Октябрьский Linux Patch Wednesday. Всего 248 уязвимостей. Из них 92 в Linux Kernel.
5 уязвимостей с признаками эксплуатации вживую:
🔻 Remote Code Execution - CUPS (CVE-2024-47176) и ещё 4 уязвимости CUPS, которые могут использоваться также для усиления DoS-атак
🔻 Remote Code Execution - Mozilla Firefox (CVE-2024-9680)
Для 10 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них можно выделить:
🔸 Remote Code Execution - Cacti (CVE-2024-43363)
🔸 Elevation of Privilege - Linux Kernel (CVE-2024-46848)
🔸 Arbitrary File Reading - Jenkins (CVE-2024-43044)
🔸 Denial of Service - CUPS (CVE-2024-47850)
🔸 Cross Site Scripting - Rollup JavaScript module (CVE-2024-47068)
🗒 Отчёт Vulristics по октябрьскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
5 уязвимостей с признаками эксплуатации вживую:
🔻 Remote Code Execution - CUPS (CVE-2024-47176) и ещё 4 уязвимости CUPS, которые могут использоваться также для усиления DoS-атак
🔻 Remote Code Execution - Mozilla Firefox (CVE-2024-9680)
Для 10 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них можно выделить:
🔸 Remote Code Execution - Cacti (CVE-2024-43363)
🔸 Elevation of Privilege - Linux Kernel (CVE-2024-46848)
🔸 Arbitrary File Reading - Jenkins (CVE-2024-43044)
🔸 Denial of Service - CUPS (CVE-2024-47850)
🔸 Cross Site Scripting - Rollup JavaScript module (CVE-2024-47068)
🗒 Отчёт Vulristics по октябрьскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Ноябрьский Microsoft Patch Tuesday. 125 CVE, из которых 35 были добавлены с октябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:
🔻 Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)
🔻 Spoofing - Windows NTLM (CVE-2024-43451)
Без признаков эксплуатации, но с приватным PoC-ом эксплоита:
🔸 Remote Code Execution - Microsoft Edge (CVE-2024-43595, CVE-2024-43596)
🔸 Authentication Bypass - Azure Functions (CVE-2024-38204)
🔸 Authentication Bypass - Microsoft Dataverse (CVE-2024-38139)
🔸 Spoofing - Microsoft Exchange (CVE-2024-49040)
Из остальных можно выделить:
🔹Remote Code Execution - Windows Kerberos (CVE-2024-43639)
🔹Elevation of Privilege - Windows Win32k (CVE-2024-43636)
🔹Elevation of Privilege - Windows DWM Core Library (CVE-2024-43629)
🔹Elevation of Privilege - Windows NT OS Kernel (CVE-2024-43623)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)
🔻 Spoofing - Windows NTLM (CVE-2024-43451)
Без признаков эксплуатации, но с приватным PoC-ом эксплоита:
🔸 Remote Code Execution - Microsoft Edge (CVE-2024-43595, CVE-2024-43596)
🔸 Authentication Bypass - Azure Functions (CVE-2024-38204)
🔸 Authentication Bypass - Microsoft Dataverse (CVE-2024-38139)
🔸 Spoofing - Microsoft Exchange (CVE-2024-49040)
Из остальных можно выделить:
🔹Remote Code Execution - Windows Kerberos (CVE-2024-43639)
🔹Elevation of Privilege - Windows Win32k (CVE-2024-43636)
🔹Elevation of Privilege - Windows DWM Core Library (CVE-2024-43629)
🔹Elevation of Privilege - Windows NT OS Kernel (CVE-2024-43623)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Ноябрьский Linux Patch Wednesday. Только я обрадовался в октябре, что количество уязвимостей постепенно снижается до приемлемого уровня, как снова получил пик. Всего 803 уязвимостей. Из них 567 в Linux Kernel. Какое-то безумие. 😱
2 уязвимости в Chromium с признаками эксплуатации вживую:
🔻 Security Feature Bypass - Chromium (CVE-2024-10229)
🔻 Memory Corruption - Chromium (CVE-2024-10230, CVE-2024-10231)
Для 27 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них я бы обратил внимание на:
🔸 Remote Code Execution - PyTorch (CVE-2024-48063)
🔸 Remote Code Execution - OpenRefine Butterfly (CVE-2024-47883) - "web application framework"
🔸 Code Injection - OpenRefine tool (CVE-2024-47881)
🔸 Command Injection - Eclipse Jetty (CVE-2024-6763)
🔸 Memory Corruption - pure-ftpd (CVE-2024-48208)
🗒 Отчёт Vulristics по ноябрьскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
2 уязвимости в Chromium с признаками эксплуатации вживую:
🔻 Security Feature Bypass - Chromium (CVE-2024-10229)
🔻 Memory Corruption - Chromium (CVE-2024-10230, CVE-2024-10231)
Для 27 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них я бы обратил внимание на:
🔸 Remote Code Execution - PyTorch (CVE-2024-48063)
🔸 Remote Code Execution - OpenRefine Butterfly (CVE-2024-47883) - "web application framework"
🔸 Code Injection - OpenRefine tool (CVE-2024-47881)
🔸 Command Injection - Eclipse Jetty (CVE-2024-6763)
🔸 Memory Corruption - pure-ftpd (CVE-2024-48208)
🗒 Отчёт Vulristics по ноябрьскому Linux Patch Wednesday
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Декабрьский Microsoft Patch Tuesday. 89 CVE, из которых 18 были добавлены с ноябрьского MSPT. 1 уязвимость с признаками эксплуатации вживую:
🔻 EoP - Windows Common Log File System Driver (CVE-2024-49138). Подробностей по этой уязвимости пока нет.
Строго говоря, была ещё одна уязвимость, которая эксплуатировалась вживую: EoP - Microsoft Partner Network (CVE-2024-49035). Но это уже исправленная уязвимость в веб-сайте Microsoft и я вообще не уверен, что для неё стоило заводить CVE. 🤔
Для остальных уязвимостей пока нет ни признаков эксплуатации вживую, ни эксплоитов (даже приватных).
Можно выделить:
🔹 RCE - Windows LDAP (CVE-2024-49112, CVE-2024-49127)
🔹 RCE - Windows LSASS (CVE-2024-49126)
🔹 RCE - Windows Remote Desktop Services (CVE-2024-49106 и ещё 8 CVE)
🔹 RCE - Microsoft MSMQ (CVE-2024-49122, CVE-2024-49118)
🔹 RCE - Microsoft SharePoint (CVE-2024-49070)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Windows Common Log File System Driver (CVE-2024-49138). Подробностей по этой уязвимости пока нет.
Строго говоря, была ещё одна уязвимость, которая эксплуатировалась вживую: EoP - Microsoft Partner Network (CVE-2024-49035). Но это уже исправленная уязвимость в веб-сайте Microsoft и я вообще не уверен, что для неё стоило заводить CVE. 🤔
Для остальных уязвимостей пока нет ни признаков эксплуатации вживую, ни эксплоитов (даже приватных).
Можно выделить:
🔹 RCE - Windows LDAP (CVE-2024-49112, CVE-2024-49127)
🔹 RCE - Windows LSASS (CVE-2024-49126)
🔹 RCE - Windows Remote Desktop Services (CVE-2024-49106 и ещё 8 CVE)
🔹 RCE - Microsoft MSMQ (CVE-2024-49122, CVE-2024-49118)
🔹 RCE - Microsoft SharePoint (CVE-2024-49070)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.
В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?
00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day
🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024
Понравился доклад? 🗳 Проголосуй за него! 😉
@avleonovrus #Event #TrendVulns #VKConfabMax #VK #NIST #NVD #CNA #втрендеVM #TrendVulns #PositiveTechnologies #Linux #LinuxKernel #LinuxPatchWednesday #Vulristics #Microsoft #phishing #firewall #backup #virtualization #dev #wiki #CMS #БОСПУУ #vmprocess #MaxPatrolVM #CyberOK #0day
В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?
00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day
🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024
Понравился доклад? 🗳 Проголосуй за него! 😉
@avleonovrus #Event #TrendVulns #VKConfabMax #VK #NIST #NVD #CNA #втрендеVM #TrendVulns #PositiveTechnologies #Linux #LinuxKernel #LinuxPatchWednesday #Vulristics #Microsoft #phishing #firewall #backup #virtualization #dev #wiki #CMS #БОСПУУ #vmprocess #MaxPatrolVM #CyberOK #0day
VK Видео
VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ
В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать…
Декабрьский Linux Patch Wednesday. Всего 316 уязвимостей. По сравнению с ноябрьским - по-божески. 🙂 Из них 119 в Linux Kernel.
Две уязвимости с признаками эксплуатации вживую. Обе в Safari:
🔻 RCE - Safari (CVE-2024-44308)
🔻 XSS - Safari (CVE-2024-44309)
В Linux дистрибутивах эти уязвимости исправляют не в Safari, а в пакетах опенсурсного браузерного движка WebKit.
Для 19 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Можно выделить следующие:
🔸 RCE - Moodle (CVE-2024-43425). Исправлена в августе, но первый фикс в репозитории Linux-вендора появился 2024-11-21 (RedOS)
🔸 Command Injection - Grafana (CVE-2024-9264)
🔸 Command Injection - virtualenv (CVE-2024-53899)
🔸 SQLi - Zabbix (CVE-2024-42327)
🔸 Data Leakage - Apache Tomcat (CVE-2024-52317)
🗒 Отчёт Vulristics по декабрьскому Linux Patch Wednesday
🎉🆕 Зарелизил Vulristics 1.0.9 с улучшенным детектированием уязвимого софта по описанию CVE.
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Две уязвимости с признаками эксплуатации вживую. Обе в Safari:
🔻 RCE - Safari (CVE-2024-44308)
🔻 XSS - Safari (CVE-2024-44309)
В Linux дистрибутивах эти уязвимости исправляют не в Safari, а в пакетах опенсурсного браузерного движка WebKit.
Для 19 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Можно выделить следующие:
🔸 RCE - Moodle (CVE-2024-43425). Исправлена в августе, но первый фикс в репозитории Linux-вендора появился 2024-11-21 (RedOS)
🔸 Command Injection - Grafana (CVE-2024-9264)
🔸 Command Injection - virtualenv (CVE-2024-53899)
🔸 SQLi - Zabbix (CVE-2024-42327)
🔸 Data Leakage - Apache Tomcat (CVE-2024-52317)
🗒 Отчёт Vulristics по декабрьскому Linux Patch Wednesday
🎉🆕 Зарелизил Vulristics 1.0.9 с улучшенным детектированием уязвимого софта по описанию CVE.
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Январский Microsoft Patch Tuesday. 170 CVE, из которых 10 были добавлены с декабрьского MSPT. 3 уязвимости с признаками эксплуатации вживую:
🔻 EoP - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Подробностей пока нет.
Уязвимостей с публичными эксплоитами нет, есть 5 с приватными:
🔸 Security Feature Bypass - Microsoft Update Catalog (CVE-2024-49147), MapUrlToZone (CVE-2025-21268, CVE-2025-21189)
🔸 EoP - Windows Installer (CVE-2025-21287)
🔸 Auth. Bypass - Azure (CVE-2025-21380)
Среди остальных можно выделить:
🔹 RCE - Windows OLE (CVE-2025-21298), Windows RMCAST (CVE-2025-21307), Microsoft Office (CVE-2025-21365), Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309), NEGOEX (CVE-2025-21295)
🔹 EoP - Windows NTLM V1 (CVE-2025-21311), Windows Search Service (CVE-2025-21292), Windows App Package Installer (CVE-2025-21275)
🔹 Spoofing - Windows Themes (CVE-2025-21308)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Подробностей пока нет.
Уязвимостей с публичными эксплоитами нет, есть 5 с приватными:
🔸 Security Feature Bypass - Microsoft Update Catalog (CVE-2024-49147), MapUrlToZone (CVE-2025-21268, CVE-2025-21189)
🔸 EoP - Windows Installer (CVE-2025-21287)
🔸 Auth. Bypass - Azure (CVE-2025-21380)
Среди остальных можно выделить:
🔹 RCE - Windows OLE (CVE-2025-21298), Windows RMCAST (CVE-2025-21307), Microsoft Office (CVE-2025-21365), Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309), NEGOEX (CVE-2025-21295)
🔹 EoP - Windows NTLM V1 (CVE-2025-21311), Windows Search Service (CVE-2025-21292), Windows App Package Installer (CVE-2025-21275)
🔹 Spoofing - Windows Themes (CVE-2025-21308)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Январский Linux Patch Wednesday. Всего 424 уязвимостей. Из них 271 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Но есть 9 уязвимостей с публичными эксплоитами.
🔸 RCE - Apache Tomcat (CVE-2024-56337). Судя по описанию, уязвимости должны быть подвержены "case-insensitive file systems", т.е. Windows или MacOS. При этом в Debian считают, что эта уязвимость присутствует в пакетах tomcat9 и tomcat10. Либо имеют ввиду странный case-insensitive Linux, то ли описание уязвимости неверное. 🤷♂️
🔸 RCE - Chromium (CVE-2025-0291). По данным БДУ ФСТЭК публичный эксплоит существует.
🔸 RCE - 7-Zip (CVE-2024-11477). В паблике скорее не эксплоит, а write-up.
🔸 Memory Corruption - Theora (CVE-2024-56431). Пока непонятно как это эксплуатировать. 🤷♂️
🔸 Memory Corruption - Telegram (CVE-2021-31320, CVE-2021-31319, CVE-2021-31315, CVE-2021-31318, CVE-2021-31322). Ubuntu исправили эти уязвимости в пакете библиотеки rlottie.
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
🔸 RCE - Apache Tomcat (CVE-2024-56337). Судя по описанию, уязвимости должны быть подвержены "case-insensitive file systems", т.е. Windows или MacOS. При этом в Debian считают, что эта уязвимость присутствует в пакетах tomcat9 и tomcat10. Либо имеют ввиду странный case-insensitive Linux, то ли описание уязвимости неверное. 🤷♂️
🔸 RCE - Chromium (CVE-2025-0291). По данным БДУ ФСТЭК публичный эксплоит существует.
🔸 RCE - 7-Zip (CVE-2024-11477). В паблике скорее не эксплоит, а write-up.
🔸 Memory Corruption - Theora (CVE-2024-56431). Пока непонятно как это эксплуатировать. 🤷♂️
🔸 Memory Corruption - Telegram (CVE-2021-31320, CVE-2021-31319, CVE-2021-31315, CVE-2021-31318, CVE-2021-31322). Ubuntu исправили эти уязвимости в пакете библиотеки rlottie.
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Февральский Microsoft Patch Tuesday. 89 CVE, из которых 33 были добавлены с январского MSPT. 2 уязвимости с признаками эксплуатации вживую:
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 EoP - Windows Storage (CVE-2025-21391)
Уязвимостей с публичными эксплоитами нет, есть 7 с приватными:
🔸 RCE - Microsoft Edge (CVE-2025-21279, CVE-2025-21283)
🔸 Auth. Bypass - Azure (CVE-2025-21415)
🔸 EoP - Windows Setup Files Cleanup (CVE-2025-21419)
🔸 Spoofing - Windows NTLM (CVE-2025-21377)
🔸 Spoofing - Microsoft Edge (CVE-2025-21267, CVE-2025-21253)
Среди остальных можно выделить:
🔹 RCE - Windows LDAP (CVE-2025-21376), Microsoft Excel (CVE-2025-21381, CVE-2025-21387), Microsoft SharePoint Server (CVE-2025-21400), DHCP Client Service (CVE-2025-21379)
🔹 EoP - Windows Core Messaging (CVE-2025-21184, CVE-2025-21358, CVE-2025-21414), Windows Installer (CVE-2025-21373)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 EoP - Windows Storage (CVE-2025-21391)
Уязвимостей с публичными эксплоитами нет, есть 7 с приватными:
🔸 RCE - Microsoft Edge (CVE-2025-21279, CVE-2025-21283)
🔸 Auth. Bypass - Azure (CVE-2025-21415)
🔸 EoP - Windows Setup Files Cleanup (CVE-2025-21419)
🔸 Spoofing - Windows NTLM (CVE-2025-21377)
🔸 Spoofing - Microsoft Edge (CVE-2025-21267, CVE-2025-21253)
Среди остальных можно выделить:
🔹 RCE - Windows LDAP (CVE-2025-21376), Microsoft Excel (CVE-2025-21381, CVE-2025-21387), Microsoft SharePoint Server (CVE-2025-21400), DHCP Client Service (CVE-2025-21379)
🔹 EoP - Windows Core Messaging (CVE-2025-21184, CVE-2025-21358, CVE-2025-21414), Windows Installer (CVE-2025-21373)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности.
🔹Эта уязвимость из февральского Microsoft Patch Tuesday 2024 года (13.02.2024). На следующий день после MSPT на сайте СheckPoint вышел write-up и PoC. Ещё через день Microsoft поставили для уязвимости флаг "Exploited", но по каким-то причинам в тот же день этот флаг убрали. 🤷♂️ К 18 февраля на GitHub уже был код эксплоита и демка. "В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл". Каких-то сомнений в эксплуатабельности на тот момент уже не оставалось.
🟥 Естественно, к этому времени уязвимость уже была в трендовых.
🔹 А что CISA KEV? Они добавили эту уязвимость в каталог буквально недавно, 06.02.2025. Практически год спустя! 😏 И без каких-либо объяснений причин такой задержки.
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Outlook #CheckPoint #MonikerLink #CISAKEV #CISA #TrendVulns
🔹Эта уязвимость из февральского Microsoft Patch Tuesday 2024 года (13.02.2024). На следующий день после MSPT на сайте СheckPoint вышел write-up и PoC. Ещё через день Microsoft поставили для уязвимости флаг "Exploited", но по каким-то причинам в тот же день этот флаг убрали. 🤷♂️ К 18 февраля на GitHub уже был код эксплоита и демка. "В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл". Каких-то сомнений в эксплуатабельности на тот момент уже не оставалось.
🟥 Естественно, к этому времени уязвимость уже была в трендовых.
🔹 А что CISA KEV? Они добавили эту уязвимость в каталог буквально недавно, 06.02.2025. Практически год спустя! 😏 И без каких-либо объяснений причин такой задержки.
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Outlook #CheckPoint #MonikerLink #CISAKEV #CISA #TrendVulns
Февральский Linux Patch Wednesday. Всего уязвимостей: 561. 338 в Linux Kernel. Формально есть одна уязвимость с признаком эксплуатации вживую: RCE - 7-Zip (CVE-2025-0411). Но она про Windows MoTW и, естественно, не эксплуатируется на Linux.
Для 21 уязвимости есть публичные эксплоиты.
Из них можно выделить 5 уязвимостей системы мониторинга Cacti:
🔸 RCE - Cacti (CVE-2025-24367)
🔸 Command Injection - Cacti (CVE-2025-22604)
🔸 SQLi - Cacti (CVE-2024-54145, CVE-2025-24368)
🔸 Path Traversal - Cacti (CVE-2024-45598)
2 уязвимости OpenSSH, обнаруженные Qualys:
🔸 DoS - OpenSSH (CVE-2025-26466)
🔸 Spoofing/MiTM - OpenSSH (CVE-2025-26465)
Из остальных наиболее интересны:
🔸 RCE - Langchain (CVE-2023-39631), Snapcast (CVE-2023-36177), Checkmk (CVE-2024-13723),
🔸 EoP - Linux Kernel (CVE-2024-50066)
🔸 SQLi - PostgreSQL (CVE-2025-1094)
🔸 XSS - Checkmk (CVE-2024-13722), Thunderbird (CVE-2025-1015)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Для 21 уязвимости есть публичные эксплоиты.
Из них можно выделить 5 уязвимостей системы мониторинга Cacti:
🔸 RCE - Cacti (CVE-2025-24367)
🔸 Command Injection - Cacti (CVE-2025-22604)
🔸 SQLi - Cacti (CVE-2024-54145, CVE-2025-24368)
🔸 Path Traversal - Cacti (CVE-2024-45598)
2 уязвимости OpenSSH, обнаруженные Qualys:
🔸 DoS - OpenSSH (CVE-2025-26466)
🔸 Spoofing/MiTM - OpenSSH (CVE-2025-26465)
Из остальных наиболее интересны:
🔸 RCE - Langchain (CVE-2023-39631), Snapcast (CVE-2023-36177), Checkmk (CVE-2024-13723),
🔸 EoP - Linux Kernel (CVE-2024-50066)
🔸 SQLi - PostgreSQL (CVE-2025-1094)
🔸 XSS - Checkmk (CVE-2024-13722), Thunderbird (CVE-2025-1015)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Мартовский Microsoft Patch Tuesday. 77 CVE, из которых 20 были добавлены в течение месяца. В этот раз целых 7 уязвимостей с признаками эксплуатации вживую:
🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить
Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:
🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)
Среди остальных можно выделить:
🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить
Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:
🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)
Среди остальных можно выделить:
🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Мартовский Linux Patch Wednesday. Всего уязвимостей: 1083. 😱 879 в Linux Kernel. 🤦♂️ Для двух уязвимостей есть признаки эксплуатации вживую:
🔻 Code Injection - GLPI (CVE-2022-35914). Старая уязвимость из CISA KEV, но впервые была исправлена 3 марта в Linux репозитории RedOS.
🔻 Memory Corruption - Safari (CVE-2025-24201). В Linux репозиториях исправляется в пакетах WebKitGTK.
19 уязвимостей с признаками наличия публичного эксплоита. Из них можно выделить:
🔸 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔸 Command Injection - SPIP (CVE-2024-8517)
🔸 Memory Corruption - Assimp (CVE-2025-2152)
🔸 Memory Corruption - libxml2 (CVE-2025-27113)
Для уязвимости Elevation of Privilege - Linux Kernel (CVE-2022-49264), своего эксплоита пока нет, но в описании обращают внимание на то, что уязвимость напоминает известный PwnKit (CVE-2021-4034).
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Tomcat #SPIP #Assimp #libxml2 #CISAKEV
🔻 Code Injection - GLPI (CVE-2022-35914). Старая уязвимость из CISA KEV, но впервые была исправлена 3 марта в Linux репозитории RedOS.
🔻 Memory Corruption - Safari (CVE-2025-24201). В Linux репозиториях исправляется в пакетах WebKitGTK.
19 уязвимостей с признаками наличия публичного эксплоита. Из них можно выделить:
🔸 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔸 Command Injection - SPIP (CVE-2024-8517)
🔸 Memory Corruption - Assimp (CVE-2025-2152)
🔸 Memory Corruption - libxml2 (CVE-2025-27113)
Для уязвимости Elevation of Privilege - Linux Kernel (CVE-2022-49264), своего эксплоита пока нет, но в описании обращают внимание на то, что уязвимость напоминает известный PwnKit (CVE-2021-4034).
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Tomcat #SPIP #Assimp #libxml2 #CISAKEV
Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:
🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷♂️
Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)
Из остальных можно отметить:
🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷♂️
Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)
Из остальных можно отметить:
🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Апрельский Linux Patch Wednesday. Всего уязвимостей: 251. 👌 164 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Есть 7 уязвимостей с признаком наличия публичного эксплоита.
Для 2 уязвимостей есть подробно описанный эксплойт на GitHub. Обе они в первый раз исправлены в пакетах репозитория RedOS:
🔸 SQL injection - Exim (CVE-2025-26794)
🔸 Code Injection - MariaDB (CVE-2023-39593)
Для Memory Corruption - Mozilla Firefox (CVE-2025-3028), согласно NVD, эксплойт должен быть в багтреккере Mozilla, но к нему закрыт доступ. 🤷♂️
Для 4 уязвимостей есть публичные эксплоиты по данным БДУ ФСТЭК:
🔸 Information Disclosure - GLPI (CVE-2025-21626)
🔸 Security Feature Bypass - GLPI (CVE-2025-23024)
🔸 Denial of Service / Remote Code Execution - Perl (CVE-2024-56406)
🔸 Memory Corruption - Libsoup (CVE-2025-32050)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Exim #MariaDB #Firefox #Mozilla #БДУ #GLPI #Libsoup
Для 2 уязвимостей есть подробно описанный эксплойт на GitHub. Обе они в первый раз исправлены в пакетах репозитория RedOS:
🔸 SQL injection - Exim (CVE-2025-26794)
🔸 Code Injection - MariaDB (CVE-2023-39593)
Для Memory Corruption - Mozilla Firefox (CVE-2025-3028), согласно NVD, эксплойт должен быть в багтреккере Mozilla, но к нему закрыт доступ. 🤷♂️
Для 4 уязвимостей есть публичные эксплоиты по данным БДУ ФСТЭК:
🔸 Information Disclosure - GLPI (CVE-2025-21626)
🔸 Security Feature Bypass - GLPI (CVE-2025-23024)
🔸 Denial of Service / Remote Code Execution - Perl (CVE-2024-56406)
🔸 Memory Corruption - Libsoup (CVE-2025-32050)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Exim #MariaDB #Firefox #Mozilla #БДУ #GLPI #Libsoup
KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую. Анализируют 50 публичных источников, включая CISA KEV и фиды люксембургского CERT CIRCL, а также данные собственных сенсоров. Помимо признаков эксплуатации вживую, на странице уязвимости отображаются данные из CVE Org, EPSS, упоминания в Интернете, правила детектирования в сканерах (например, nuclei), потенциальные публичные эксплоиты и прочее.
Фид KEVintel можно выгрузить в виде JSON или CSV. Удобно для интеграций, планирую приделать к Vulristics. 😉 Но, к сожалению, в выгрузках сейчас доступны не все данные, отображающиеся на странице уязвимости. 🤷♂️ На сайте они намекают на "pro features". Возможно расширенный фид и будет такой платной фичей.
@avleonovrus #KEVintel #CISAKEV #Vulristics #CIRCL #CVE #EPSS
Фид KEVintel можно выгрузить в виде JSON или CSV. Удобно для интеграций, планирую приделать к Vulristics. 😉 Но, к сожалению, в выгрузках сейчас доступны не все данные, отображающиеся на странице уязвимости. 🤷♂️ На сайте они намекают на "pro features". Возможно расширенный фид и будет такой платной фичей.
@avleonovrus #KEVintel #CISAKEV #Vulristics #CIRCL #CVE #EPSS
Майский Microsoft Patch Tuesday. Всего 93 уязвимости ~ в 1.5 раза меньше, чем в апреле. Из них 22 были добавлены между апрельским и майским MSPT. Есть 5 уязвимостей с признаками эксплуатации вживую:
🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".
Уязвимостей с публичными эксплоитами пока нет.
Из остальных можно выделить:
🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".
Уязвимостей с публичными эксплоитами пока нет.
Из остальных можно выделить:
🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Закончил подготовку слайдов для доклада про Vulristics на PHDays. 😇 Выступать буду в последний день фестиваля, в субботу 24 мая. Начало в 16:00. Зал 25 "Попов". Кто будет в это время на площадке - буду очень рад видеть. Кто не будет - подключайтесь онлайн. 😉
У меня будет целый час, чтобы обстоятельно поговорить про Vulristics, а также про анализ и приоритизацию уязвимостей вообще. 🤩 Пройдусь от структуры отчёта Vulristics и типовых задач (анализ Microsoft Patch Tuesday, Linux Patch Wednesday, отдельных трендовых уязвимостей и их подборок) к работе с источниками данных и проблемам корректного определения типа уязвимости и уязвимого продукта. Закончим возможностями использования Vulristics в пайплайнах. Утащить код в свой проект тоже не возбраняется - у Vulristics лицензия MIT. 🆓
➡️ Выступление на сайте PHDays - там можно скачать ics для календаря 😉
⏰ 24.05.2025 16:00 (МСК)
📍 Лужники, зал 25 "Попов"
@avleonovrus #PHDays #PHDaysFest #PHDays2025 #PHD2025 #event #PositiveTechnologies #Vulristics
У меня будет целый час, чтобы обстоятельно поговорить про Vulristics, а также про анализ и приоритизацию уязвимостей вообще. 🤩 Пройдусь от структуры отчёта Vulristics и типовых задач (анализ Microsoft Patch Tuesday, Linux Patch Wednesday, отдельных трендовых уязвимостей и их подборок) к работе с источниками данных и проблемам корректного определения типа уязвимости и уязвимого продукта. Закончим возможностями использования Vulristics в пайплайнах. Утащить код в свой проект тоже не возбраняется - у Vulristics лицензия MIT. 🆓
➡️ Выступление на сайте PHDays - там можно скачать ics для календаря 😉
⏰ 24.05.2025 16:00 (МСК)
📍 Лужники, зал 25 "Попов"
@avleonovrus #PHDays #PHDaysFest #PHDays2025 #PHD2025 #event #PositiveTechnologies #Vulristics
Майский Linux Patch Wednesday. В этот раз уязвимостей много - 1091. Из них 716 в Linux Kernel. 🤯 Для 5 уязвимостей есть признаки эксплуатации вживую:
🔻 RCE - PHP CSS Parser (CVE-2020-13756). В AttackerKB, есть эксплойт.
🔻 DoS - Apache ActiveMQ (CVE-2025-27533). В AttackerKB, есть эксплойт.
🔻 SFB - Chromium (CVE-2025-4664). В CISA KEV.
🔻 PathTrav - buildkit (CVE-2024-23652) и MemCor - buildkit (CVE-2024-23651). В БДУ ФСТЭК.
Ещё для 52 (❗️) есть признаки наличия публичного эксплоита. Из них можно выделить 2 трендовые уязвимости, о которых я уже писал ранее:
🔸 RCE - Kubernetes "IngressNightmare" (CVE-2025-1974 и 4 других)
🔸 RCE - Erlang/OTP (CVE-2025-32433)
Также интересны эксплоиты для:
🔸 EoP - Linux Kernel (CVE-2023-53033)
🔸 XSS - Horde IMP (CVE-2025-30349)
🔸 PathTrav - tar-fs (CVE-2024-12905)
🔸 SFB - kitty (CVE-2025-43929)
🔸 DoS - libxml2 (CVE-2025-32414)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Kubernetes #IngressNightmare #Erlang #ErlangOTP
🔻 RCE - PHP CSS Parser (CVE-2020-13756). В AttackerKB, есть эксплойт.
🔻 DoS - Apache ActiveMQ (CVE-2025-27533). В AttackerKB, есть эксплойт.
🔻 SFB - Chromium (CVE-2025-4664). В CISA KEV.
🔻 PathTrav - buildkit (CVE-2024-23652) и MemCor - buildkit (CVE-2024-23651). В БДУ ФСТЭК.
Ещё для 52 (❗️) есть признаки наличия публичного эксплоита. Из них можно выделить 2 трендовые уязвимости, о которых я уже писал ранее:
🔸 RCE - Kubernetes "IngressNightmare" (CVE-2025-1974 и 4 других)
🔸 RCE - Erlang/OTP (CVE-2025-32433)
Также интересны эксплоиты для:
🔸 EoP - Linux Kernel (CVE-2023-53033)
🔸 XSS - Horde IMP (CVE-2025-30349)
🔸 PathTrav - tar-fs (CVE-2024-12905)
🔸 SFB - kitty (CVE-2025-43929)
🔸 DoS - libxml2 (CVE-2025-32414)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Kubernetes #IngressNightmare #Erlang #ErlangOTP
Уязвимости западной логистики. 21 мая западные спецслужбы выпустили совместный advisory AA25-141A об атаках на инфраструктуру логистических и технологических компаний. Также западных. 🙂 Помимо привычных Five Eyes в авторах advisory значатся спецслужбы 7 стран: Германии, Чехии, Польши, Дании, Эстонии, Франции, Нидерландов.
В документе упоминается эксплуатация уязвимостей:
🔻 Remote Code Execution - WinRAR (CVE-2023-38831)
🔻 Elevation of Privilege - Microsoft Outlook (CVE-2023-23397)
🔻 Remote Code Execution - Roundcube (CVE-2020-12641)
🔻 Code Injection - Roundcube (CVE-2021-44026)
🔻 Cross Site Scripting - Roundcube (CVE-2020-35730)
Для каждой уязвимости уже ГОДЫ как есть патчи, эксплоиты и признаки эксплуатации вживую. 🤦♂️🤷♂️
🗒 Отчёт Vulristics
@avleonovrus #FiveEyes #Outlook #Cybercube #WinRAR #Vulristics
В документе упоминается эксплуатация уязвимостей:
🔻 Remote Code Execution - WinRAR (CVE-2023-38831)
🔻 Elevation of Privilege - Microsoft Outlook (CVE-2023-23397)
🔻 Remote Code Execution - Roundcube (CVE-2020-12641)
🔻 Code Injection - Roundcube (CVE-2021-44026)
🔻 Cross Site Scripting - Roundcube (CVE-2020-35730)
Для каждой уязвимости уже ГОДЫ как есть патчи, эксплоиты и признаки эксплуатации вживую. 🤦♂️🤷♂️
🗒 Отчёт Vulristics
@avleonovrus #FiveEyes #Outlook #Cybercube #WinRAR #Vulristics