Cisco предупреждает: уязвимость SNMP в IOS может привести к RCE или DoS (CVE-2025-20352)

Cisco выпустила предупреждение о серьёзной уязвимости в подсистеме SNMP для IOS и IOS XE, которая уже эксплуатируется в реальной среде и может позволить удалённому атакующему выполнить произвольный код с привилегиями root или вызвать отказ в обслуживании (DoS).

❓ Что произошло
Исследователи и представитель Cisco обнаружили эксплуатацию уязвимости после того, как в одной из сетей были скомпрометированы локальные учётные записи администратора. Уязвимость связана с переполнением стека в обработке SNMP-запросов: специально сформированный пакет SNMP, отправленный по IPv4 или IPv6, может привести к DoS или к выполнению кода.
Технические детали
• Идентификатор уязвимости: CVE-2025-20352 (CVSS: 7.7).
• Корень проблемы: стек-overflow в реализации SNMP (всех поддерживаемых версий SNMP).

🕷️ Условия успешной эксплуатации
Для успешной эксплуатации необходимы конкретные привилегии/учётные данные:
• Чтобы вызвать DoS, атакующему нужны учетные данные SNMPv2c (или ранее) — например, строка сообщества read-only — либо действительные учётные данные SNMPv3.
• Чтобы выполнить произвольный код как root, атакующему требуется SNMPv1 или v2c read-only community и одновременно административные (privilege 15) или эквивалентные права на устройстве.

Это означает, что неавторизованный внешний атакующий без учётных данных не сможет использовать уязвимость напрямую; однако компрометация локальных административных учётных записей существенно повышает риск.

📝 Какие устройства затронуты
Cisco подчёркивает, что все устройства с включённым SNMP, у которых не исключён конкретный OID, считаются уязвимыми. Конкретно в уведомлении упомянуты также некоторые устройства Meraki (MS390) и Cisco Catalyst 9300, если они работают под Meraki CS 17 и ранее. Проблема исправлена в Cisco IOS XE Software Release 17.15.4a. (IOS XR и NX-OS не затронуты).

❗️ Рекомендации для администраторов
1. Проверьте, включён ли SNMP на ваших устройствах и кто имеет к нему доступ.
2. Ограничьте SNMP-доступ по IP-фильтрам и спискам управления доступом (ACL) — разрешайте только известным, доверенным хостам.
3. Поменяйте или отозвите старые SNMP community-строки и пересмотрите настройки SNMPv3 (используйте сильные учетные данные и шифрование).
4. Мониторьте логи и команду show snmp host для аномалий.
5. По возможности обновите уязвимые устройства до Cisco IOS XE 17.15.4a (или версии с исправлением) как можно скорее.

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Ну кам-он!

⚙️ Категория Реверс-инжиниринг — Я работаю в криптовалюте

Приятного хакинга!

GOST — Простой туннель на Golang

GOST (GO Simple Tunnel) — это мощный инструмент-туннель и прокси, написанный на Go, который позволяет создавать цепочки прокси, выполнять переадресацию портов, устраивать обратные прокси и многое другое.

⚡️ Основные возможности GOST
⏺️ Поддержка множества протоколов: HTTP, HTTPS, HTTP2, SOCKS4(A), SOCKS5, Shadowsocks и др.
⏺️ Многопортовое слушание и прокси-цепочки (multi-level forward chaining)
⏺️ Переадресация TCP/UDP портов, обратный прокси, прозрачный прокси (transparent proxy)
⏺️ Поддержка туннелирования UDP поверх TCP, маршрутизация, контроль доступа, балансировка нагрузки
⏺️ Динамическая конфигурация, плагины, Web API, WebUI, GUI-клиенты


⬇️ Установка и запуск
• Скачать бинарники или собрать из исходников:

git clone https://github.com/go-gost/gost.git  
cd gost/cmd/gost  
go build

🖥 Пример использования
➡️ Простой прокси

./gost -L http://:8080

Запускает HTTP-прокси на порту 8080.

➡️ Переадресация порта TCP

gost -L tcp://:2222/192.168.1.100:22

Локальный порт 2222 направляется на SSH-порт 22 удалённой машины.

➡️ Использование цепочки проксей (proxy chain)

gost -L=:8080 -F=quic://remote:9000 -F=socks5://another:1080

Трафик сначала идёт через QUIC, затем через SOCKS5 и далее к конечной точке.

🪛 Применение и кейсы использования
➡️ Обход ограничений сети, проксирование трафика через цепочки, туннелирование.
➡️ Обратный прокси / туннельная проксификация: открытие доступа к внутренним сервисам через NAT-файрволы.
➡️ Вредоносное применение: злоумышленники используют GOST для проксирования трафика к C2-серверам.

🍁 Когда за окном холоднее, в Академии становится жарче — потому что осенью начинается новая волна курсов: от Пентеста и DevSecOps до Основ в ИБ и Цифровой Криминалистики.

Что мы предлагаем:

🎃 WAPT — веб-пентест с практикой, где вы не просто читаете про XSS — вы его находите.

Теперь ещё больше практики: +6 новых видео, +16 лабораторных и +15 экзаменационных заданий. Добавлена виртуалка для Mac M-чипов и улучшена стабильность лаборатории.

🎃 DevSecOps — системная безопасность CI/CD, облаков и контейнеров.

Старт первого потока — 10 ноября 2025 со скидкой 10%: 125 990 ₽ 113 391 ₽

🎃 Основы ИБ — идеальный старт, если вы только заходите в профессию, и хотите избежать хаоса.

Курс даст фундамент, с которого начинают карьеру в ИБ. Linux, сети, атаки, защита — всё, без чего не попасть в профессию. А первый поток — уже со скидкой!

И многое другое!

Все курсы включают:
🟧экспертную проверку заданий;
🟧доступ к виртуальным лабораториям;
🟧поддержку от преподавателей с опытом OSCP, CEH, CISSP;
🟧разборы атак и защитных мер, а на WAPT — живые вебинары с куратором!

Смотрите карту курсов ЗДЕСЬ
— и стройте свой путь: от основ до экспертизы.

И помните:
«Лучшее время начать было год назад. Второе лучшее — сейчас!»

Увидимся в лабораториях! 😎
🥇 @CodebyManagerBot

Исследователи из SpecterOps продемонстрировали инструменты для извлечения памяти процесса LSASS через протокол WMI. В данной статье приведены отличные от Win32_Process классы, позволяющие достичь той же функциональности.

1️⃣MSFT_MTProcess (CreateProcess)
Наиболее близкий к Win32_Process класс WMI. Win32_Process — это канонический пример горизонтального перемещения в WMI, и именно его в основном используют для этих целей.

В MSFT_MTProcess есть метод CreateProcess, который принимает аргумент командной строки, как и Win32_Process. Однако у этого класса есть существенный недостаток: он существует только в Windows Server 2016 и более поздних версиях. Это означает, что он недоступен на рабочих станциях, но вызовет выполнение данного двоичного файла, такого как Win32_Process.

2️⃣MSFT_MTProcess (CreateDump)
Вторым интересным методом для MSFT_MTProcess является CreateDump. Если необходимо удаленно/локально создать дамп процесса без добавления каких-либо новых инструментов, то можно использовать метод CreateDump.

Этот класс использует ту же технику, что и дамп через диспетчер задач (нажатие на процесс правой кнопкой мыши и создание дампа). Это загружает dbghelpd.dll и вызывает MiniDumpWriteDump в экземпляре процесса, который ему предоставляют. Однако цепочка выполнения процесса немного отличается. Вместо того, чтобы диспетчер задач загружал библиотеку DLL, тут уже есть процесс WmiPrvSE, который завершает загрузку и выполняет вызов функции.

⛏Инструменты
⏺️WMI_Proc_Dump.py — инструмент, использующий класс MSFT_MTProcess для удалённого дампа процесса при работе с Windows Server 2016 или более поздней версией. Он вызывает MSFT_MTProcess для дампа процесса, который автоматически записывается в C:\Windows\Temp\<Process_Name>.dmp.
Однако, если пользователь захочет переименовать это во что-то менее подозрительное, это можно сделать через CIM_DataFile.

python wmi-proc-dump.py user:pass@hostname -pid 580
python wmi-proc-dump.py user:pass@hostname -proc lsass.exe
python wmi-proc-dump.py user:pass@hostname -proc lsass.exe -rename chrome-debug.dmp

⏺️mtprocess.py - второй скрипт, реализующий метод CreateProcess класса MSFT_MTProcess. Кроме того, этот скрипт позволяет автоматически установить класс MSFT_MTProcess на рабочей станции.

python mtprocess.py -exec user:pass@hostname calc.exe
python mtprocess.py -exec -cimv2 user:pass@hostname calc.exe

DefectDojo — Платформа управления уязвимостями и DevSecOps

DefectDojo (django-DefectDojo) — это open-source решение для управления безопасностью приложений. Платформа объединяет сканеры, трекинг уязвимостей, автоматизацию, отчёты и аналитику на одной панели. Помогает командам DevSecOps, исследователям и инженерам безопасности управлять рисками, устранять дублирования и ускорять ответ на угрозы.

⚡️ Основные возможности DefectDojo
➡️ Импорт результатов от множества сканеров (SAST, DAST, SCA и др.).
➡️ Объединение и устранение дублирующихся уязвимостей (deduplication) и автоматическое подавление ложных срабатываний.
➡️ Модель «Продукт / Взаимодействие / Engagement» — позволяет отслеживать проект, период сканирования, сравнивать состояния, создавать отчёты по проектам и версиям.
➡️ Интеграции: с более чем 180 инструментами и платформами, включая Jira, репозитории кода, инструменты сканирования, LDAP, OAuth2/SAML и др.
➡️ Отчёты, метрики и визуализация — дашборды, метрики тенденций, отчёты для различных заинтересованных сторон.

⬇️ Установка и запуск
Клонируйте репозиторий:

git clone https://github.com/DefectDojo/django-DefectDojo.git
cd django-DefectDojo

Запуск через Docker Compose (предпочтительный вариант):

docker compose build
docker compose up -d

Администраторские учётные данные автоматически создаются через инициализатор.

⚙️ Преимущества DefectDojo
⏺️ Снижает ручную работу, помогая автоматизировать импорт, triage, отчёты.
⏺️ Централизует управление уязвимостями, предотвращает дубли и «шум» от одинаковых ошибок в разных сканах.
⏺️ Подходит как для малых команд, так и для крупных организаций, за счёт масштабируемости и множества интеграций.
⏺️ Прозрачность и видимость: дашборды, отчёты, метрики помогают донести состояние безопасности до руководства.

⚠️ Linux в опасности!

🐧 Агентство по кибербезопасности и защите инфраструктуры США (CISA) 29.09.2025 добавило в свой каталог (KEV) критическую уязвимость в Unix-системах, влияющую на утилиту командной строки Sudo, сославшись на свидетельства её активной эксплуатации.

❗️ Уязвимость имеет идентификатор CVE-2025-32463 с оценкой CVSS: 9.3, которая затрагивает версии Sudo до 1.9.17p1. Обнаружил её исследователь из Stratascale в июле 2025 года.

💻 По заявлению CISA, уязвимость в sudo позволяет злоумышленнику, получивший локальный доступ, использовать опцию sudo -R (—chroot) для запуска произвольных команд от имени пользователя root, даже если они не указаны в файле sudoers.

🛡 На данный момент официального патча, закрывающий данную уязвимость, нет, поэтому рекомендуются принять соответствующие меры для защиты своих сетей.

❓ А как вы планируете защищаться в данном случае?

Checkov: Статический анализатор безопасности IaC

Checkov — фреймворк с открытым исходным кодом от компании Bridgecrew, предназначенный для сканирования облачной инфраструктуры, описанной в виде кода, на предмет наличия ошибок конфигурации. Он анализирует ваши шаблоны Terraform, CloudFormation, Kubernetes манифесты, конфигурации Helm и другие файлы IaC, проверяя их на соответствие сотням предопределенных политик. Эти политики основаны на практиках от облачных провайдеров (AWS, Azure, GCP) и стандартов безопасности (CIS Benchmarks).

🔜 Что умеет?
- Находит уязвимости до того, как инфраструктура будет развернута, следуя принципу «Shift Left» в безопасности.
- Поддерживает все основные облачные платформы.
- Работает с Terraform, CloudFormation, Kubernetes, ARM Templates, Dockerfile и многими другими.
- Позволяет создавать собственные пользовательские политики на простом языке Python.

🟣Установка
Самый быстрый способ — использовать менеджер пакетов pipх.

pipx install checkov

🟣Проверка

checkov -h

🟣Базовое использование
У вас есть директория с файлами Terraform (.tf). Просканируем ее:

checkov -d /path/to/your/terraform/code

Checkov рекурсивно просканирует все файлы в указанной директории, определит их тип и запустит соответствующие проверки.

🟣Сканирование конкретного файла
Проверим конкретный файл, например, манифест Kubernetes:

checkov -f deployment.yaml

🟣Интеграция в CI/CD
Сила Checkov раскрывается при его интеграции в конвейер непрерывной интеграции и доставки (CI/CD). Например, в GitHub Actions это можно сделать так:

name: "Security Scan"
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

jobs:
  checkov:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run Checkov
        uses: bridgecrewio/checkov-action@master
        with:
          directory: .
          framework: terraform  #можно указать конкретный фреймворк

Это гарантирует, что каждый

Pull Request

будет автоматически проверен на соответствие стандартам безопасности.

🎃Друзья, напоминаем, на каких курсах начинается обучение в октябре, выбирайте направление и присоединяйтесь!🟧

Старт 2 октября:
🟧 Курс «Тестирование Веб-приложений на проникновение (WAPT)» — отработаем полный цикл тестирования: от разведки до пост-эксплуатации.

Старт 9 октября:
🟧 Курс «Основы программирования на Python» — овладеем самым попуярным ЯП за 2 месяца.

Старт 13 октября:
🟧Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» — ищем и анализируем следы кибервзломов (анализ артефактов, работа с opensource инструментами).

Старт 20 октября:
🟧 Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — освоите полный цикл работы: от обнаружения киберугроз до расследования инцидентов.
🟧Курс «OSINT: технология боевой разведки» — освоим профессиональный поиск информации и анализ данные из открытых источников.
🟧 Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и возможные уязвимости.

🟧Запишитесь у нашего менеджера @CodebyManagerBot

Или узнайте подробности и программы курсов — на нашем 🟧сайт

🍺 Пиво в Японии - В С Ё!

🇯🇵 Хакеры остановили производство на крупнейшем пивоваренном заводе в Японии.

🏭 Крупнейший производитель пива в Японии Asahi Group заявил, что приостановил заказы и доставку продукции в стране после того, как кибератака привела к остановке его производственных операций.

❌ По данным информационного агентства, компания, выпускающая пиво Asahi Super Dry Beer и виски Nikka, а также ряд безалкогольных напитков, заявила, что не может предсказать, когда возобновится производство.

❗️ Об атаке впервые стало известно 29.09, когда компания Asahi опубликовала заявление, в котором говорилось, что операции по заказу и доставке в ее японских компаниях, а также услуги колл-центра были приостановлены «из-за сбоя системы»

😡 Группа не раскрыла возможную личность злоумышленника, но заявила, что кибератака не привела к утечке данных клиентов.