🔎 Пользователь найден — User Enumeration в DIRECTUM
Исследователь СайберОК обнаружил уязвимость в системе электронного документооборота DIRECTUM.
📡 На радарах СКИПА мы наблюдаем более 400 сервисов с данным ПО, из которых около 8% уязвимы. Пользователи СКИПА PentOps были уведомлены об уязвимости 18 сентября 2025 года.
🆔 Об уязвимости
• СОК-2025-08-04 / BDU:2025-11477
🔸 CVSS 3.1: 5.3 — средний уровень опасности
Уязвимость позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
Уязвимая версия:
🎯 Риски
• Сбор списка «живых» пользователей.
• Рост эффективности brute-force и credential stuffing.
• Использование как разведывательного этапа перед целенаправленными атаками.
🛡 Компенсирующие меры
• Ограничить доступ путем внедрения механизма «белых» списков.
• Закрыть доступ из внешних сетей (Интернет).
• Разрешить вход только через SSO (предаутентификация).
• Отключить веб-интерфейс DIRECTUM.
Исследователь СайберОК обнаружил уязвимость в системе электронного документооборота DIRECTUM.
📡 На радарах СКИПА мы наблюдаем более 400 сервисов с данным ПО, из которых около 8% уязвимы. Пользователи СКИПА PentOps были уведомлены об уязвимости 18 сентября 2025 года.
🆔 Об уязвимости
• СОК-2025-08-04 / BDU:2025-11477
🔸 CVSS 3.1: 5.3 — средний уровень опасности
AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:NУязвимость позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
Уязвимая версия:
5.7.3.9006🎯 Риски
• Сбор списка «живых» пользователей.
• Рост эффективности brute-force и credential stuffing.
• Использование как разведывательного этапа перед целенаправленными атаками.
🛡 Компенсирующие меры
• Ограничить доступ путем внедрения механизма «белых» списков.
• Закрыть доступ из внешних сетей (Интернет).
• Разрешить вход только через SSO (предаутентификация).
• Отключить веб-интерфейс DIRECTUM.
🔥18
🌊 Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января
Море Рунета обманчиво спокойно. Поверхность его гладка, сервисы идут ровным курсом, сигнальные огни мигают исправно. Но стоит лишь опустить взгляд глубже и становится ясно, что на глубине обитают монстры, о существовании которых предпочитают молчать.
В декабре и январе судно «СайберОК» совершило очередную экспедицию по отловуморских чудовищ уязвимостей.
🦑 В этом перечне — монстры разного рода:
одни действительно способны потопить судно,
другие же пугают лишь обликом, не представляя опасности.
Однако опыт мореплавателя учит: недооценённая уязвимость нередко бывает страшнее очевидного врага.
📚 Читать «Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января»
#инфобезопасность #CVE #CyberOK #СайберОК #СКИПА #рунет #админы #blueteam
📱 @cyberok_news |⚫️ Сайт | 📝 Habr
Море Рунета обманчиво спокойно. Поверхность его гладка, сервисы идут ровным курсом, сигнальные огни мигают исправно. Но стоит лишь опустить взгляд глубже и становится ясно, что на глубине обитают монстры, о существовании которых предпочитают молчать.
В декабре и январе судно «СайберОК» совершило очередную экспедицию по отлову
📜 Из бортового журнала СКИПА:❣️ 16554 угрозы были зарегистрированы за 2 месяца — новые и те, что вновь дали о себе знать.❣️ 15718 из них — абсолютно новые уникальные уязвимости.❣️ 4364 угроз имели хотя бы одно уникальное упоминание за период.❣️ 5310 из них — HIGH / CRITICAL.❣️ 3657 не требуют ни ключей, ни разрешений.❣️ 37 — KEV.❣️ 170 уязвимостей взяты в работу.
🦑 В этом перечне — монстры разного рода:
одни действительно способны потопить судно,
другие же пугают лишь обликом, не представляя опасности.
Однако опыт мореплавателя учит: недооценённая уязвимость нередко бывает страшнее очевидного врага.
📚 Читать «Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января»
#инфобезопасность #CVE #CyberOK #СайберОК #СКИПА #рунет #админы #blueteam
📱 @cyberok_news |
Please open Telegram to view this post
VIEW IN TELEGRAM
Teletype
Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января
Эксперты СайберОК снова полезли туда, куда по доброй воле никто не ходит — в лог-болото и разведданные СКИПА. Не из праздного...
🔥22❤12
📋 По порядку рассчитайсь! User Enumeration в Secure-T
Исследователь СайберОК обнаружил несколько уязвимостей в Secure-T Awareness Platform — платформе для повышения осведомленности сотрудников в области информационной безопасности.
Мы благодарим команду Secure-T Awareness Platform за оперативное устранение выявленных недочетов.
Данное ПО зачастую используется внутри корпоративных сетей, однако, по данным СКИПА, встречается в российском сегменте Интернет.
📣 Клиенты СКИПА PentOps были уведомлены 24 ноября 2025 года.
👤 User Enumeration через функционал восстановления пароля
• COK-2025-11-06 / BDU:2025-14446
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
🔐 User Enumeration через функционал аутентификации
• COK-2025-11-07 / BDU:2025-14447
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе
🖥 Уязвимые версии
• до 4.4.6.
⚠️ Риски
• Сбор списка «живых» пользователей.
• Повышение эффективности brute-force и credential stuffing атак.
• Использование уязвимости как разведывательного этапа перед целенаправленными атаками.
В настоящее время уязвимость устранена в SaaS, выпущено обновление безопасности. Пользователям on-prem решений рекомендуется обновится до последней версии.
🛠 Компенсирующие меры
1. Ограничение возможности подключения к ПО путем внедрения механизма «белых» списков.
2. Ограничение доступа к ПО из внешних сетей (Интернет).
3. Ограничить вход в ПО исключительно через предварительную предаутентификацией сторонним провайдером (SSO).
4. Обновление ПО до версии 4.4.6. и выше.
Исследователь СайберОК обнаружил несколько уязвимостей в Secure-T Awareness Platform — платформе для повышения осведомленности сотрудников в области информационной безопасности.
Мы благодарим команду Secure-T Awareness Platform за оперативное устранение выявленных недочетов.
Данное ПО зачастую используется внутри корпоративных сетей, однако, по данным СКИПА, встречается в российском сегменте Интернет.
📣 Клиенты СКИПА PentOps были уведомлены 24 ноября 2025 года.
👤 User Enumeration через функционал восстановления пароля
• COK-2025-11-06 / BDU:2025-14446
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
🔐 User Enumeration через функционал аутентификации
• COK-2025-11-07 / BDU:2025-14447
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе
🖥 Уязвимые версии
• до 4.4.6.
⚠️ Риски
• Сбор списка «живых» пользователей.
• Повышение эффективности brute-force и credential stuffing атак.
• Использование уязвимости как разведывательного этапа перед целенаправленными атаками.
В настоящее время уязвимость устранена в SaaS, выпущено обновление безопасности. Пользователям on-prem решений рекомендуется обновится до последней версии.
🛠 Компенсирующие меры
1. Ограничение возможности подключения к ПО путем внедрения механизма «белых» списков.
2. Ограничение доступа к ПО из внешних сетей (Интернет).
3. Ограничить вход в ПО исключительно через предварительную предаутентификацией сторонним провайдером (SSO).
4. Обновление ПО до версии 4.4.6. и выше.
🔥20
Media is too big
VIEW IN TELEGRAM
🎬 Как получить доступ ко всему: реверс-инжиниринг
🎞️ Сергей Гордейчик, CEO СайберОК, принял участие в съёмках фильма «Как получить доступ ко всему» — научпоп-документалки о реверс-инжиниринге и людях, для которых «разобрать» — базовый принцип мышления.
🧩 Про что фильм?
В фильме мы с интересом и любовью рассказываем о развитии реверса за последние 100 лет — от промышленности после Первой мировой и больших ЭВМ до ИИ и «киберпанка, который мы заслужили» в ближайшем будущем. Для нас это попытка простым языком объяснить, чем мы на самом деле занимаемся, и дать почувствовать себя частью чего-то большого.
😎 «Как получить доступ ко всему: реверс-инжиниринг»
Премьерные показы в Москве пройдут 27 и 28 февраля 🍿
📺 Трейлер
🎧 В поддержку релиза вышел альбом HUMAN–MACHINE INTERLEAVE: SIGNAL BLEED проекта In Dependence (тот самый, который уже делал «хакерскую» музыку для PHDays).
🎫 Билеты
Разыгрывают 30 пар (не больше двух в одни руки). Нужно нажать «Участвую!» под постом, победителей объявят 19 февраля в 17:00.
🔧 Всем гостям показов обещают экскурсии по фиджитал-пространству Кибердома: Музей истории реверса и «Лаборатория реверсеров».
Удачного реверса!
🎞️ Сергей Гордейчик, CEO СайберОК, принял участие в съёмках фильма «Как получить доступ ко всему» — научпоп-документалки о реверс-инжиниринге и людях, для которых «разобрать» — базовый принцип мышления.
🗣️ Сергей комментирует:
«Я никогда не был настоящим реверсером — ни в софте, ни в железе. Но принять участие в съёмках взрослого фильма — очень интересный опыт.
У реверса много граней. Моя первая серьёзная работа — миграция железнодорожной АСУ с мейнфреймов, чтобы спасти систему от «проблемы 2000». Поверьте, там было много реверса: сети, процессов, алгоритмов и людей, которые когда-то писали этого монстра.
Сейчас с большим интересом погружаюсь в «Мысли Ксеноса», разбирая ИИ и агентов».
🧩 Про что фильм?
В фильме мы с интересом и любовью рассказываем о развитии реверса за последние 100 лет — от промышленности после Первой мировой и больших ЭВМ до ИИ и «киберпанка, который мы заслужили» в ближайшем будущем. Для нас это попытка простым языком объяснить, чем мы на самом деле занимаемся, и дать почувствовать себя частью чего-то большого.
😎 «Как получить доступ ко всему: реверс-инжиниринг»
Премьерные показы в Москве пройдут 27 и 28 февраля 🍿
📺 Трейлер
🎧 В поддержку релиза вышел альбом HUMAN–MACHINE INTERLEAVE: SIGNAL BLEED проекта In Dependence (тот самый, который уже делал «хакерскую» музыку для PHDays).
🎫 Билеты
Разыгрывают 30 пар (не больше двух в одни руки). Нужно нажать «Участвую!» под постом, победителей объявят 19 февраля в 17:00.
🔧 Всем гостям показов обещают экскурсии по фиджитал-пространству Кибердома: Музей истории реверса и «Лаборатория реверсеров».
Удачного реверса!
🔥25👍13😱5
🧩 Уязвимости в Solar AppScreener... были, но устранены
Исследователи СайберОК Роберт Торосян и xh4vm обнаружили несколько уязвимостей в статическом анализаторе безопасности приложений (SAST) Solar appScreener.
📣 Пользователи CyberOK СКИПА PentOps были уведомлены 10 ноября.
👤 User Enumeration
• COK-2025-11-02 / BDU:2026-00590
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Описание: Уязвимость позволяет неавторизованно перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как Brute Force или Password Spraying.
🌐 Blind SSRF
• COK-2025-11-04 / BDU:2026-00382
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:N / A:L
🔸 6.4 — средний уровень опасности
Описание: Уязвимость позволяет злоумышленнику осуществлять несанкционированные HTTP-запросы от имени уязвимой системы, что может быть использовано для сканирования внутренней инфраструктуры и анализа на предмет открытых портов веб-приложений, подбора учетных данных к другим инстансам Jira, а также для организации атак на отказ в обслуживании путем отправки запросов на подконтрольные информационные ресурсы с большим объемом возвращаемой информации.
✉️ Email Spoofing
• COK-2025-11-01 / BDU:2026-00383
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N / AC:L / PR:L / UI:N / S:C / C:N / I:H / A:N
🔻 7.7 — высокий уровень опасности
Описание: Уязвимость позволяет отправлять электронные письма от имени легитимного корпоративного адреса с произвольным текстовым содержимым.
🛡 Рекомендации
• Обновиться до актуальной версии 3.15.8 или выше
• Провести аудит на User Enumeration / SSRF / Email Spoofing в собственных системах.
🤝 Благодарим команду "Солар" за профессиональное взаимодействие и оперативное устранение выявленных уязвимостей.
Исследователи СайберОК Роберт Торосян и xh4vm обнаружили несколько уязвимостей в статическом анализаторе безопасности приложений (SAST) Solar appScreener.
📣 Пользователи CyberOK СКИПА PentOps были уведомлены 10 ноября.
👤 User Enumeration
• COK-2025-11-02 / BDU:2026-00590
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Описание: Уязвимость позволяет неавторизованно перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как Brute Force или Password Spraying.
🌐 Blind SSRF
• COK-2025-11-04 / BDU:2026-00382
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:N / A:L
🔸 6.4 — средний уровень опасности
Описание: Уязвимость позволяет злоумышленнику осуществлять несанкционированные HTTP-запросы от имени уязвимой системы, что может быть использовано для сканирования внутренней инфраструктуры и анализа на предмет открытых портов веб-приложений, подбора учетных данных к другим инстансам Jira, а также для организации атак на отказ в обслуживании путем отправки запросов на подконтрольные информационные ресурсы с большим объемом возвращаемой информации.
✉️ Email Spoofing
• COK-2025-11-01 / BDU:2026-00383
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N / AC:L / PR:L / UI:N / S:C / C:N / I:H / A:N
🔻 7.7 — высокий уровень опасности
Описание: Уязвимость позволяет отправлять электронные письма от имени легитимного корпоративного адреса с произвольным текстовым содержимым.
🛡 Рекомендации
• Обновиться до актуальной версии 3.15.8 или выше
• Провести аудит на User Enumeration / SSRF / Email Spoofing в собственных системах.
Комментарий от "Солара":
Популярные продукты всегда привлекают внимание независимых исследователей. В сотрудничестве с экспертами СайберОК были выявлены потенциальные уязвимости. Возможные риски были снижены благодаря тому, что клиенты используют on-prem-решение. По итогам дополнительного аудита уязвимости устранены, информация об этом опубликована на сайте ФСТЭК.
Рекомендуем всем пользователям, использующим версии ниже 3.15.8 обновить решение. Вы можете сделать это через Личный Кабинет.
🤝 Благодарим команду "Солар" за профессиональное взаимодействие и оперативное устранение выявленных уязвимостей.
🔥21
🆘 Skillspace — перечисление пользователей и подмена писем
Исследователь компании СайберОК обнаружил несколько уязвимостей в программном обеспечении «Платформа для онлайн‑обучения Skillspace», связанных с возможностью перечисления пользователей и отправки электронных писем от имени сервиса.
📣 Пользователи сервиса СайберОК СКИПА PentOps были уведомлены об обнаруженных уязвимостях 19 декабря 2025 года.
Данные уязвимости могут использоваться злоумышленниками на этапе разведки для сбора информации о пользователях платформы и подготовки последующих атак.
👤 Перечисление пользователей (User Enumeration)
• COK‑2025‑11‑12, COK‑2025‑11‑13
• CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Уязвимость позволяет неавторизованному пользователю перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как атака перебором паролей (Brute Force) или массовый подбор паролей к разным учетным записям (Password Spraying).
✉️ Подмена отправителя электронных писем (Email Spoofing)
• COK‑2025‑11‑14
• CVSS 3.1 AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:L
🔻 7.7 — высокий уровень опасности
Уязвимость позволяет злоумышленнику отправлять электронные письма, имитируя сообщения от платформы, с частичным нарушением верстки.
В совокупности с уязвимостями COK‑2025‑11‑12 и COK‑2025‑11‑13 это может создать предпосылки для проведения целевых фишинговых атак на клиентов платформы с использованием методов социальной инженерии.
⚙️ Статус устранения
Поскольку Skillspace является программным обеспечением, предоставляемым как сервис (SaaS‑решением), по информации ФСТЭК, исправления были развернуты централизованно на стороне сервиса. Пользователям платформы не требуется выполнять обновление программного обеспечения — изменения применены автоматически.
🛡 Рекомендации
• Рекомендуется внимательно проверять письма, особенно если письмо содержит приглашения к курсам или внешние ссылки.
• Провести дополнительное информирование пользователей о возможных фишинговых письмах, имитирующих уведомления от платформы Skillspace.
Исследователь компании СайберОК обнаружил несколько уязвимостей в программном обеспечении «Платформа для онлайн‑обучения Skillspace», связанных с возможностью перечисления пользователей и отправки электронных писем от имени сервиса.
📣 Пользователи сервиса СайберОК СКИПА PentOps были уведомлены об обнаруженных уязвимостях 19 декабря 2025 года.
Данные уязвимости могут использоваться злоумышленниками на этапе разведки для сбора информации о пользователях платформы и подготовки последующих атак.
👤 Перечисление пользователей (User Enumeration)
• COK‑2025‑11‑12, COK‑2025‑11‑13
• CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
🔸 5.3 — средний уровень опасности
Уязвимость позволяет неавторизованному пользователю перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как атака перебором паролей (Brute Force) или массовый подбор паролей к разным учетным записям (Password Spraying).
✉️ Подмена отправителя электронных писем (Email Spoofing)
• COK‑2025‑11‑14
• CVSS 3.1 AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:L
🔻 7.7 — высокий уровень опасности
Уязвимость позволяет злоумышленнику отправлять электронные письма, имитируя сообщения от платформы, с частичным нарушением верстки.
В совокупности с уязвимостями COK‑2025‑11‑12 и COK‑2025‑11‑13 это может создать предпосылки для проведения целевых фишинговых атак на клиентов платформы с использованием методов социальной инженерии.
⚙️ Статус устранения
Поскольку Skillspace является программным обеспечением, предоставляемым как сервис (SaaS‑решением), по информации ФСТЭК, исправления были развернуты централизованно на стороне сервиса. Пользователям платформы не требуется выполнять обновление программного обеспечения — изменения применены автоматически.
🛡 Рекомендации
• Рекомендуется внимательно проверять письма, особенно если письмо содержит приглашения к курсам или внешние ссылки.
• Провести дополнительное информирование пользователей о возможных фишинговых письмах, имитирующих уведомления от платформы Skillspace.
🔥18
⚡️ Акцизные марки тоже хотят защиты. Устранены уязвимости в Frontol Mark Unit
Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярном сервисе контроля акцизных марок Frontol Mark Unit.
📡 На радарах СКИПА зафиксировано около 500 экземпляров Frontol Mark Unit, из которых более 200 подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимости 9 октября 2025 года.
⚠️ Неверное ограничение имени пути к каталогу
• СОК-2025-10-03 / BDU:2025-12567
• Уязвимы версии до 4.4.1.663 включительно.
• CVSS 4.0
🔻 9.2 — критический уровень опасности.
Уязвимость связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
⚠️ Использование криптографических алгоритмов
• СОК-2025-10-04 / BDU:2025-12568
• Уязвимы версии до 4.4.1.663 включительно.
• CVSS 4.0
🔻 8.3 — высокий уровень опасности.
Уязвимость связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
💡Рекомендуем обновить ПО до версии 4.5.0 и выше.
🤝 Благодарим команду Frontol Mark Unit за взаимодействие при обработке информации об уязвимостях и ФСТЭК России за содействие в их регистрации.
Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярном сервисе контроля акцизных марок Frontol Mark Unit.
📡 На радарах СКИПА зафиксировано около 500 экземпляров Frontol Mark Unit, из которых более 200 подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимости 9 октября 2025 года.
⚠️ Неверное ограничение имени пути к каталогу
• СОК-2025-10-03 / BDU:2025-12567
• Уязвимы версии до 4.4.1.663 включительно.
• CVSS 4.0
🔻 9.2 — критический уровень опасности.
Уязвимость связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
⚠️ Использование криптографических алгоритмов
• СОК-2025-10-04 / BDU:2025-12568
• Уязвимы версии до 4.4.1.663 включительно.
• CVSS 4.0
🔻 8.3 — высокий уровень опасности.
Уязвимость связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
💡Рекомендуем обновить ПО до версии 4.5.0 и выше.
🤝 Благодарим команду Frontol Mark Unit за взаимодействие при обработке информации об уязвимостях и ФСТЭК России за содействие в их регистрации.
🔥17
В марте 2026 года обнаружена и исправлена критическая уязвимость CVE‑2026‑27944 (CVSS 9.8) в Nginx UI — популярном веб‑интерфейсе для управления Nginx. Через неё неаутентифицированный злоумышленник может скачать резервную копию всего сервера, содержащую учётные данные, идентификаторы доступа, закрытые ключи сертификата (SSL-ключи) и конфигурации Nginx, — и тут же расшифровать его благодаря ключу, передаваемому в заголовке ответа.
📊 Масштаб
СКИПА фиксирует ~500 активных инстансов Nginx UI в Рунете, из которых 35% потенциально подвержены CVE-2026-27944.
Пользователи СКИПА PentOps были своевременно уведомлены.
🧠 Активная эксплуатация
На момент исследования в профильных репозиториях (GitHub) уже появились публичные примеры использования этой уязвимости. Учитывая, что эксплуатация не требует авторизации и сводится к прямому запросу, риск массовой автоматизированной компрометации уязвимых узлов критически высок.
💥 Об уязвимости
• Затронутые версии: Nginx UI до 2.3.3 (не включая).
• Тип: неаутентифицированный доступ к критичной функции + раскрытие ключа шифрования (CWE-306, CWE-311).
• Компонент: путь
/api/backup.• Причина: путь
/api/backup доступен без какой-либо аутентификации. При запросе сервер отдаёт зашифрованную резервную копию всей системы и одновременно передаёт ключ дешифрования в заголовке HTTP X-Backup-Security. Атакующий получает учётные записи пользователей, идентификаторы доступа, приватные SSL-ключи, конфигурации Nginx.🔍 Индикаторы атаки
• Запросы к
/api/backup от неаутентифицированных или внешних IP-адресов.• Наличие заголовка
X-Backup-Security в логах ответов (access-логи обратного прокси‑сервера).• Аномально большие ответы HTTP от Nginx UI (полная резервная копия может весить десятки МБ).
• Последующие попытки входа с ранее неизвестных сетевых адресов с использованием валидных учётных данных (признак того, что резервная копия уже расшифрована).
🛡 Рекомендации по защите
1. Обновите Nginx UI до версии 2.3.3 или выше.
2. Ограничьте сетевой доступ к Nginx UI — интерфейс управления не должен быть доступен из интернета; используйте виртуальную частную сеть (VPN) или список разрешённых сетевых адресов.
3. Проверьте логи на наличие обращений к
/api/backup — если запросы присутствуют, высока вероятность компрометации.4. Ротируйте секреты: смените пароли пользователей Nginx UI, перевыпустите SSL-сертификаты и сессионные токены.
5. Отслеживайте обращения к
/api/backup и появление заголовка X-Backup-Security в ответах на уровне межсетевого экрана веб-приложений (WAF) или обратного прокси‑сервера.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18⚡7❤5
🧠📊 CyberOK Research опубликовал описание прогрессивной методики приоритизации уязвимостей UPS (Urgent Patch Score) — подхода, в котором срочность определяется не одной статичной метрикой, а таймлайном проверяемых сигналов и реальными ограничениями процесса исправления.
⚙️ Идея проста, но практична: в реальной жизни vulnerability management упирается не только в качество сигнала, но и в пропускную способность команд, операционный ритм, дедлайны и compliance. Именно поэтому «правильный скор» сам по себе не решает задачу — нужна модель, которая учитывает и сигнал, и очередь на исправление.
📈 Параллельно вышла работа Prediction Meets Patch Queues, где показаны эмпирические ограничения EPSS-only приоритизации на данных CISA KEV additions in 2025. Вместе эти публикации хорошо показывают, почему индустрии нужен переход от score-only подходов к evidence-driven приоритизации.
Материалы:
📄 UPS Meets Patch Queues Evidence-timeline prioritization under limited capacity, cadence, and compliance gravity
📄 Prediction Meets Patch Queues: Empirical Limits of EPSS-Only Prioritization Using CISA KEV Additions in 2025
🗂 Датасеты
⚙️ Идея проста, но практична: в реальной жизни vulnerability management упирается не только в качество сигнала, но и в пропускную способность команд, операционный ритм, дедлайны и compliance. Именно поэтому «правильный скор» сам по себе не решает задачу — нужна модель, которая учитывает и сигнал, и очередь на исправление.
📈 Параллельно вышла работа Prediction Meets Patch Queues, где показаны эмпирические ограничения EPSS-only приоритизации на данных CISA KEV additions in 2025. Вместе эти публикации хорошо показывают, почему индустрии нужен переход от score-only подходов к evidence-driven приоритизации.
Как отмечает CEO CyberOK Сергей Гордейчик:
«Это исследование открыло для меня не только технические вопросы, но и вопросы бизнеса, социальные вопросы. Например, почему компании и исследователи вынуждены делиться экспертизой, делая так, что сумма открытых источников часто эффективнее, чем один или несколько “приватных”. Почему новостные метрики часто шум, а технические индикаторы в целом работают. И лишний раз подтвердило, что всё в мире — музыка».
Материалы:
📄 UPS Meets Patch Queues Evidence-timeline prioritization under limited capacity, cadence, and compliance gravity
📄 Prediction Meets Patch Queues: Empirical Limits of EPSS-Only Prioritization Using CISA KEV Additions in 2025
🗂 Датасеты
🔥16⚡4👍3😱1
CyberOK и Positive Technologies заключили стратегическое партнерское соглашение
Сотрудничество объединит технологии CyberOK в области управления внешней поверхностью атаки, анализа уязвимостей и непрерывной валидации рисков с экспертизой Positive Technologies в построении масштабируемых платформ кибербезопасности. Технологии CyberOK будут продвигаться на российском и международных рынках, а также интегрироваться в комплексные решения Positive Technologies. Кроме того, партнерство включает взаимный обмене технологической и исследовательской экспертизой — это позволит ускорить развитие продуктов и повысить эффективность решений при защите инфраструктуры организаций.
◼️ При этом CyberOK продолжает развиваться как независимый производитель: действующие партнерские соглашения сохраняются, все обязательства перед клиентами и партнерами остаются неизменными.
Соглашение подписано на «Дне открытых дверей» Positive Technologies 11 марта 2026 года.
Сотрудничество объединит технологии CyberOK в области управления внешней поверхностью атаки, анализа уязвимостей и непрерывной валидации рисков с экспертизой Positive Technologies в построении масштабируемых платформ кибербезопасности. Технологии CyberOK будут продвигаться на российском и международных рынках, а также интегрироваться в комплексные решения Positive Technologies. Кроме того, партнерство включает взаимный обмене технологической и исследовательской экспертизой — это позволит ускорить развитие продуктов и повысить эффективность решений при защите инфраструктуры организаций.
Соглашение подписано на «Дне открытых дверей» Positive Technologies 11 марта 2026 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥37
🔒 Повышение привилегий в контроллерах Wiren Board — когда «умный дом» слишком доверчив
Критическая уязвимость BDU:2025-02704 (CVSS 3.1: 9.8) в ПО контроллеров Wiren Board — платформы для автоматизации зданий и «умных домов» — была зарегистрирована в БДУ ФСТЭК ещё в марте 2025 года. Повторно наши исследователи обратили на неё внимание после обновления бюллетеня от 05.02.2026 и роста интереса к ней в профильных источниках. Уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом получить административный доступ к контроллеру, включая системные настройки, резервные копии и журналы.
📊 Масштаб
СКИПА фиксирует до 100 активных уникальных контроллеров Wiren Board, доступных извне в Рунете. Из них 70% потенциально подвержены BDU‑2025‑02704.
Пользователи СКИПА PentOps были своевременно уведомлены.
🧨 Особенности эксплуатации
Веб-интерфейс Wiren Board без аутентификации показывает функции роли «Пользователь». Разграничение доступа выполняется только на стороне клиента: роль пользователя (role) хранится в Local Storage браузера и определяет лишь видимость элементов интерфейса. Для получения админ-доступа через браузер достаточно изменить role в Local Storage на 3 («Администратор»). Сервер не проверяет права при обращении к привилегированным функциям, поэтому злоумышленник с сетевым доступом может получить полный административный контроль над устройством, включая настройки, резервные копии и системные журналы. Простота эксплуатации создает высокий риск автоматизированных атак.
ℹ️ Об уязвимости
Затронутые устройства
• Wiren Board WB8 — прошивки до 202501301058
• Wiren Board WB7 — до 202501301119
• Wiren Board WB6 — до 202501301119
• Wiren Board WB67 — до 202501301120
Уязвимость повышает привилегии через клиентскую манипуляцию из‑за хранения роли в Local Storage без серверной проверки прав доступа (CWE‑250 — исполнение с необязательными привилегиями).
CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔺 9,8 — критический уровень опасности
🧭 Индикаторы атаки
• Обращения к веб-интерфейсу Wiren Board с нехарактерных или внешних сетевых адресов.
• Действия в административном разделе, совершённые пользователями без роли администратора.
• Операции с резервными копиями, инициированные не из доверенных сессий.
• Обращение к системному журналу со стороны учётных записей с ограниченными привилегиями.
• Изменения конфигурации устройства (сетевые настройки, учётные записи, параметры автоматизации).
🛡 Рекомендации по защите
1. Обновите прошивку контроллеров:
• WB8 — ≥ 202501301058
• WB7 — ≥ 202501301119
• WB6 — ≥ 202501301119
• WB67 — ≥ 202501301120
2. Изолируйте веб-интерфейс контроллера от сети Интернет: используйте виртуальную частную сеть (VPN), белые списки сетевых-адресов или иные средства ограничения доступа.
3. Проверьте журналы и конфигурацию устройства на нехарактерные обращения к административным разделам, операции с резервными копиями и несанкционированные изменения конфигурации.
4. Настройте HTTP-аутентификацию на веб-интерфейсе контроллера для ограничения несанкционированного доступа к интерфейсу управления до установки обновлений и как дополнительную меру защиты после обновления.
5. Примените дополнительные меры защиты, рекомендованные вендором: https://wiki.wirenboard.com/wiki/Security
Критическая уязвимость BDU:2025-02704 (CVSS 3.1: 9.8) в ПО контроллеров Wiren Board — платформы для автоматизации зданий и «умных домов» — была зарегистрирована в БДУ ФСТЭК ещё в марте 2025 года. Повторно наши исследователи обратили на неё внимание после обновления бюллетеня от 05.02.2026 и роста интереса к ней в профильных источниках. Уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом получить административный доступ к контроллеру, включая системные настройки, резервные копии и журналы.
📊 Масштаб
СКИПА фиксирует до 100 активных уникальных контроллеров Wiren Board, доступных извне в Рунете. Из них 70% потенциально подвержены BDU‑2025‑02704.
Пользователи СКИПА PentOps были своевременно уведомлены.
🧨 Особенности эксплуатации
Веб-интерфейс Wiren Board без аутентификации показывает функции роли «Пользователь». Разграничение доступа выполняется только на стороне клиента: роль пользователя (role) хранится в Local Storage браузера и определяет лишь видимость элементов интерфейса. Для получения админ-доступа через браузер достаточно изменить role в Local Storage на 3 («Администратор»). Сервер не проверяет права при обращении к привилегированным функциям, поэтому злоумышленник с сетевым доступом может получить полный административный контроль над устройством, включая настройки, резервные копии и системные журналы. Простота эксплуатации создает высокий риск автоматизированных атак.
ℹ️ Об уязвимости
Затронутые устройства
• Wiren Board WB8 — прошивки до 202501301058
• Wiren Board WB7 — до 202501301119
• Wiren Board WB6 — до 202501301119
• Wiren Board WB67 — до 202501301120
Уязвимость повышает привилегии через клиентскую манипуляцию из‑за хранения роли в Local Storage без серверной проверки прав доступа (CWE‑250 — исполнение с необязательными привилегиями).
CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔺 9,8 — критический уровень опасности
🧭 Индикаторы атаки
• Обращения к веб-интерфейсу Wiren Board с нехарактерных или внешних сетевых адресов.
• Действия в административном разделе, совершённые пользователями без роли администратора.
• Операции с резервными копиями, инициированные не из доверенных сессий.
• Обращение к системному журналу со стороны учётных записей с ограниченными привилегиями.
• Изменения конфигурации устройства (сетевые настройки, учётные записи, параметры автоматизации).
🛡 Рекомендации по защите
1. Обновите прошивку контроллеров:
• WB8 — ≥ 202501301058
• WB7 — ≥ 202501301119
• WB6 — ≥ 202501301119
• WB67 — ≥ 202501301120
2. Изолируйте веб-интерфейс контроллера от сети Интернет: используйте виртуальную частную сеть (VPN), белые списки сетевых-адресов или иные средства ограничения доступа.
3. Проверьте журналы и конфигурацию устройства на нехарактерные обращения к административным разделам, операции с резервными копиями и несанкционированные изменения конфигурации.
4. Настройте HTTP-аутентификацию на веб-интерфейсе контроллера для ограничения несанкционированного доступа к интерфейсу управления до установки обновлений и как дополнительную меру защиты после обновления.
5. Примените дополнительные меры защиты, рекомендованные вендором: https://wiki.wirenboard.com/wiki/Security
🔥14
🆘 ZenCount: много установок, много уязвимостей
Исследователи СайберОК Виктор Лазарев и Роберт Торосян обнаружили несколько уязвимостей в популярном сервисе видеосчётчиков посетителей ZenCount.
📡 На радарах СКИПА зафиксировано более 1500 экземпляров ZenCount, из которых все подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимостях 14 октября 2025 года.
В рамках политики скоординированного разглашения данные были переданы во ФСТЭК РФ 14 октября 2025 года.
⚠️ Уязвимости связаны с недостаточной защитой служебных данных.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.
1. СОК-2025-10-01 / BDU:2025-14308
• 🔻 CVSS 3.1 – 7.5 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
2. СОК-2025-10-13 / BDU:2025-14317
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
3. СОК-2025-10-14 / BDU:2025-14318
• 🔻 CVSS 3.1 – 7.5 (Высокий уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимость связана с незашифрованным хранением критичной информации.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.
1. СОК-2025-10-02 / BDU:2025-14309
• 🔻 CVSS 3.1 – 7.5 (Высокий уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимости связаны с ошибками разграничения доступа.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на целостность и доступность защищаемой информации.
1. СОК-2025-10-05 / BDU:2025-14310
• 🔻 CVSS 3.1 – 9.3 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
2. СОК-2025-10-06 / BDU:2025-14311
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
3. СОК-2025-10-09 / BDU:2025-14314
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимости связаны с непринятием мер по нейтрализации специальных элементов.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
1. СОК-2025-10-07 / BDU:2025-14312
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
2. СОК-2025-10-08 / BDU:2025-14313
• 🔻 CVSS 3.1 – 10 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
3. СОК-2025-10-12 / BDU:2025-14316
• CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимость связана с использованием жестко закодированных учетных данных.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
1. СОК-2025-10-10 / BDU:2025-14315
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
🚨Организационные меры
• Ограничить использование программного средства.
🚨 Компенсирующие меры
• Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам.
• Ограничение доступа из внешних сетей (Интернет).
• Использование виртуальных частных сетей для организации удаленного доступа (VPN).
• Сегментирование сети для ограничения доступа к уязвимому устройству.
• Настройка веб-сервера на ограничение получения прямого доступа к файлам с расширениями, характерными для конфигурационных и служебных данных.
Исследователи СайберОК Виктор Лазарев и Роберт Торосян обнаружили несколько уязвимостей в популярном сервисе видеосчётчиков посетителей ZenCount.
📡 На радарах СКИПА зафиксировано более 1500 экземпляров ZenCount, из которых все подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимостях 14 октября 2025 года.
В рамках политики скоординированного разглашения данные были переданы во ФСТЭК РФ 14 октября 2025 года.
⚠️ Уязвимости связаны с недостаточной защитой служебных данных.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.
1. СОК-2025-10-01 / BDU:2025-14308
• 🔻 CVSS 3.1 – 7.5 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
2. СОК-2025-10-13 / BDU:2025-14317
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
3. СОК-2025-10-14 / BDU:2025-14318
• 🔻 CVSS 3.1 – 7.5 (Высокий уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимость связана с незашифрованным хранением критичной информации.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность защищаемой информации.
1. СОК-2025-10-02 / BDU:2025-14309
• 🔻 CVSS 3.1 – 7.5 (Высокий уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимости связаны с ошибками разграничения доступа.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на целостность и доступность защищаемой информации.
1. СОК-2025-10-05 / BDU:2025-14310
• 🔻 CVSS 3.1 – 9.3 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
2. СОК-2025-10-06 / BDU:2025-14311
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
3. СОК-2025-10-09 / BDU:2025-14314
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимости связаны с непринятием мер по нейтрализации специальных элементов.
Эксплуатация данных уязвимостей может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
1. СОК-2025-10-07 / BDU:2025-14312
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
2. СОК-2025-10-08 / BDU:2025-14313
• 🔻 CVSS 3.1 – 10 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
3. СОК-2025-10-12 / BDU:2025-14316
• CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
⚠️ Уязвимость связана с использованием жестко закодированных учетных данных.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
1. СОК-2025-10-10 / BDU:2025-14315
• 🔻 CVSS 3.1 – 9.8 (Критический уровень опасности)
• Уязвимы версии до 3.13.3 включительно.
🚨Организационные меры
• Ограничить использование программного средства.
🚨 Компенсирующие меры
• Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам.
• Ограничение доступа из внешних сетей (Интернет).
• Использование виртуальных частных сетей для организации удаленного доступа (VPN).
• Сегментирование сети для ограничения доступа к уязвимому устройству.
• Настройка веб-сервера на ограничение получения прямого доступа к файлам с расширениями, характерными для конфигурационных и служебных данных.
🔥17
Критическая уязвимость CVE-2026-3055 (CVSS 4.0: 9.3) в NetScaler ADC и NetScaler Gateway — ключевых компонентах сетевой инфраструктуры для доставки приложений и удалённого доступа — была опубликована Citrix (Cloud Software Group) 23.03.2026.
Уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом читать содержимое памяти устройства, включая потенциально активные сессионные токены. Для эксплуатации устройство должно быть сконфигурировано как SAML Identity Provider (SAML IDP) — конфигурации по умолчанию не затронуты.
📊 Масштаб
СКИПА фиксирует более 500 активных уникальных устройств NetScaler ADC/Gateway, доступных извне в Рунете. Из них ~93% (верхняя граница теоретически подверженных инстансов на основе версии приложения) работают на потенциально уязвимых версиях.
Однако эксплуатация возможна только при конфигурации устройства как SAML IDP, что сужает круг реально затронутых экземпляров. Определить наличие уязвимой конфигурации извне, без доступа к устройству, не представляется возможным. Пользователи СКИПА PentOps были своевременно уведомлены.
🧠 Механизм эксплуатации
Недостаточная валидация SAML-запросов приводит к чтению за пределами буфера (CWE-125). Неаутентифицированный злоумышленник может отправить специально сформированный запрос, в результате которого устройство вернёт содержимое смежных областей памяти. Раскрытые данные могут включать чувствительную информацию, в том числе активные сессионные токены, что потенциально позволяет перехватить аутентифицированные сессии пользователей.
На момент публикации фактов эксплуатации в дикой природе и публичных эксплойтов не зафиксировано. Однако уязвимость архитектурно схожа с CVE-2023-4966 (Citrix Bleed) и CVE-2025-5777 (Citrix Bleed 2) — аналогичными уязвимостями чтения памяти в NetScaler.
💥 Об уязвимости
Затронутые версии:
• NetScaler ADC и NetScaler Gateway 14.1 — ниже 14.1-66.59
• NetScaler ADC и NetScaler Gateway 13.1 — ниже 13.1-62.23
• NetScaler ADC 13.1-FIPS и 13.1-NDcPP — ниже 13.1-37.262
* Облачные сервисы, управляемые Citrix и Adaptive Authentication обновлены автоматически и не затронуты.
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
🔺 9,3 — критический уровень опасности
🔍 Индикаторы атаки
• Аномальные запросы к адресам SAML IDP на устройствах NetScaler с нехарактерных или внешних IP-адресов.
• Нетипичные SAML-запросы, содержащие признаки попыток чтения памяти, и увеличение объёма ответов.
• Сессии с несовпадающих IP/устройств.
• Аномальная активность аутентифицированных сессий.
🛡 Рекомендации по защите
1. Обновите NetScaler ADC и Gateway до исправленных версий.
2. Проверьте, сконфигурировано ли устройство как SAML IDP.
Выполните поиск строки
add authentication samlIdPProfile в конфигурации NetScaler. Устройства с такой конфигурацией подлежат приоритетному обновлению.3. Ограничьте сетевой доступ к устройствам NetScaler.
Минимизируйте экспозицию управляющих интерфейсов. Ограничьте доступ к SAML-эндпоинтам из недоверенных сетей средствами ACL, WAF или сетевой сегментации.
4. Проведите аудит сессий и журналов на наличие признаков перехвата сессий.
5. Ознакомьтесь с рекомендациями вендора.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13
⛓️💥 AVReg: от межсайтового скриптинга до полного захвата системы
Исследователи СайберОК Роберт Торосян и Виктор Лазарев обнаружили несколько уязвимостей в сервисе программного обеспечения для создания аудио/видео регистраторов AVReg.
📡 На радарах СКИПА зафиксировано 100+ экземпляров AVReg, из которых более 20 подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимости 16 сентября 2025 года.
⚠️ Уязвимости связаны с непринятием мер по защите структуры веб-страницы.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
СОК-2025-09-04 - COK-2025-09-07 / BDU:2025-11150 - BDU:2025-11153
🔸 CVSS 3.1 – 5,4 (средний уровень опасности)
Уязвимы версии до 6.3p29.
⚠️ Уязвимость связана с недостаточной проверкой запросов на стороне сервера.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
СОК-2025-10-24 / BDU:2025-13567
🔺 CVSS 3.1 – 7,5 (высокий уровень опасности)
Уязвимы версии до 6.3p29.
⚠️ Уязвимость связана с непринятием мер по нейтрализации специальных элементов.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды.
СОК-2025-10-25 / BDU:2025-13568
🔺 CVSS 3.1 – 9,1 (критический уровень опасности)
Уязвимы версии до 6.3p29.
⚠️ Уязвимость связана с использованием учетных данных по умолчанию.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, полностью компрометировать систему.
СОК-2025-10-26 / BDU:2025-13566
🔺 CVSS 3.1 – 9,8 (критический уровень опасности)
Уязвимы версии до 6.3p29.
💡Рекомендуем обновить ПО до версии 6.3p29 и выше.
🔗 Ссылки
• https://reestr.digital.gov.ru/reestr/301893/?sphrase_id=16565191
• https://bdu.fstec.ru/news/1380
Исследователи СайберОК Роберт Торосян и Виктор Лазарев обнаружили несколько уязвимостей в сервисе программного обеспечения для создания аудио/видео регистраторов AVReg.
📡 На радарах СКИПА зафиксировано 100+ экземпляров AVReg, из которых более 20 подвержены данным уязвимостям.
Пользователи СКИПА PentOps были уведомлены об уязвимости 16 сентября 2025 года.
⚠️ Уязвимости связаны с непринятием мер по защите структуры веб-страницы.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
СОК-2025-09-04 - COK-2025-09-07 / BDU:2025-11150 - BDU:2025-11153
🔸 CVSS 3.1 – 5,4 (средний уровень опасности)
Уязвимы версии до 6.3p29.
⚠️ Уязвимость связана с недостаточной проверкой запросов на стороне сервера.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
СОК-2025-10-24 / BDU:2025-13567
🔺 CVSS 3.1 – 7,5 (высокий уровень опасности)
Уязвимы версии до 6.3p29.
⚠️ Уязвимость связана с непринятием мер по нейтрализации специальных элементов.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды.
СОК-2025-10-25 / BDU:2025-13568
🔺 CVSS 3.1 – 9,1 (критический уровень опасности)
Уязвимы версии до 6.3p29.
⚠️ Уязвимость связана с использованием учетных данных по умолчанию.
Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, полностью компрометировать систему.
СОК-2025-10-26 / BDU:2025-13566
🔺 CVSS 3.1 – 9,8 (критический уровень опасности)
Уязвимы версии до 6.3p29.
💡Рекомендуем обновить ПО до версии 6.3p29 и выше.
🔗 Ссылки
• https://reestr.digital.gov.ru/reestr/301893/?sphrase_id=16565191
• https://bdu.fstec.ru/news/1380
🔥17
🎭 Amiro.CMS: чужой сценарий на вашей странице
Исследователь СайберОК Роберт Торосян обнаружил XSS в Amiro.CMS.
📡 СКИПА фиксирует 12 000+ установок; более 5% уязвимы. Клиенты СКИПА PentOps уведомлены 29 июня.
📊 Об уязвимости
COK-2025-06-02 / BDU:2025-16449
🔸 CVSS 3.1 5.3 – (средний). Уязвимы версии до 7.8.4.
Уязвимость связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
💡Компенсирующие меры
1. Межсетевой экран уровня приложений (WAF) для фильтрации ввода.
2. «Белый» список IP-адресов для ограничения доступа к веб-интерфейсу управления программным средством.
3. Средства обнаружения и предотвращения вторжений (IDS/IPS) для выявления атак.
4. Использование политики защиты содержимого (Content Security Policy).
5. Виртуальные частные сети (VPN) для удаленного доступа .
🔗 Ссылки
• CWE-79: Improper Neutralization of Input During Web Page Generation
Исследователь СайберОК Роберт Торосян обнаружил XSS в Amiro.CMS.
📡 СКИПА фиксирует 12 000+ установок; более 5% уязвимы. Клиенты СКИПА PentOps уведомлены 29 июня.
COK-2025-06-02 / BDU:2025-16449
🔸 CVSS 3.1 5.3 – (средний). Уязвимы версии до 7.8.4.
Уязвимость связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
💡Компенсирующие меры
1. Межсетевой экран уровня приложений (WAF) для фильтрации ввода.
2. «Белый» список IP-адресов для ограничения доступа к веб-интерфейсу управления программным средством.
3. Средства обнаружения и предотвращения вторжений (IDS/IPS) для выявления атак.
4. Использование политики защиты содержимого (Content Security Policy).
5. Виртуальные частные сети (VPN) для удаленного доступа .
🔗 Ссылки
• CWE-79: Improper Neutralization of Input During Web Page Generation
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16
CVE-2026-34197 (CVSS 3.1: 8.8) в брокере сообщений Apache ActiveMQ Classic опубликована в апреле 2026 исследователями Horizon3.ai.
Пользователи СКИПА PentOps были своевременно уведомлены.
Уязвимость эксплуатируется через Jolokia (вектор стал возможен после CVE-2022-41678) и была обнаружена с помощью Claude. Атака использует метод
addNetworkConnector для загрузки удалённого конфигурационного файла и выполнения произвольных команд через MBeans. Требуется аутентификация, но дефолтные учётные данные и смежная уязвимость CVE-2024-32114 упрощают эксплуатацию. 🧠 Механизм эксплуатации
В интерфейсе Jolokia (JMX-HTTP bridge) разрешены операции на MBeans
org.apache.activemq:. Злоумышленник отправляет POST-запрос к /api/jolokia/ с вызовом addNetworkConnector и может передать параметр
brokerConfig, указывающий на внешний XML-файл конфигурации. Далее Spring создаёт компоненты до проверки, что позволяет внедрить вредоносные factory-бины, которые выполняют системные команды через
Runtime.exec(). Нюанс: В версиях 6.0.0–6.1.1 проверка учётных данных отключена и эксплуатация CVE-2026-34197 проходит полностью без аутентификации.
💥 Об уязвимости
Затронуты:
• 5.x до 5.19.4
• 6.x от 6.0.0 до 6.2.3
🔻 CVSS 3.1: 8.8 – высокий уровень опасности*
*В конфигурациях с версиями 6.0.0–6.1.1 фактический риск возрастает до критического (9.8), так как атака не требует авторизации.
🔍 Индикаторы атаки
• POST-запросы к
/api/jolokia/ с addNetworkConnector.• Записи в журналах брокера:
vm:// URI и brokerConfig=xbean:http....• Исходящие сетевые запросы от процесса Java на неизвестные адреса и домены.
• Запуск неожиданных дочерних процессов (sh, bash, curl, wget) от ActiveMQ.
🛡 Рекомендации
1. Обновить до 5.19.4+ или 6.2.3+.
2. Сменить дефолтные учётные данные (admin).
3. Ограничить доступ к веб-консоли и
/api/jolokia/ через WAF/или межсетевой экран. Доступ к маршруту /api/jolokia/ должен быть ограничен выделенными IP-адресами администраторов.4. Настроить мониторинг процессов и трафика.
5. Ознакомиться с рекомендациями исследователей Horizon3.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20
Применение AI-агентов в разработке программного обеспечения стремительно расширяется — и вместе с ним расширяется поверхность атаки, которую традиционные практики безопасной разработки попросту не покрывают.
Чтобы закрыть этот пробел, мы публикуем Agentic SAMM (ASAMM) — исследовательский фреймворк, расширяющий OWASP SAMM для систем с AI-агентами.
Ключевые концепции:
Контекст — плоскость управления. Всё что агент читает может стать инструкцией. Вызов инструмента — граница безопасности. Авторизовано не означает согласовано с задачей. Окно автономии — измеримый риск: произведение времени без контрольной точки на взрывной радиус доступных действий.
Фреймворк включает таксономию угроз (C1–C4), двухосевую модель доверия, 17 контролей по 5 функциям SAMM с уровнями зрелости L1–L3 и маппингом на NIST AI RMF, NCSC и ГОСТ Р 56939-2024.
Два пути внедрения: миграция с существующей программы безопасности или новое развёртывание с нуля.
Документ открыт для рецензирования. GitHub:
https://github.com/scadastrangelove/asamm
Русская версия с детальным маппингом по параграфам ГОСТ Р 56939-2024 доступна там же.
«Мы фиксируем, что команды внедряют агентные инструменты быстрее, чем успевают выстроить адекватные практики безопасности. Классический SAMM даёт хорошую основу, но что делать, когда агент начинает самостоятельно вызывать инструменты, читать внешний контекст и действовать автономно без человека в цикле?», — Сергей Гордейчик, генеральный директор CyberOK.
Чтобы закрыть этот пробел, мы публикуем Agentic SAMM (ASAMM) — исследовательский фреймворк, расширяющий OWASP SAMM для систем с AI-агентами.
Ключевые концепции:
Контекст — плоскость управления. Всё что агент читает может стать инструкцией. Вызов инструмента — граница безопасности. Авторизовано не означает согласовано с задачей. Окно автономии — измеримый риск: произведение времени без контрольной точки на взрывной радиус доступных действий.
Фреймворк включает таксономию угроз (C1–C4), двухосевую модель доверия, 17 контролей по 5 функциям SAMM с уровнями зрелости L1–L3 и маппингом на NIST AI RMF, NCSC и ГОСТ Р 56939-2024.
Два пути внедрения: миграция с существующей программы безопасности или новое развёртывание с нуля.
Документ открыт для рецензирования. GitHub:
https://github.com/scadastrangelove/asamm
Русская версия с детальным маппингом по параграфам ГОСТ Р 56939-2024 доступна там же.
🔥13
🌩 Удалённое выполнение кода и компрометация облака через Axios
Критическая уязвимость CVE-2026-40175 (CVSS 3.1: 10.0) в Axios публично раскрыта 10 апреля 2026 года.
📊 СКИПА фиксирует до 20.000 активных хостов в Рунете.
Из них ~39% содержат потенциально уязвимые версии Axios.
Однако реальное распространение в микросервисах и контейнерах значительно шире. Пользователи СКИПА PentOps были своевременно уведомлены.
Уязвимость позволяет использовать Axios в качестве «гаджета» (Gadget Attack Chain): загрязнение прототипа (Prototype Pollution) в любой сторонней зависимости эскалируется до удалённого выполнения кода (RCE) или полного захвата облачной инфраструктуры через обход защиты AWS IMDSv2.
🧠 Механизм эксплуатации
1. Загрязнение
2. Axios наследует загрязнённые свойства в заголовки без проверки символов разделения строк (CRLF,
3. CRLF-инъекция и цепочка перенаправления запросов позволяют отправить HTTP‑запрос типа PUT к AWS IMDS для получения токена и чтения метаданных.
4. В результате злоумышленник получает доступ к IAM‑токенам и повышает привилегии в облаке.
💥 Об уязвимости
• Уязвимы все версии ниже 1.15.0.
• На GitHub опубликованы 2 публичных PoC.
• Корневой дефект: отсутствие валидации CR/LF в
🔻 CVSS 3.1: 10.0 (в некоторых источниках 9.9) — критический уровень опасности. Однако применимость в распостраненных сценариях использования Axios в Node.js не подтверждена.
🔍 Индикаторы атаки
• Аномальные HTTP‑запросы типа PUT к
• Попытки манипуляции
• Инъекции CRLF (
• Использование IAM-токенов с чужих IP.
• Ошибки парсинга заголовков или ошибки HTTP 500 в логах Node.js-сервиса.
🛡 Рекомендации по защите
1. Обновить Axios до 1.15.0 (1.14.x частично уязвимы).
2. Провести аудит зависимостей на Prototype Pollution (npm audit + SCA).
3. Блокировать доступ к
4. Настроить WAF на детектирование
📌 Ключевой вывод
Axios — не начальная точка взлома, а усилитель.
Отправная точка — уязвимые зависимости проекта, подверженные загрязнению прототипа. Именно поэтому обновление только Axios без аудита дерева зависимостей является неполной мерой защиты.
Критическая уязвимость CVE-2026-40175 (CVSS 3.1: 10.0) в Axios публично раскрыта 10 апреля 2026 года.
📊 СКИПА фиксирует до 20.000 активных хостов в Рунете.
Из них ~39% содержат потенциально уязвимые версии Axios.
Оценка «10/10» присвоена за наихудший сценарий развития событий. В стандартных средах Node.js эту уязвимость практически невозможно использовать.
Если на практике ее нельзя использовать, почему она считается уязвимостью CVE?
Потому что проблема существует на уровне библиотеки. Ранее в Axios допускались небезопасные значения в заголовках. Даже если среда выполнения их блокирует, сама библиотека не соблюдает это ограничение.
Однако реальное распространение в микросервисах и контейнерах значительно шире. Пользователи СКИПА PentOps были своевременно уведомлены.
Уязвимость позволяет использовать Axios в качестве «гаджета» (Gadget Attack Chain): загрязнение прототипа (Prototype Pollution) в любой сторонней зависимости эскалируется до удалённого выполнения кода (RCE) или полного захвата облачной инфраструктуры через обход защиты AWS IMDSv2.
🧠 Механизм эксплуатации
1. Загрязнение
Object.prototype через уязвимые библиотеки (qs, minimist, body-parser).2. Axios наследует загрязнённые свойства в заголовки без проверки символов разделения строк (CRLF,
\r\n), что позволяет злоумышленнику внедрять произвольные заголовки и разделять HTTP-запросы в случае если сервер пропускает такие запросы.Стандартный Node.js (и также Bun/Deno) не допускает иньекцию CRLF в заголовки
3. CRLF-инъекция и цепочка перенаправления запросов позволяют отправить HTTP‑запрос типа PUT к AWS IMDS для получения токена и чтения метаданных.
4. В результате злоумышленник получает доступ к IAM‑токенам и повышает привилегии в облаке.
💥 Об уязвимости
• Уязвимы все версии ниже 1.15.0.
• На GitHub опубликованы 2 публичных PoC.
• Корневой дефект: отсутствие валидации CR/LF в
AxiosHeaders.set (lib/core/AxiosHeaders.js). Исправлено добавлением assertValidHeaderValue.🔻 CVSS 3.1: 10.0 (в некоторых источниках 9.9) — критический уровень опасности. Однако применимость в распостраненных сценариях использования Axios в Node.js не подтверждена.
🔍 Индикаторы атаки
• Аномальные HTTP‑запросы типа PUT к
169.254.169.254.• Попытки манипуляции
__proto__ или constructor.prototype в HTTP-запросах или логах WAF.• Инъекции CRLF (
%0d%0a, \r\n).• Использование IAM-токенов с чужих IP.
• Ошибки парсинга заголовков или ошибки HTTP 500 в логах Node.js-сервиса.
🛡 Рекомендации по защите
1. Обновить Axios до 1.15.0 (1.14.x частично уязвимы).
2. Провести аудит зависимостей на Prototype Pollution (npm audit + SCA).
3. Блокировать доступ к
169.254.169.254 через Network Policies / Security Groups.4. Настроить WAF на детектирование
__proto__ и CRLF-инъекций на входе.📌 Ключевой вывод
Axios — не начальная точка взлома, а усилитель.
Отправная точка — уязвимые зависимости проекта, подверженные загрязнению прототипа. Именно поэтому обновление только Axios без аудита дерева зависимостей является неполной мерой защиты.
🔥11❤7😱6
Кибербез в эпоху, когда код ничего не стоит
Сергей Гордейчик, CEO СайберОК, о том, как ИИ-агенты меняют правила игры в информационной безопасности.
Код превращается в расходный материал, ручные пентесты уходят в прошлое, а классические вендоры сталкиваются с кризисом модели. Кто выживет в новой реальности?
Три архетипа победителей: дорогая инфраструктура, узловые точки управления и «мозги в коробке» для регуляторов. Главный дефицит сейчас — не технологии, а доверие и скорость внедрения.
В полном манифесте: почему модели pay-by-volume умирают, как построить «Steam для ИБ» и что делать компаниям прямо сейчас, чтобы не стать зомби-вендором.
Читайте полный текст Манифеста Созидателя:
https://teletype.in/@sergey_gordey/dZijhpp2f3M
Сергей Гордейчик, CEO СайберОК, о том, как ИИ-агенты меняют правила игры в информационной безопасности.
Код превращается в расходный материал, ручные пентесты уходят в прошлое, а классические вендоры сталкиваются с кризисом модели. Кто выживет в новой реальности?
Три архетипа победителей: дорогая инфраструктура, узловые точки управления и «мозги в коробке» для регуляторов. Главный дефицит сейчас — не технологии, а доверие и скорость внедрения.
В полном манифесте: почему модели pay-by-volume умирают, как построить «Steam для ИБ» и что делать компаниям прямо сейчас, чтобы не стать зомби-вендором.
Читайте полный текст Манифеста Созидателя:
https://teletype.in/@sergey_gordey/dZijhpp2f3M
Teletype
Манифест созидателя
Ещё один агент сегодня.
⚡8❤5😱3🔥1