры
1. Межсетевой экран уровня приложений (WAF) для фильтрации ввода.
2. «Белый» список IP-адресов для ограничения доступа к веб-интерфейсу управления программным средством.
3. Средства обнаружения и предотвращения вторжений (IDS/IPS) для выявления атак.
4. Использование политики защиты содержимого (Content Security Policy).
5. Виртуальные частные сети (VPN) для удаленного доступа .

🔗 Ссылки
• https://cwe.mitre.org/data/definitions/79.html

703

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

⛓️‍💥 AVReg: от межсайтового скриптинга до полного захвата системы

Исследователи СайберОК Роберт Торосян и Виктор Лазарев обнаружили несколько уязвимостей в сервисе программного обеспечения для создания аудио/видео регистраторов AVReg.

📡 На радарах https://www.cyberok.ru/skipa.html зафиксировано 100+ экземпляров AVReg, из которых более 20 подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимости 16 сентября 2025 года.

⚠️ Уязвимости связаны с непринятием мер по защите структуры веб-страницы.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

СОК-2025-09-04 - COK-2025-09-07 / https://bdu.fstec.ru/vul/2025-11150 - https://bdu.fstec.ru/vul/2025-11153
🔸 CVSS 3.1 – 5,4 (средний уровень опасности)
Уязвимы версии до 6.3p29.

⚠️ Уязвимость связана с недостаточной проверкой запросов на стороне сервера.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.

СОК-2025-10-24 / https://bdu.fstec.ru/vul/2025-13567
🔺 CVSS 3.1 – 7,5 (высокий уровень опасности)
Уязвимы версии до 6.3p29.

⚠️ Уязвимость связана с непринятием мер по нейтрализации специальных элементов.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды.

СОК-2025-10-25 / https://bdu.fstec.ru/vul/2025-13568
🔺 CVSS 3.1 – 9,1 (критический уровень опасности)
Уязвимы версии до 6.3p29.

⚠️ Уязвимость связана с использованием учетных данных по умолчанию.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, полностью компрометировать систему.

СОК-2025-10-26 / https://bdu.fstec.ru/vul/2025-13566
🔺 CVSS 3.1 – 9,8 (критический уровень опасности)
Уязвимы версии до 6.3p29.

💡Рекомендуем обновить ПО до версии 6.3p29 и выше.

🔗 Ссылки
• https://reestr.digital.gov.ru/reestr/301893/?sphrase_id=16565191
• https://bdu.fstec.ru/news/1380

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

👻 Утечка данных из памяти NetScaler ADC и Gateway — призрак Citrix Bleed возвращается

Критическая уязвимость CVE-2026-3055 (CVSS 4.0: 9.3) в NetScaler ADC и NetScaler Gateway — ключевых компонентах сетевой инфраструктуры для доставки приложений и удалённого доступа — была опубликована Citrix (Cloud Software Group) 23.03.2026.

Уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом читать содержимое памяти устройства, включая потенциально активные сессионные токены. Для эксплуатации устройство должно быть сконфигурировано как SAML Identity Provider (SAML IDP) — конфигурации по умолчанию не затронуты.

📊 Масштаб
СКИПА фиксирует более 500 активных уникальных устройств NetScaler ADC/Gateway, доступных извне в Рунете. Из них ~93% (верхняя граница теоретически подверженных инстансов на основе версии приложения) работают на потенциально уязвимых версиях.

Однако эксплуатация возможна только при конфигурации устройства как SAML IDP, что сужает круг реально затронутых экземпляров. Определить наличие уязвимой конфигурации извне, без доступа к устройству, не представляется возможным. Пользователи СКИПА PentOps были своевременно уведомлены.

🧠 Механизм эксплуатации
Недостаточная валидация SAML-запросов приводит к чтению за пределами буфера (CWE-125). Неаутентифицированный злоумышленник может отправить специально сформированный запрос, в результате которого устройство вернёт содержимое смежных областей памяти. Раскрытые данные могут включать чувствительную информацию, в том числе активные сессионные токены, что потенциально позволяет перехватить аутентифицированные сессии пользователей.

На момент публикации фактов эксплуатации в дикой природе и публичных эксплойтов не зафиксировано. Однако уязвимость архитектурно схожа с CVE-2023-4966 (Citrix Bleed) и CVE-2025-5777 (Citrix Bleed 2) — аналогичными уязвимостями чтения памяти в NetScaler.

💥 Об уязвимости
Затронутые версии:
• NetScaler ADC и NetScaler Gateway 14.1 — ниже 14.1-66.59
• NetScaler ADC и NetScaler Gateway 13.1 — ниже 13.1-62.23
• NetScaler ADC 13.1-FIPS и 13.1-NDcPP — ниже 13.1-37.262

* Облачные сервисы, управляемые Citrix и Adaptive Authentication обновлены автоматически и не затронуты.

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
🔺 9,3 — критический уровень опасности

🔍 Индикаторы атаки
• Аномальные запросы к адресам SAML IDP на устройствах NetScaler с нехарактерных или внешних IP-адресов.
• Нетипичные SAML-запросы, содержащие признаки попыток чтения памяти, и увеличение объёма ответов.
• Сессии с несовпадающих IP/устройств.
• Аномальная активность аутентифицированных сессий.

🛡 Рекомендации по защите
1. Обновите NetScaler ADC и Gateway до исправленных версий.

2. Проверьте, сконфигурировано ли устройство как SAML IDP.
Выполните поиск строки add authentication samlIdPProfile в конфигурации NetScaler. Устройства с такой конфигурацией подлежат приоритетному обновлению.

3. Ограничьте сетевой доступ к устройствам NetScaler.
Минимизируйте экспозицию управляющих интерфейсов. Ограничьте доступ к SAML-эндпоинтам из недоверенных сетей средствами ACL, WAF или сетевой сегментации.

4. Проведите аудит сессий и журналов на наличие признаков перехвата сессий.

5. Ознакомьтесь с https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300.

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

🆘 ZenCount: много установок, много уязвимостей

Исследователи СайберОК Виктор Лазарев и Роберт Торосян обнаружили несколько уязвимостей в популярном сервисе видеосчётчиков посетителей ZenCount.

📡 На радарах https://www.cyberok.ru/skipa.html зафиксировано более 1500 экземпляров ZenCount, из которых все подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимостях 14 октября 2025 года.

В рамках политики скоординированного разглашения данные были переданы во ФСТЭК РФ 14 октября 2025 года.

⚠️ Уязвимости связаны с недостаточной защитой служебных данных.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.

1. СОК-2025-10-01 / https://bdu.fstec.ru/vul/2025-14308
• 🔻 CVSS 3.1 – 7.5 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

2. СОК-2025-10-13 / https://bdu.fstec.ru/vul/2025-14317
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

3. СОК-2025-10-14 / https://bdu.fstec.ru/vul/2025-14318
• 🔻 CVSS 3.1 – 7.5 (Высокий уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

⚠️ Уязвимость связана с незашифрованным хранением критичной информации.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.

1. СОК-2025-10-02 / https://bdu.fstec.ru/vul/2025-14309
• 🔻 CVSS 3.1 – 7.5 (Высокий уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

⚠️ Уязвимости связаны с ошибками разграничения доступа.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на целостность и доступность защищаемой информации.

1. СОК-2025-10-05 / https://bdu.fstec.ru/vul/2025-14310
• 🔻 CVSS 3.1 – 9.3 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

2. СОК-2025-10-06 / https://bdu.fstec.ru/vul/2025-14311
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

3. СОК-2025-10-09 / https://bdu.fstec.ru/vul/2025-14314
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

⚠️ Уязвимости связаны с непринятием мер по нейтрализации специальных элементов.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

1. СОК-2025-10-07 / https://bdu.fstec.ru/vul/2025-14312
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

2. СОК-2025-10-08 / https://bdu.fstec.ru/vul/2025-14313
• 🔻 CVSS 3.1 – 10 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

3. СОК-2025-10-12 / https://bdu.fstec.ru/vul/2025-14316
• CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

⚠️ Уязвимость связана с использованием жестко закодированных учетных данных.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.

1. СОК-2025-10-10 / https://bdu.fstec.ru/vul/2025-14315
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.

🚨Организационные меры
• Ограничить использование программного средства.

🚨 Компенсирующие меры
• Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам.
• Ограничение доступа из внешних сетей (Интернет).
• Использование виртуальных частных сетей для организации удаленного доступа (VPN).
• Сегментирование сети для ограничения доступа к уязвимому устройству.
• Настройка веб-сервера на ограничение получения прямого доступа к файлам с расширениями, характерными для конфигурационных и служебных данных.

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

🔒 Повышение привилегий в контроллерах Wiren Board — когда «умный дом» слишком доверчив

Критическая уязвимость BDU:2025-02704 (CVSS 3.1: 9.8) в ПО контроллеров Wiren Board — платформы для автоматизации зданий и «умных домов» — была зарегистрирована в БДУ ФСТЭК ещё в марте 2025 года. Повторно наши исследователи обратили на неё внимание после обновления бюллетеня от 05.02.2026 и роста интереса к ней в профильных источниках. Уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом получить административный доступ к контроллеру, включая системные настройки, резервные копии и журналы.

📊 Масштаб
https://www.cyberok.ru/projects/skipa/ фиксирует до 100 активных уникальных контроллеров Wiren Board, доступных извне в Рунете. Из них 70% потенциально подвержены BDU‑2025‑02704.
Пользователи СКИПА PentOps были своевременно уведомлены.

🧨 Особенности эксплуатации
Веб-интерфейс Wiren Board  без аутентификации показывает функции роли «Пользователь». Разграничение доступа выполняется только на стороне клиента: роль пользователя (role) хранится в Local Storage браузера и определяет лишь видимость элементов интерфейса. Для получения админ-доступа через браузер достаточно изменить role в Local Storage на 3 («Администратор»). Сервер не проверяет права при обращении к привилегированным функциям, поэтому злоумышленник с сетевым доступом может получить полный административный контроль над устройством, включая настройки, резервные копии и системные журналы. Простота эксплуатации создает высокий риск автоматизированных атак.

ℹ️ Об уязвимости
Затронутые устройства
• Wiren Board WB8 — прошивки до 202501301058
• Wiren Board WB7 — до 202501301119
• Wiren Board WB6 — до 202501301119
• Wiren Board WB67 — до 202501301120

Уязвимость повышает привилегии через клиентскую манипуляцию из‑за хранения роли в Local Storage без серверной проверки прав доступа (CWE‑250 — исполнение с необязательными привилегиями).

CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔺 9,8 — критический уровень опасности

🧭 Индикаторы атаки
• Обращения к веб-интерфейсу Wiren Board с нехарактерных или внешних сетевых адресов.
• Действия в административном разделе, совершённые пользователями без роли администратора.
• Операции с резервными копиями, инициированные не из доверенных сессий.
• Обращение к системному журналу со стороны учётных записей с ограниченными привилегиями.
• Изменения конфигурации устройства (сетевые настройки, учётные записи, параметры автоматизации).

🛡 Рекомендации по защите
1. Обновите прошивку контроллеров:
• WB8 — ≥ 202501301058
• WB7 — ≥ 202501301119
• WB6 — ≥ 202501301119
• WB67 — ≥ 202501301120

2. Изолируйте веб-интерфейс контроллера от сети Интернет: используйте виртуальную частную сеть (VPN), белые списки сетевых-адресов или иные средства ограничения доступа.

3. Проверьте журналы и конфигурацию устройства на нехарактерные обращения к административным разделам, операции с резервными копиями и несанкционированные изменения конфигурации.

4. Настройте HTTP-аутентификацию на веб-интерфейсе контроллера для ограничения несанкционированного доступа к интерфейсу управления до установки обновлений и как дополнительную меру защиты после обновления.

5. Примените дополнительные меры защиты, рекомендованные вендором: https://wiki.wirenboard.com/wiki/Security

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

CyberOK и Positive Technologies заключили стратегическое партнерское соглашение

Сотрудничество объединит технологии CyberOK в области управления внешней поверхностью атаки, анализа уязвимостей и непрерывной валидации рисков с экспертизой Positive Technologies в построении масштабируемых платформ кибербезопасности. Технологии CyberOK будут продвигаться на российском и международных рынках, а также интегрироваться в комплексные решения Positive Technologies. Кроме того, партнерство включает взаимный обмене технологической и исследовательской экспертизой — это позволит ускорить развитие продуктов и повысить эффективность решений при защите инфраструктуры организаций.

◼️ При этом CyberOK продолжает развиваться как независимый производитель: действующие партнерские соглашения сохраняются, все обязательства перед клиентами и партнерами остаются неизменными.

Соглашение подписано на «Дне открытых дверей» Positive Technologies 11 марта 2026 года.

1,360

CyberOK_news

13 мая 2026 г., 05:09

📷 Photo

🧠📊 CyberOK Research опубликовал описание прогрессивной методики приоритизации уязвимостей UPS (Urgent Patch Score) — подхода, в котором срочность определяется не одной статичной метрикой, а таймлайном проверяемых сигналов и реальными ограничениями процесса исправления.

⚙️ Идея проста, но практична: в реальной жизни vulnerability management упирается не только в качество сигнала, но и в пропускную способность команд, операционный ритм, дедлайны и compliance. Именно поэтому «правильный скор» сам по себе не решает задачу — нужна модель, которая учитывает и сигнал, и очередь на исправление.

📈 Параллельно вышла работа Prediction Meets Patch Queues, где показаны эмпирические ограничения EPSS-only приоритизации на данных CISA KEV additions in 2025. Вместе эти публикации хорошо показывают, почему индустрии нужен переход от score-only подходов к evidence-driven приоритизации.

Как отмечает CEO CyberOK Сергей Гордейчик:

«Это исследование открыло для меня не только технические вопросы, но и вопросы бизнеса, социальные вопросы. Например, почему компании и исследователи вынуждены делиться экспертизой, делая так, что сумма открытых источников часто эффективнее, чем один или несколько “приватных”. Почему новостные метрики часто шум, а технические индикаторы в целом работают. И лишний раз подтвердило, что всё в мире — музыка».

Материалы:
📄 https://preprints.ru/article/2868

📄 https://www.techrxiv.org/users/1014795/articles/1378267-prediction-meets-patch-queues-empirical-limits-of-epss-only-prioritization-using-cisa-kev-additions-in-2025?commit=5c50f9062a8cc236c2cfa275b3df56662620a001

🗂 https://github.com/scadastrangelove/kev_vs_epss/

CyberOK_news

3 апр. 2026 г., 06:23

🎥 Video

🎬 Как получить доступ ко всему: реверс-инжиниринг

🎞️ Сергей Гордейчик, CEO СайберОК, принял участие в съёмках фильма «Как получить доступ ко всему» — научпоп-документалки о реверс-инжиниринге и людях, для которых «разобрать» — базовый принцип мышления.

🗣️ Сергей комментирует:

«Я никогда не был настоящим реверсером — ни в софте, ни в железе. Но принять участие в съёмках взрослого фильма — очень интересный опыт.

У реверса много граней. Моя первая серьёзная работа — миграция железнодорожной АСУ с мейнфреймов, чтобы спасти систему от «проблемы 2000». Поверьте, там было много реверса: сети, процессов, алгоритмов и людей, которые когда-то писали этого монстра.

Сейчас с большим интересом погружаюсь в «Мысли Ксеноса», разбирая ИИ и агентов».

🧩 Про что фильм?
В фильме мы с интересом и любовью рассказываем о развитии реверса за последние 100 лет — от промышленности после Первой мировой и больших ЭВМ до ИИ и «киберпанка, который мы заслужили» в ближайшем будущем. Для нас это попытка простым языком объяснить, чем мы на самом деле занимаемся, и дать почувствовать себя частью чего-то большого.

😎 «Как получить доступ ко всему: реверс-инжиниринг»
Премьерные показы в Москве пройдут 27 и 28 февраля 🍿

📺 https://rutube.ru/video/f8d744f0a23628777c60d7c77a0ce77d/

🎧 В поддержку релиза вышел альбом https://band.link/idhmi проекта In Dependence (тот самый, который уже делал «хакерскую» музыку для https://bfan.link/phdays-11-1).

🎫 Билеты
Разыгрывают 30 пар (не больше двух в одни руки). Нужно нажать «Участвую!» https://t.me/Positive_Technologies победителей объявят 19 февраля в 17:00.

🔧 Всем гостям показов обещают экскурсии по фиджитал-пространству Кибердома: Музей истории реверса и «Лаборатория реверсеров».

Удачного реверса!

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

📋 По порядку рассчитайсь! User Enumeration в Secure-T

Исследователь СайберОК обнаружил несколько уязвимостей в https://secure-t.ru/ — платформе для повышения осведомленности сотрудников в области информационной безопасности.

Мы благодарим команду Secure-T Awareness Platform за оперативное устранение выявленных недочетов.

Данное ПО зачастую используется внутри корпоративных сетей, однако, по данным https://www.cyberok.ru/skipa.html, встречается в российском сегменте Интернет.

📣 Клиенты СКИПА PentOps были уведомлены 24 ноября 2025 года.

👤 User Enumeration через функционал восстановления пароля
• COK-2025-11-06 / https://bdu.fstec.ru/vul/2025-14446
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.

🔐 User Enumeration через функционал аутентификации
• COK-2025-11-07 / https://bdu.fstec.ru/vul/2025-14447
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе

🖥 Уязвимые версии
• до 4.4.6.

⚠️ Риски
• Сбор списка «живых» пользователей.
• Повышение эффективности brute-force и credential stuffing атак.
• Использование уязвимости как разведывательного этапа перед целенаправленными атаками.

В настоящее время уязвимость устранена в SaaS, выпущено обновление безопасности. Пользователям on-prem решений рекомендуется обновится до последней версии.

🛠 Компенсирующие меры
1. Ограничение возможности подключения к ПО путем внедрения механизма «белых» списков.
2. Ограничение доступа к ПО из внешних сетей (Интернет).
3. Ограничить вход в ПО исключительно через предварительную предаутентификацией сторонним провайдером (SSO).
4. Обновление ПО до версии 4.4.6. и выше.

CyberOK_news

3 апр. 2026 г., 06:23

🌊 Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января

Море Рунета обманчиво спокойно. Поверхность его гладка, сервисы идут ровным курсом, сигнальные огни мигают исправно. Но стоит лишь опустить взгляд глубже и становится ясно, что на глубине обитают монстры, о существовании которых предпочитают молчать.

В декабре и январе судно «СайберОК» совершило очередную экспедицию по отлову морских чудовищ уязвимостей.

📜 Из бортового журнала СКИПА:

❣️ 16554 угрозы были зарегистрированы за 2 месяца — новые и те, что вновь дали о себе знать.
❣️ 15718 из них — абсолютно новые уникальные уязвимости.
❣️ 4364 угроз имели хотя бы одно уникальное упоминание за период.
❣️ 5310 из них — HIGH / CRITICAL.
❣️ 3657 не требуют ни ключей, ни разрешений.
❣️ 37 — KEV.
❣️ 170 уязвимостей взяты в работу.

🦑 В этом перечне — монстры разного рода:
одни действительно способны потопить судно,
другие же пугают лишь обликом, не представляя опасности.

Однако опыт мореплавателя учит: недооценённая уязвимость нередко бывает страшнее очевидного врага.

📚 https://teletype.in/@cyberok/top-antitop-december-january

#инфобезопасность #CVE #CyberOK #СайберОК #СКИПА #рунет #админы #blueteam

📱 | ⚫️ https://www.cyberok.ru/ | 📝 https://habr.com/ru/users/cyber_ok/articles/

1,090

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

⚠️ DoS в React Server Components: один POST и продакшн лёг

Казалось, после громкой RCE () в React Server Components (RSC) можно выдохнуть, но нет.
Исследователи из Winfunc, Flatt Security и Tencent нашли новую уязвимость — CVE-2026-23864, которая бьет не по конфиденциальности, а по доступности: любой RSC-сервер можно отправить в нокаут тривиальным запросом, минуя любые формы авторизации.

На радарах https://www.cyberok.ru/skipa.html
• ~26 000 хостов, использующих уязвимую цепочку React / Next.js
• 8 500+ доступных извне, потенциально уязвимы.
• Что происходит внутри корпоративных сетей — остается за кадром.
Клиенты PentOps были своевременно уведомлены.

💥 Суть уязвимости
В парсере react-server-dom, который обрабатывает Server Actions, есть фундаментальная асимметрия:
крошечный POST-запрос от атакующего → неконтролируемая рекурсия / аллокация памяти на сервере.

Результат:
✖️ 100% CPU
✖️ Memory spike
✖️ Node.js падает с OOM или зависает
✖️ Сервис перестаёт отвечать

Уязвимость детектируется как на уровне библиотек React, так и в готовой инфраструктуре Next.js, поэтому под удар попадает не отдельная реализация, а вся экосистема RSC.

👻 Активная эксплуатация
Фиксируются сигналы In-the-Wild.
После публикации PoC для предыдущих уязвимостей, злоумышленники начали активно фаззить RSC-эндпоинты.
Для атаки достаточно знать, что сайт написан на Next.js App Router. Это увеличивает вероятность автоматизированных атак.

🧱 Уязвимые версии и цепочка зависимостей
Здесь важно понимать: вы уязвимы, если используете затронутую версию React напрямую ИЛИ транзитивно через фреймворк.

• React: ветки 19.0.0 – 19.2.3.
• Next.js: версии 13.x – 16.x (включает зависимости react-server-dom-webpack).
• Экосистема: react-router, waku, https://t.me/parcel/rsc – все, кто внедрил экспериментальные RSC.

🚨 Индикаторы атаки (IoC)
• L7-аномалии: POST-запросы к эндпоинтам с заголовками RSC или Next-Router-State-Tree, содержащие аномально глубокую вложенность JSON (рекурсивные массивы) или флаги командной строки (-f, --).

• Ресурсный паттерн: Синхронный всплеск CPU до 100% и резкий рост потребления RAM (Memory Spike) при обработке единичного входящего POST-пакета.

• Runtime-логи: Задержки Event Loop более 500 мс и циклические перезапуски процессов Node.js с кодом 137 (OOM Killer).

🛡 Рекомендации по защите
1. Срочное обновиться до актуальных версий!
• React: Переход на версии 19.0.4, 19.1.5, 19.2.4 и выше.
• Next.js: Обновление до 15.0.8, 15.5.10 или 16.1.5+.

Важно: Если вы используете Next.js 13 или 14, вы находитесь в зоне максимального риска – официальных исправлений для этих веток не будет.

2. Настройте WAF на детектирование аномально глубокой вложенности или специфических цепочек объектов в POST-запросах к RSC-эндпоинтам (обычно содержат заголовок Next-Router-State-Tree или RSC). Ограничьте количество POST-запросов к API-роутам с одного IP.

3. В контейнеризованных средах жестко ограничьте лимиты памяти. Это позволит перезагрузить конкретный упавший под, не затрагивая соседние сервисы.

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

🔎 Пользователь найден — User Enumeration в DIRECTUM

Исследователь СайберОК обнаружил уязвимость в системе электронного документооборота https://reestr.digital.gov.ru/reestr/305849/

📡 На радарах https://www.cyberok.ru/skipa.html мы наблюдаем более 400 сервисов с данным ПО, из которых около 8% уязвимы. Пользователи СКИПА PentOps были уведомлены об уязвимости 18 сентября 2025 года.

🆔 Об уязвимости
• СОК-2025-08-04 / https://bdu.fstec.ru/vul/2025-11477

🔸 CVSS 3.1: 5.3 — средний уровень опасности
AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:N

Уязвимость позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
Уязвимая версия: 5.7.3.9006

🎯 Риски
• Сбор списка «живых» пользователей.
• Рост эффективности brute-force и credential stuffing.
• Использование как разведывательного этапа перед целенаправленными атаками.

🛡 Компенсирующие меры
• Ограничить доступ путем внедрения механизма «белых» списков.
• Закрыть доступ из внешних сетей (Интернет).
• Разрешить вход только через SSO (предаутентификация).
• Отключить веб-интерфейс DIRECTUM.

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

⚡️GNU Inetutils — вечная классика с обходом аутентификации

В январе 2026 года была вскрыта настоящая «капсула времени»: критическая уязвимость в реализации telnetd из пакета GNU Inetutils (CVE-2026-24061).
https://www.cyberok.ru/skipa.html видит в Рунете около 500 потенциально подверженных хостов, доступных извне, а что происходит внутри закрытых корпоративных сетей — можно только догадываться.

🧩 Суть уязвимости
В GNU Inetutils telnetd (до 2.7) удалённый атакующий может авторизоваться в системе, полностью минуя ввод пароля — для захвата контроля достаточно знать имя существующей учетной записи (например, root).

Через Telnet NEW-ENVIRON можно передать USER="-f root", и telnetd пробросит это в /usr/bin/login, где флаг -f включает autologin и обходит проверку пароля.

🎁 В мае 2025 года уязвимости исполнилось 10 лет!

👻 Активная эксплуатация
В сети уже опубликован детальный технический анализ и полностью рабочий пример эксплуатации. Риск массового сканирования высок.
https://www.openwall.com/lists/oss-security/2026/01/20/2

⏱️ Таймлайн сигналов
✖️ 20 янв 2026 — https://www.openwall.com/lists/oss-security/2026/01/20/2
✖️ 21 янв 2026 — https://nvd.nist.gov/vuln/detail/CVE-2026-24061, CVSS 9.8
✖️ 21 янв 2026 — https://github.com/advisories/GHSA-pf97-p8ff-fj35
✖️ 21 янв 2026 — https://www.cyber.gc.ca/en/alerts-advisories/gnu-security-advisory-av26-047
✖️ 22 янв 2026 — https://www.penligent.ai/hackinglabs/the-zombie-protocol-a-comprehensive-engineering-autopsy-of-cve-2026-24061-gnu-inetutils-auth-bypass/

🧾 Индикаторы атаки (IoC)
• Успешные login-сессии для root без предшествующей проверки пароля.
• В сетевом дампе встречаются параметры среды с флагами командной строки (например, -f, --)

🛡 Рекомендации по защите
1. Обновиться до GNU Inetutils 2.8 или применить официальные патчи, ограничивающие передачу спецсимволов в PATH_LOGIN.
2. Лучше вообще отключить telnetd (в 2026 это уже токсичное наследие) и перейти на SSH.
3. Закрыть 23 порт и оставить доступ только из доверенных сегментов (OOB/Management VLAN).
4. Провести инвентаризацию telnet-сервисов и проверить, что переменные окружения не могут влиять на login.

🧟‍♂️ Дежавю из эпохи Solaris
Если кажется, что это сюжет из 90-х — не кажется. В старых UNIX/Solaris уже всплывали похожие истории вокруг telnet/rlogin, где «служебные флаги» для доверенного входа превращались в удалённый обход аутентификации. Ну кто из «старичков» не помнит CVE-2007-0882?

CVE-2026-24061 — это тот же архетип «legacy-протокол + доверенная логика autologin», который возвращается, когда Telnet всё ещё жив в инфраструктуре.

CyberOK_news

3 апр. 2026 г., 06:23

📎 File

904

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

🎙 Публикуем материалы доклада CEO CyberOK Сергея Гордейчика «Что в дашборде твоём? Я просто хотел посмотреть метрики…» на ZeroNights 2025

Доклад посвящён тому, как облачная observability-инфраструктура (Grafana, Prometheus, и её окружение aka PAG aka LGTM) из инструмента «видимости и контроля» при ошибках конфигурации и слабых настройках превращается в двустороннюю витрину и новый слой атакуемой поверхности.

💬 Цитата Сергея:
«Мой первый доклад на ZeroNighs был в 2011 году, и я очень рад, что конференция вернулась и вернулась в Питере. Причем вернулась не только с именем, но и атмосферой свободы, киберпанка, творчества».

📦 Что внутри репозитория:
📄 Слайды (PDF)
🧰 Скрипты:
🔭 grafana_inventory.py — инвентаризация и базовая «видимость»
🗂 grafana_mssql_health_mapper.py — проверка через datasource-логику
🧪 grafana_infinity_proxy_poc.py — PoC для понимания поведения прокси/датасорса

🔎 Небольшой вывод без романтики: observability = наблюдаемость. А наблюдаемость почти всегда двусторонняя.
И если наблюдать наблюдаемость достаточно долго, наблюдаемость начнёт наблюдать в ответ. (И ещё заведёт тикет.) 🎫👁

🔗 GitHub: https://github.com/cyberok-org/zeronights2025-GRAFUNA

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

🧪 Тестирование системы тестирования

🔍 Исследователь СайберОК Станислав Савченко обнаружил несколько уязвимостей https://reestr.digital.gov.ru/reestr/306016/

📡 Масштаб
На радарах https://www.cyberok.ru/skipa.html мы наблюдаем около 5 000 экземпляров данного ПО, из которых ~3% уязвимы хотя бы к одной из указанных проблем.
Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

🔐 Improper Restriction of Excessive Authentication Attempts
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом brute force.
• COK-2025-04-11 / https://bdu.fstec.ru/vul/2025-05284
• Уязвимы все версии ниже 4.1
• CVSS v3.1
AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:N / A:N
🔥 7.5 — высокий уровень опасности

👤 User Enumeration
Уязвимость позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
• COK-2025-04-10
• Уязвимы все версии ниже 4.1
• CVSS v3.1
AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:N
🔸 5.3 — средний уровень опасности

🧨 Reflected XSS
Уязвимость позволяет выполнить вредоносный JavaScript в контексте браузера жертвы, похитить сессионные cookie или выполнить действия от имени пользователя.
• COK-2025-05-03
• Уязвимы все версии ниже 3.10
• CVSS v3.1
AV:N / AC:L / PR:N / UI:R / S:C / C:L / I:L / A:N
🔸 6.1 — средний уровень опасности

📌 Важно
Отметим, что первые две уязвимости могут использоваться в цепочке, где сначала злоумышленник получает список пользователей, зарегистрированных в системе, а затем перебирает их пароли без каких-либо ограничений.

🛡 Рекомендации
• Обновиться до версии ≥ 4.1
• Провести аудит своих систем на наличие данных типов уязвимостей.

CyberOK_news

3 апр. 2026 г., 06:23

📷 Photo

⏰ TrueConf Server отвечает подробнее, чем нужно

Эксперт СайберОК Роман Малов выявил уязвимость в TrueConf Server, связанную с некорректной обработкой ответов при аутентификации через LDAP, позволяющая злоумышленнику выявлять доменные учётные записи.

📊 Масштаб
СКИПА фиксирует в Рунете около 6200 TrueConf в Рунете — около 23% из них подверженны COK-2025-10-23. Пользователи СКИПА PentOps были своевременно уведомлены.

🧩 Об уязвимости
• COK-2025-10-23 / BDU:2025-16342
• CVSS 3.1
CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности

Ошибка позволяет удалённому нарушителю получать информацию о существовании доменных учётных записей на основе различий во времени ответа сервера. При использовании LDAP-авторизации TrueConf Server возвращает различающиеся ответы на запросы аутентификации. Анализ этих различий (timing-based enumeration, CWE-204) позволяет злоумышленнику перечислять действительные доменные учётные записи без наличия валидных учётных данных.

🖥 Уязвимые версии
• Windows: до 5.5.2.10976
• Linux: до 5.5.2.10975

📉 Риски
• Сбор списка «живых» доменных пользователей.
• Повышение эффективности brute-force и credential stuffing атак.
• Использование уязвимости как разведывательного этапа перед целенаправленными атаками.

🛠 Рекомендации
• Обновить TrueConf Server до исправленных версий.
• Ограничить доступ к эндпоинту /guest/auth/login с внешних IP.
• Применить WAF-защиту и rate-limit для запросов аутентификации.
• Исключить публикацию административной панели во внешнем контуре.
• Обеспечить доступ к админ-панели только через VPN.
• Настроить fail2ban или аналогичные механизмы защиты.

✅ Статус
Уязвимость подтверждена производителем и устранена в актуальных версиях продукта.

🔗 Ссылки
https://bdu.fstec.ru/vul/2025-16342

Showing 20 of 20 posts

No more posts

Рейтинг

Требуется вход

Отзывы пользователей (0)

Пока нет отзывов. Будьте первым, кто поделится своим опытом!

CyberOK_news

CyberOK_news

Рейтинг

Рост участников (Последние 13 дней)

Последние посты

Рейтинг

Отзывы пользователей (0)

Похожие каналы Telegram

Та самая звездочка

Антитеррор Урал

Школа МИБ

Digital Energy 5.0

Гарда

КиберТопор

ИМВЭС НИУ ВШЭ

КиберПул

Похожие каналы Telegram

Та самая звездочка

Антитеррор Урал

Школа МИБ

Digital Energy 5.0

Гарда

КиберТопор

ИМВЭС НИУ ВШЭ

КиберПул

Отзывы пользователей (0)

Последние посты