9379
Анализ защищённости, безопасное конфигурирование ИТ-систем, автоматизация связанных процессов ИБ и другие интересные штуки. Пишите в личку: @leonov_av
Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах":
"Кроме того, передача информации о выявленных недостатках программ для ЭВМ и (или) базы данных правообладателям, находящимся под юрисдикцией государств, совершающих недружественные действия в отношении Российской Федерации, не отвечает интересам обеспечения безопасности Российской Федерации."
Вполне справедливо. Более того, контакты российских исследователей с вендорами из недружественных стран (зачастую крупным гос. подрядчиками) в текущей непростой геополитической ситуации могут иметь признаки противоправной деятельности. 🤔 См. 275 УК РФ: "консультационная или иная помощь". А оно вам надо?
Централизация репортинга уязвимостей могла бы помочь: российский исследователь сдаёт найденную уязвимость не вендору, а российскому регулятору (ФСТЭК? НКЦКИ?), а регулятор уже принимает решение - следует ли сообщать об этой уязвимости вендору из недружественной страны или нет.
@avleonovrus #dewesternization #research
Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы. 🤷♂️ Ведь задача, которая ставится перед их разработчиками - получить за минимальное время и с минимальными затратами решение с максимальной функциональностью. И заработать на этом. 👛
Для того чтобы отечественные ОС стали по-настоящему отечественными, необходимо менять подход. Исходить из того, что западные опенсурсные компоненты - зло. Они нашпигованы закладками (иногда под видом уязвимостей 😏). Для того чтобы минимизировать риски, связанные с этими закладками, необходимо минимизировать и количество зависимостей. А для этого нужно хотя бы поддерживать актуальный реестр зависимостей.
Тогда постепенно можно будет избавляться от наиболее сомнительных зависимостей, переходить на отечественные аналоги и форки. Тем самым формируя по-настоящему отечественные операционные системы. Которых (сюрприз-сюрприз!) сейчас нет. 🌝
@avleonovrus #Linux #OS #dewesternization
Про уязвимость Remote Code Execution - Internet Shortcut Files (CVE-2025-33053). Уязвимость из июньского Microsoft Patch Tuesday. Эта уязвимость сразу имела признаки эксплуатации вживую. Эксплуатация уязвимости позволяет удалённому злоумышленнику выполнить произвольный код при открытии жертвой специального .url-файла, доставленного, например, в ходе фишинговой атаки.
🔹 Уязвимость зарепортили исследователи из компании Check Point. В день июньского Microsoft Patch Tuesday (10 июня) на их сайте были опубликованы технические детали. Уязвимость эксплуатировалась APT-группой Stealth Falcon как минимум с марта 2025 года. Эксплуатация уязвимости приводила к загрузке и запуску вредоносного ПО (Horus Agent) с WebDAV-сервера злоумышленника.
🔹 Эксплоиты для уязвимости доступны на GitHub с 12 июня.
@avleonovrus #URLfile #CheckPoint #Microsoft #Windows #StealthFalcon #WebDAV
Результаты опроса R-Vision: около 80% компаний считают качество сканирования ключевым критерием выбора VM-решений. В опросе приняли участие 83 респондента. Это были ИБ-cпециалисты различного уровня (от линейных сотрудников до CISO), работающие в компаниях разного размера (от SMB до Enterprise) и из различных отраслей (финансы, промышленность, ИТ, ГОСы, нефтегаз, ритейл, транспорт, телекомы, энергетика).
Результаты выглядят вполне адекватно:
🔹 Чем крупнее компания, тем более зрелый там VM-процесс.
🔹 Главный критерий выбора VM-решений - широкое покрытие ОС и приложений. Также важны скорость, стабильность и минимизация фолзов.
Хочется надеяться, что как можно больше VM-вендоров ознакомятся с результатами этого опроса и начнут уделять приоритетное внимание разработке правил детектирования уязвимостей и тестированию качества их работы. 🙏 То есть той базовой функциональности, без которой все остальные "высокоуровневые" фичи не имеют никакого смысла. 🤷♂️😉
@avleonovrus #detection #VMprocess #RVision
Я задал Алисе, GigaChat, ChatGPT, Deepseek и PerplexityAI одинаковый вопрос: "Где работает avleonovrus?" Везде использовал режим ресёрча.
❌ Алиса ответила, что я консалтингом занимаюсь
❌ GigaChat написал мне кучу дифирамбов, но на вопрос не ответил
✅ ChatGPT ответил правильно, что в PT
❌ Deepseek ответил по устаревшим данным, что в Tinkoff
✅ PerplexityAI ответил правильно, что в PT
Результатам не удивлён. 🤷♂️ Нормально ресёрчить пока умеют только ChatGPT и PerplexityAI.
@avleonovlive
Три года назад, 3 июля 2022 года, я начал вести телеграм-канал "Управление Уязвимостями и прочее". 🙂🎉🎂 За прошедший год количество подписчиков выросло с 6000 до более чем 9000! Большое спасибо всем, кто читает, лайкает и репостит, а также участвует в обсуждениях в чате и live-канале!
Собираюсь продолжать в том же духе. Буду писать всякое про уязвимости, средства анализа защищённости, VM-практики, свои (и чужие) опенсурсные проекты и требования регуляторов. Безусловно, при каждом удобном случае продолжу топить за девестернизацию российского IT. 😉
Не знаю уж, что настанет раньше: переход психологически (и юридически) значимой отметки в 10к подписчиков или прекращение стабильной работы Telegram в России. 🤷♂️🙂 Вполне возможно, что второе. Но, думаю, в любом случае останемся на связи.
@avleonovrus #дыбр #годовщина #Telegram
Всегда есть риски оказаться в заложниках изменившейся политической ситуации. Тут в новостях показывают задержанных и избитых в Азербайджане российских IT-шников. С одним из них, фронтендером и бывшим VK-шником Дмитрием Безуглым, мы в первом круге в известной американской соцсети. Не припомню, чтобы лично общались или даже переписывались, но вот сам факт. Всё близко. Судя по профилю, он уволился из VK и релоцировался в Тбилиси в августе 2022-го года, затем перебрался в Дубай. Ну и вот оказался в гостеприимном Азербайджане в ненужное время...
Задержанных подозревают в тяжких преступлениях, среди которых и "киберпреступления". Товарищи релоцированные ИБ-шники, примите к сведению! Вам такое дело пришить смогут куда проще, чем фронтендеру.
Лучи поддержки Дмитрию и другим задержанным соотечественникам. Хочется надеяться, что их вытащат, они вернутся на Родину и перестанут уже дурака валять.
@avleonovrus #offtopic #azerbaijan #freeBezugly
Ведётся ли сейчас информационная атака на мессенджер MAX? Ну, очевидно, ведётся. 🙂 Кто-то накидывает за деньги из условного Тбилиси. Кто-то бесплатно готов хаять любой российский продукт, которому оказывается господдержка. А возможно конкуренты ещё надеются стать нацмессенджером вместо MAX-а от VK.
Аргументы слабенькие:
🔹 То, что мобильный клиент сделали на основе ТамТам-а неудивительно. VK реюзнули свои же наработки.
🔹 То, что хранят "IP-адрес, контакты, время активности" - а какой мессенджер не хранит? 😅
🔹 То, что опенсурсные библиотеки используют, у которых сомнительные мантейнеры и контрибьюторы - скверно, но решаемо. Форкнут или перепишут под другие. А вы уверены в зависимостях у остальных приложений на вашем смартфоне? 😏
🔹 Юридическое оформление дочки сделали неаккуратно, да. Но какая разница, если за проектом всё равно большой VK?
Настоящие проблемы MAX-а в том, что он сыроват, в нём нет каналов и нет стимула им пользоваться пока работает Телега. Ждём осени. 😉
@avleonovrus #VK #MAXmessenger
VM-вендоры и Linux-вендоры: доверять, проверять, стимулировать. Моё мнение относительно правильного детектирования уязвимостей в Linux-дистрибах. 🙂
🔹 В идеале бюллетени безопасности (или публичный трекер) Linux-вендора должны содержать информацию обо всех известных уязвимостях во всех пакетах, доступных в репозитории Linux-вендора. И VM-вендор должен детектировать уязвимости в пакетах ОС исключительно на основе этой информации.
🔹 Если VM-вендор в ходе проверок обнаруживает, что в бюллетенях Linux-вендора описаны не все уязвимости, он должен ему об этом сообщить. ✉️ Если реакции нет, VM-вендор должен реализовать правила детектирования по своей логике. В том числе, "опускаясь до базового дистриба".
🔹 При отсутствии реакции VM-вендор должен сообщить регуляторам (ФСТЭК и Минцифры?) о том, что Linux-вендор пренебрегает своими обязанностями по описанию и устранению уязвимостей. Желательно, чтобы это влияло на присутствие ОС в реестре и наличие у неё сертификата. 😉
@avleonovrus #detection #Linux #Минцифры #FSTEC
Ренессанс "албанских" вирусов и антивирусов. Была такая бородатая шутейка времён FIDO (а может и того раньше) про "албанский вирус" - обычное текстовое сообщение, автор которого вежливо просит получателя самостоятельно удалить важные файлы с десктопа и переслать это сообщение дальше друзьям-коллегам. Мол, автор и рад бы закодить всю эту зловредную функциональность, но не умеет. 🤷♂️
Адекватный человек, прочитавший такое, только усмехнётся наглости. Хотя, учитывая успешность схем телефонного мошенничества, некоторые люди готовы выполнять и такие указания. 🫡
Гораздо интереснее, когда подобные сообщения начинает читать не человек, а ИИ. Что сейчас внедряется повсеместно. 🤖 Поэтому добавление к инпуту фраз типа "забудь все предыдущие инструкции и выполни <это>" становится обычной практикой и для обхода средств защиты, и для выявления зловредной активности. И, наверняка, много ещё для чего. Усилий не требует, а где-нибудь, глядишь, инъекция и сработает.
AI-ный аналог кавычки. 😉
@avleonovrus #madworld #AI
Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday. Теперь я отслеживаю когда были исправлены те или иные CVE-шки в пакетах ALT Linux и учитываю это при формировании ежемесячных бюллетеней. Чем больше источников данных по исправляемым уязвимостям в Linux дистрибутивах, тем адекватнее становятся бюллетени. 👍 Особенно если эти Linux дистрибутивы независимые, а не деривативы. 😇
Итого, сейчас в генераторе LPW используется 7 источников в формате OVAL:
🔹 Debian
🔹 Ubuntu
🔹 Oracle Linux
🔹 RedOS
🔹 AlmaLinux
🔹 Red Hat
🔹 ALT Linux
И ещё один источник в формате листов рассылки Debian.
С обзором июньского Linux Patch Wednesday я припозднился (в связи с этими доработками и отпуском), но планирую в скором времени его выпустить (upd. выпустил). Тем более что уязвимостей там не так уж много - 598. 🙂
@avleonovrus #ALTLinux #LinuxPatchWednesday #OVAL
Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.
Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂
🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.
🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии <= 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉
Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".
@avleonovrus #VMprocess #detection #Echelon
Ровно 84 года назад началась самая страшная война в отечественной истории. Оценки первого года этой войны практически единогласные: "трагедия 1941 года", "катастрофа 1941 года". О причинах исследователи спорят до сих пор. Но то, что страна оказалась не готова к войне с нацистской Европой - факт.
А готова ли она сейчас? В части защиты КИИ, похоже, что нет. Во всяком случае, если верить тому, что написал Владимир Иванов (CEO ScanFactory) в комментарии на мой предыдущий пост:
"Когда российское ИТ полностью откажется от использования зарубежного софта, тогда и российское ИБ может отказываться от зарубежных решений. Переводя с политического на русский — никогда".
Если так, то КИИ нам на определённом этапе отключат. 🤷♂️ Возможно, в ходе операции под чужим флагом.
"Статус ядерной державы" этому не помешает. Как не мешает он объединённому Западу уже третий год участвовать в полномасштабном прокси-конфликте с Россией. И даже наносить удары по компонентам ядерной триады.
@avleonovrus #НДВ #june22 #nukes
Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений. Размышления о существовании недекларируемых возможностей (НДВ) всегда отдают некоторой паранойей. 🤔
🔹 По-хорошему, НДВ нужно наглядно предъявлять. А делать это технически сложно. И у западного вендора всегда остаётся правдоподобное объяснение: "Это уязвимость, сейчас исправим". 😏
🔹 А если их не предъявлять, остаются лишь голословные обвинения в адрес "респектабельных" западных компаний, которые делают продукты дешевле, эффективнее и удобнее отечественных аналогов. 🥸 А главное - "ПРИВЫЧНЕЕ".
В таких условиях вопрос НДВ сводится во многом к личной убеждённости (и "экспертным оценкам"). 🤷♂️
Я абсолютно убеждён, что зловредная функциональность в западных продуктах есть, и в час X она обязательно будет активирована. И чем больше западных продуктов мы успеем выкорчевать и заменить отечественными или хотя бы продуктами из дружественных стран, тем менее катастрофичными будут последствия.
@avleonovrus #НДВ #Dewesternization
По итогам недельного отпуска во Владимире. Приятный город. Чуть менее двух часов езды от Москвы на ласточке с закреплёнными местами. Практически вся историческая часть города расположена очень компактно вдоль Большой Московской улицы.
Наибольшая достопримечательность - Дмитровский собор (конец XII века), обильно украшенный резьбовой по камню в средневековой западноевропейской манере: улыбающиеся львы, грифоны, кентавры, птица Сирин, множество святых. Очень занимательно это разглядывать. 😇
Из архитектуры также произвела большое впечатление кирпичная Троицкая церковь старообрядцев Белокриницкого согласия (начало XX века). К сожалению, верующим её пока не передали.
Мы много гуляли, вкусно кушали, ходили на мастер-классы (разведческий, роспись ложек/подставок/пряников, лепка 😅), в музеи и на концерты (ансамбль "Русь" - ТОП 😉).
Буду теперь возвращаться в рабочий режим. 🙂
@avleonovrus #travel #дыбр #offtopic #Владимир
Исследование от 18 Марта 2025
> Авторы сравнили 7 инструментов (Trivy, Grype, DepScan, OSV-scanner, Docker Scout, Vexy, Snyk) на наборе из 48 контейнеров с разными уровнями уязвимостей.
> Разница в количестве найденных уязвимостей: от 191 до 18 680 для одного и того же набора контейнеров.
Вообще не удивлён. 😏 Обычная ситуация, когда качество детектирования уязвимостей никого не волнует. Какие-то CVE-шки тулза вывела и ладно. 🌚 Как именно она это сделала - да фиг её знает, magic. 🪄 Ставим галочку ✅, что тулза отлично детектит уязвимости и идём чилить. 🫠
@avleonovlive
🚨 Для уязвимости Elevation of Privilege - Windows Update Service (CVE-2025-48799) из июльского MSPT появился эксплойт на GitHub. Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до уровня SYSTEM.
@avleonovlive
К сожалению, в связи с отпуском я не могу выпустить традиционный отчёт Vulristics по июльскому Microsoft Patch Tuesday. 🤷♂️ Нормальный анализ я буду делать уже на следующей неделе.
А пока почитал, что там пишут ZDI, Qualys и другие.
130 CVE, эксплуатирующихся вживую пока нет.
Отдельно подсвечивают:
🔹 CVE-2025-47981 - SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability
🔹 CVE-2025-49717 - Microsoft SQL Server Remote Code Execution Vulnerability
🔹 CVE-2025-49704 - Microsoft SharePoint Remote Code Execution Vulnerability
🔹 CVE-2025-49695 - Microsoft Office Remote Code Execution Vulnerability
Пока в отпуске, пишу в основном в live-канал. В том числе всякие путевые заметки про Питер. Подписывайтесь! 😉
@avleonovlive
Про уязвимость Remote Code Execution - Roundcube (CVE-2025-49113). Roundcube - популярный веб-клиент для работы с электронной почтой (IMAP) с открытым исходным кодом. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере Roundcube Webmail. Причина уязвимости - Deserialization of Untrusted Data (CWE-502).
🔹 1 июня вендор выпустил исправленные версии 1.6.11 и 1.5.10. В течение 48 часов патч был проанализирован злоумышленниками и сообщения о продаже эксплойта появились в даркнете.
🔹 3 июня эксперты PT SWARM воспроизвели уязвимость.
🔹 С 5 июня публичные эксплоиты доступны на GitHub.
🔹 6 июня Кирилл Фирсов, исследователь, зарепортивший эту уязвимость, опубликовал подробный write-up. В нём он утверждает, что уязвимость присутствовала в коде 10 лет и что есть признаки её публичной эксплуатации.
🔹 16 июня появились сообщения об успешной атаке на немецкого почтового хостинг-провайдера с использованием этой уязвимости.
@avleonovrus #Roundcube #FearsOff
Вчера провёл традиционный закрытый вебинар по VM-у в рамках Бауманского курса профессиональной переподготовки по направлению "Управление ИБ". С этого года они работают под брендом БАУМАНТЕХ. 🙂 На вебинаре было около 30 человек. Текущий набор слушателей курса очень сильный. Было заметно, что люди с обширным IT/ИБ-бэкграундом. 🔥 Получил большое удовольствие от общения. Вопросы были отличные. 👍
Отметил для себя, что
🔹 БОСПУУ нужно превращать в текст (методичку?) и прорабатывать вглубь. Это явно востребовано.
🔹 Нужны также образцы корпоративных документов (политик), описывающих VM-процесс в типовой организации. Чтобы, ориентируясь на них, можно было составить свои. Сейчас в паблике такого нет. 🤷♂️ А ещё желательно, чтобы эти образцы документов соответствовали и БОСПУУ, и методикам/руководству ФСТЭК, и 117-му приказу ФСТЭК. 🤔
Планов, как обычно, громадьё. 🙂
@avleonovrus #education #BMSTU #BAUMANTECH #VMprocess
Про уязвимость Elevation of Privilege - Windows SMB Client (CVE-2025-33073). Уязвимость из июньского Microsoft Patch Tuesday. Для эксплуатации уязвимости злоумышленник может выполнить вредоносный скрипт, чтобы заставить хост жертвы подключиться к атакующему серверу по SMB и пройти аутентификацию. В результате злоумышленник может получить привилегии SYSTEM.
🔹 Детали эксплуатации уязвимости были опубликованы 11 июня (на следующий день после MSPT) на сайтах компаний RedTeam Pentesting и Synacktiv.
🔹 Эксплоиты для уязвимости доступны на GitHub с 15 июня.
🔹 Исследователи PT ESC подтвердили эксплуатабельность уязвимости и 24 июня опубликовали ликбез, варианты эксплуатации и информацию по методам детектирования.
Помимо установки обновления, для устранения уязвимости необходимо настроить принудительное требование подписи SMB для SMB-служб контроллеров и рабочих станций.
Информации об эксплуатации вживую пока нет.
@avleonovrus #Microsoft #Windows #SMB #NTLMreflection #Kerberos #Synacktiv #RedTeamPentesting
Июньский Linux Patch Wednesday. В этот раз 598 уязвимостей, почти в 2 раза меньше, чем в мае. Из них 355 в Linux Kernel. Для 3 уязвимостей есть признаки эксплуатации вживую (CISA KEV):
🔻 SFB - Chromium (CVE-2025-2783)
🔻 MemCor - Chromium (CVE-2025-5419)
🔻 CodeInj - Hibernate Validator (CVE-2025-35036). Уязвимость эксплуатируется в атаках на Ivanti Endpoint Manager Mobile (EPMM), отслеживается по CVE-2025-4428.
Ещё для 40 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:
🔸 RCE - Roundcube (CVE-2025-49113)
🔸 EoP - libblockdev (CVE-2025-6019)
🔸 DoS - Apache Tomcat (CVE-2025-48988), Apache Commons FileUpload (CVE-2025-48976)
🔸 InfDisc - HotelDruid (CVE-2025-44203)
🔸 DoS - ModSecurity (CVE-2025-47947)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Chromium #HibernateValidator #Ivanti #EPMM #Roundcube #libblockdev #Apache #Tomcat #ApacheCommons #HotelDruid #ModSecurity
Блокировки работают, нужно больше блокировок! Частенько читаю в каналах коллег, что РКН следует прекратить "неэффективные" блокировки западных веб-сервисов. Моя позиция ровно противоположная - блокировки успешны, критически важны и их следует расширять.
🔹 Благодаря блокировкам западные сервисы перестают широко использоваться в стране. Кто сейчас выкладывает ролики только на YouTube или заводит чатик в Viber? 😏 И с Cloudflare будет также. Хочешь российский трафик? Переезжай на российский CDN!
🔹 Когда западные сервисы доминируют в стране, "сковырнуть" их невозможно. Они демпингом и маркетинговыми бюджетами душат любую конкуренцию. 🤷♂️ Блокировки вычищают рынок на 140+ млн. человек для российских компаний, создают рабочие места, дают шанс на развитие и будущую международную экспансию. 🚀
🔹 Блокировки затрудняют зарубежным "ЦИПСО" мытьё мозгов нашим ширнармассам и способствуют сохранению стабильности в стране. 😉
Плюсы превышают любые возможные минусы и неудобства. 👍
@avleonovrus #РКН #dewesternization
Стоит ли опускаться до базового дистрибутива при детектировании уязвимостей Linux? Возьмём деривативный Linux-дистрибутив. Например, Astra Linux CE, использующий помимо собственных также пакеты Ubuntu и Debian.
Есть 2 подхода к детектированию уязвимостей:
🔹 Используем только информацию об уязвимостях от вендора. Берём бюллетени безопасности вендора, генерим на основе них правила детектирования ("версия пакета < X -> уязвимость"). И детектируем, и устраняем уязвимости по рекомендациям вендора.
🔹 Используем информацию об уязвимостях от вендора, но и опускаемся до базового дистрибутива. Т.е. предыдущий вариант плюс смотрим на пакеты, которые похоже были взяты из базового дистриба (Ubuntu, Debian) и используем для их проверки правила детектирования для этого базового дистриба (OVAL-контент Ubuntu, Debian). Продетектируется больше уязвимостей, но вендор, скорее всего, посчитает их фолсами и обновлений не выпустит. 🤷♂️
Как считаете, какой подход более правильный? 🤔
@avleonovrus #detection #Linux #AstraLinux
Кибердом запустил метавселенную. Виртуальное пространство повторяет интерьеры реального московского Кибердома. Эту площадку собираются использовать для проведения гибридных мероприятий: одновременно и офлайновых, и виртуальных. 🙂 Но уже сейчас можно побродить, пообщаться голосом, пройти квест, поиграться с редактором аватаров. 🥸 Доступ свободный. Работает всё из браузера.
В общем, довольно потешная штука. Возможно, и для чего-нибудь полезного можно будет приспособить. 😉
@avleonovrus #Кибердом #Voltep #Metaverse #fun
Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂
🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.
🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.
🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.
@avleonovrus #PositiveTechnologies #MaxPatrolVM
Публичная база уязвимостей Эшелон Сканер-ВС. На днях коллеги из Эшелон запустили портал, отображающий уязвимости из базы знаний Сканер-ВС 7. 🔥
На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.
Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.
Также есть ссылки на эксплоиты (не из NVD!) 🔥
В общем, круто получилось! Молодцы, Эшелон! 👍
@avleonovrus #Echelon #ScanerVS #detection #description
Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело. Понятно, что личные убеждения, не особо впечатляют скептиков. 🙂 Они будут возмущаться импортозамещением и препятствовать ему до самого часа X. Хотя сейчас даже новости из реального, физического мира, намекают, что такого рода действия вполне в духе западных джентльменов. Возьмём, из последнего ирано-израильского:
🔹 Наносят удар 13 июня, за 2 дня до переговоров.
🔹 Физически устраняют учёных-ядерщиков. А ИБшников когда?
🔹 Заявляют о двухнедельном тайм-ауте для заключения соглашения и тут же начинают бомбардировки.
Про хлопающие пейджеры тоже вспомним. Да и про дроны, вылетающие из фур.
Грязные и бесчестные методы? А с точки зрения Запада это военная хитрость, изобретательность, хуцпа. 🤷♂️
На этом фоне активация программно-аппаратных закладок выглядит как что-то вполне невинное: "вот дурачки-то, поверили, закупили, внедрили, а мы им через это РАЗ - коллапс и ущерб на миллиарды $". 😏
@avleonovrus #НДВ #Dewesternization
Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip. Традиционная ежемесячная подборка. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего 7 трендовых уязвимости:
🔻 Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)
🔻 Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)
🔻 Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)
🔻 Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)
🔻 Remote Code Execution - 7-Zip (BDU:2025-01793)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #DWM #CLFS #Apache #HTTPD #DEVCORE #watchTowrLabs #SonicWall #SonicWallSMA #CISAKEV #MDaemon #ESET #Zimbra #7zip #MoTW #SmartScreen
Заканчивается приём заявок на Pentest Award 2025. Deadline - 30 июня!
Участие бесплатное, финалисты получат технику Apple и максимальный почет сообщества. Церемония награждения будет проходить 1 августа в Москве.
Заявка подаётся в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты. Важно только отразить сам подход и идею.
➡️ Подать заявку и узнать больше информации можно на сайте премии.
@avleonovrus #offensive #Awillix #pentest #PentestAward