⚠️ CISA дала всім на патч Cisco SD-WAN лише три дні. Я чесно давно не бачив такого жорсткого дедлайну — значить, там горить по-справжньому.

Суть: у Cisco Catalyst SD-WAN Controller/Manager є CVE-2026-20182 — обхід автентифікації, який дає повний адмін-доступ неавторизованому віддаленому чуваку. Плюс поруч крутиться ще три дірки (CVE-2026-20133/20128/20122), які в ланцюжку дозволяють з нуля зайти на девайс і вже два місяці як активно експлуатуються 🕒. Talos пише про мінімум 10 різних угруповань: від криптомайнерів і вебшелів до крадіжки JWT і AWS-ключів — тобто SD-WAN-контролер легко стає входом у вашу хмару 🧩.

Якщо у вас в інфрі є Cisco Catalyst SD-WAN / vManage — я б ставив патчі не відкладаючи й паралельно шукав: ліві SSH-ключі, змінені NETCONF, підозрілі JSP (Godzilla/Behinder/XenShell), XMRig, Sliver, AdaptixC2, KScan, gsocket 🛡️. Ну і ротація адмін-паролів, JWT та AWS-доступів явно не завадить 🔑. Мені здається, у 2026 році «ще не встигли оновити» уже звучить як «радше за все, нас уже зламали» 🤔 А ви як будуєте процеси, щоб такі штуки не пролітали повз?

🔗 Докладніше:
https://cybersecurefox.com/uk/cve-2026-20182-cisco-sd-wan-terminovyi-dedlain-cisa

#кібербезпека #cisco #вразливості #sdwan #blue #team #infosec

CyberSecureFox

⚠️ Зловив сьогодні історію, від якої в адмінів Exchange точно сіпнеться око. Microsoft підтвердила нову дірку CVE-2026-42897 (CVSS 8.1) в локальному Exchange Server, яку вже реально б’ють у живих атаках 😐

Як це працює: зловмисник шле спеціальний лист, ви відкриваєте його в OWA, робите певну дію — і в браузері крутиться чужий JavaScript. Це XSS, але в контексті Exchange це вже не «дрібниця»: можна стягнути сесійні токени, влізти в скриньку й діяти від імені користувача. Уразливі всі онпрем-версії 2016 / 2019 / Subscription Edition, а от Exchange Online спокійний 📨

Фікса постійної ще немає, тож Microsoft радить терміново врубати Exchange Emergency Mitigation Service (вона за замовчуванням увімкнена) або прогнати скрипт EOMT на серверах без інтернету 🛡️ Якщо після мітігації бачите «Mitigation invalid for this exchange version», але статус Applied — це просто косметичний глюк, захист працює. Мені здається, це ще один аргумент на користь міграції в хмару 🤔

Як у вас із цим: ще тримаєте живий онпрем-Exchange чи вже тікаєте в M365 — і чи встигли накрутити мітігації сьогодні? 🔐

🔗 Докладніше:
https://cybersecurefox.com/uk/cve-2026-42897-xss-vrazlyvist-u-microsoft-exchange

#кібербезпека #microsoft #exchange #xss #інфобезпека #sysadmin

CyberSecureFox

🔥 За кілька днів після публікації нової дири в NGINX її вже щупають живі атакувальники. Я перечитав технічні деталі й мені здається, що історія тут цікавіша, ніж просто «оновіть сервери».

NGINX: критична CVE-2026-42945 — переповнення буфера в ngxhttprewrite_module. У більшості це «лише» відмова в обслуговуванні, але за певної конфігурації й вимкненого ASLR з цього реально зробити RCE. VulnCheck уже бачить спроби в honeypot’ах 🕳️ Тож якщо у вас нестандартні rewrite-правила або старі системи — я б не тягнув з апдейтом.

Паралельно в openDCIM знайшли цілий 🧵 з трьох критичних багів (SQLi + auth bypass + command injection), які дослідник склеїв у майже повністю автоматизований ланцюжок до reverse shell за 5 HTTP-запитів. Якщо у вас openDCIM світиться в інтернет і REMOTE_USER налаштований абияк — це запрошення всередину. Я б мінімум: оновився, закрив зовнішній доступ і перевірив PHP-файли на шела 🛡️

Як ви зараз пріоритизуєте: спочатку NGINX (через масштаб) чи openDCIM (через глибину впливу на ЦОД)? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/nginx-cve-2026-42945-ta-opendcim-rce-lantsiuzhok

#cybersecurity #nginx #opendcim #vulncheck #infosec #ukraine

CyberSecureFox

⚠️ На повністю оновленій Windows зараз можна стати SYSTEM одним кліком — і для цього вже є готовий експлойт.

Я натрапив на MiniPlasma — робочий PoC від дослідника Chaotic Eclipse, який б’є по драйверу cldflt.sys (Cloud Files Mini Filter). Це той самий компонент, який Microsoft нібито залатала ще у CVE-2020-17103, але оригінальний PoC від Google Project Zero все ще спокійно працює 🧪

Що цікаво: відомий дослідник Вілл Дорманн підтвердив, що експлойт надійно дає SYSTEM на Windows 11 з патчами до травня 2026, але вже не працює на останній Canary-збірці 🪟 Тобто, схоже, Microsoft щось тихо підкручує, хоча офіційно про проблему не говорить.

Для нас це означає одне: локальне підвищення привілеїв зараз дуже реальне, особливо після фішингу чи зламу вебсервісів. Я б вже зараз моніторив активність cldflt.sys, обмежив локальний доступ і, за можливості, відрубав непотрібні хмарні файли 🛡️ Як вам така «латка», яка не зовсім латка? 🤔 Ви б ризикнули залишити цей драйвер увімкненим?

🔗 Докладніше:
https://cybersecurefox.com/uk/miniplasma-pryvileyi-system-u-windows

#кібербезпека #windows #infosec #exploit #sysadmin

CyberSecureFox

💣 Натрапив на історію, яка тихо перевертає всю хронологію кібервійни. Можливо, Stuxnet взагалі не був першим промисловим саботажем.

Дослідники Symantec і Carbon Black розібрали фреймворк fast16 на Lua, який ховався в інженерних симуляціях LS-DYNA та AUTODYN 🧨. Він не просто ламає компи — він непомітно перекручує розрахунки стиснення урану, спрацьовуючи лише коли густина в моделі >30 г/см³ (умови імплозивного ядерного вибуху). Тобто всі буденні задачі лишаються чесними, а от ключові ядерні симуляції — ні.

Мені особливо зайшов момент, що в fast16 аж 101 правило перехоплення, під різні версії софту, і, ймовірно, його писали ще у 2005 році — до перших версій Stuxnet 🧪. Це вже не просто віруси, а цілеспрямований вплив на фізику в наших моделях, коли цілі цикли досліджень можуть бути зіпсовані, і ніхто роками не помічає 🤯. Як вам така думка: у майбутньому доведеться окремо захищати не дані, а правдивість результатів симуляцій? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/fast16-kibersabotazh-iadernykh-symuliatsii

#кібербезпека #кібервійна #інфраструктура #ядернатематика #симуляції #дослідження

CyberSecureFox

🚨 Схоже, травень 2026 — це місяць, коли патчі важать більше за каву. Я глянув останні бюлетені — і там така концентрація RCE та обходів автентифікації, що ігнорувати вже небезпечно.

Найбільше мене напружує зв’язка Fortinet + SAP Commerce: діри, де не треба навіть логінитися, щоб виконати код на периметрі 🧱. Паралельно SAP S/4HANA отримала фікс для SQL injection, а в n8n одразу п’ять вразливостей дають повну компрометацію хоста, якщо зловмисник має доступ до воркфлоу ⚙️.

Я б пріоритизував так: спершу Fortinet і SAP Commerce (24–72 години максимум), потім n8n та SAP S/4HANA, і вже в стандартному циклі — Ivanti Xtraction та VMware Fusion 🧩. Мені здається, перші реальні експлойти ми побачимо саме по Fortinet, бо це класична ціль на периметрі — а ви як зараз підходите до пріоритизації патчів у себе? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/krytychni-vrazlyvosti-sap-n8n-fortinet-traven-2026

#кібербезпека #кібератаки #sap #fortinet #n8n #devops

CyberSecureFox

🧨 Нещодавно натрапив на історію, від якої в мене, як у розробника, реально похололо в спині. Кілька «невинних» npm-пакетів виявилися таким зоопарком шкідливого коду, що аж цікаво, як далеко це зайде далі.

Один користувач опублікував 4 пакети: клон черв’я Shai-Hulud, DDoS-ботнет на Go та два різні інфостілери. Назви типу chalk-tempalte і axois-utils — класичний тайпсквотинг, розрахований на нашу лінь і друкарські помилки. Тобто ти просто промахнувся по клавіші — а в тебе вже тягнеться черв’як, який краде токени й SSH-ключі.

Особливо мене тригерить те, що зловмисник майже нічого не дописував сам — просто взяв готовий код, підмінив C2 і викотив у прод 🧪 Це показує, наскільки низький зараз поріг входу в атаки на ланцюг постачання. Якщо ви юзаєте npm — я б прямо сьогодні пробігся по залежностях і видалив chalk-tempalte, axois-utils, @deadcode09284814/axios-util, color-style-utils, плюс зробив ротацію ключів та токенів ⚠️

Мені здається, що скоро без політик на кшталт «тільки дозволений список пакетів» жити буде дуже складно 🧵 А ви перевіряєте назви пакетів очима чи цілком довіряєте автодоповненню/копіпасті?

🔗 Докладніше:
https://cybersecurefox.com/uk/shkidlyvi-npm-pakety-shai-hulud-phantom-bot

#кібербезпека #infosec #devsecops #npm #supplychain #атаки

CyberSecureFox

🕵️‍♂️ Натрапив на історію, яка звучить як сценарій кібертрилеру, але це реальність. INTERPOL завершив операцію Ramz у регіоні MENA: 13 країн, 201 арешт, 3 867 жертв, 53 вилучені сервери 💻

Найбільше мене зачепив епізод з Йорданії. Там викрили «інвестиційну платформу», яка просто зникала з грошима, а 15 «операторів» виявились жертвами торгівлі людьми: їх завезли з Азії під виглядом роботи, забрали паспорти й змусили займатися шахрайством. Це вже не просто хакери в підвалі, а суміш кіберзлочинності й класичної мафії 🌍

Цікаво, що в операції активно допомагали приватні компанії на кшталт Group-IB і Team Cymru — ділилися телеметрією, даними про зламані акаунти, фішингову інфраструктуру. Мені здається, ми входимо в епоху, де без такої координації між державою і бізнесом кіберзлочинність не стримати. Як вам історія з примусовим кібершахрайством — це вже новий рівень, чи логічне продовження тенденцій? ⚖️

🔗 Докладніше:
https://cybersecurefox.com/uk/interpol-operatsiya-ramz-cybercrime-mena

#кібербезпека #інтерпол #шахрайство #торгівля #людьми #mena #фішинг

CyberSecureFox

⚠️ Сьогодні натрапив на історію, яка показує, як один скомпрометований токен може рознестися по всьому npm за лічені хвилини. І найнеприємніше — це вдарило по @antv і популярному echarts-for-react, який тягнуть понад мільйон разів на тиждень.

Виявилось, що кампанія Mini Shai-Hulud через скомпрометований акаунт мейнтейнера залили сотні троянізованих версій пакетів: від @antv/g2, g6, x6, l7 до echarts-for-react, timeago.js тощо. Навантаження краде 20+ типів секретів — AWS/GCP/Azure ключі, GitHub/npm токени, SSH, рядки підключення до БД — і далі само поширюється завдяки вкраденим npm-токенам 🪱

Якщо у вас проєкти автоматично тягнуть останні версії, один npm install міг запустити чужий preinstall з bun run index.js й тихо злити всі ключі 🚨 Я б зараз перевірив залежності на @antv/* та echarts-for-react, зафіксував версії, відкликав чутливі токени й уважно подивився на скрипти preinstall у node_modules 🛠️

Мені здається, це ще один аргумент за жорсткий пінінг версій і ручний рев’ю оновлень. А ви як оновлюєте залежності в проді — автопілот чи тільки через код-рев’ю й тестування?

🔗 Докладніше:
https://cybersecurefox.com/uk/mini-shai-hulud-npm-antv-komprometovani-pakety

#кібербезпека #розробка #javascript #npm #supplychain #devsecops

CyberSecureFox

⚠️ Натрапив сьогодні на історію, від якої в мене реально похололо в CI/CD. Популярні GitHub Actions actions-cool/issues-helper та actions-cool/maintain-one-comment виявилися скомпрометованими — і це саме той випадок, коли “просто апдейт тега” ламає всю модель довіри.

Суть: усі наявні теги цих екшенів перекинули на imposter-коміти, яких навіть не видно в нормальній історії репо. При запуску пайплайн тягне шкідливий код, який ставить Bun, лізе в памʼять процесу Runner.Worker і намагається витягнути облікові дані (токени, секрети та хмарні ключі) 🧨, а потім шле їх на t.m-kosche[.]com.

Я для себе зробив кілька висновків 🧯: терміново прибирати ці екшени з воркфлоу, крутити всі секрети, дивитися логи на вихідні конекти з ранерів і переходити на прив’язку до повних SHA, а не тегів — схоже, це зараз єдиний надійний варіант 😬. Мені цікаво, ви вже піните сторонні GitHub Actions по SHA чи ще живете на v1/v2/latest? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/komprometovani-github-actions-actions-cool

#github #security #devops #cicd #supplychain #атаки

CyberSecureFox

⚠️ Схоже, нас чекає один із тих днів, коли адміністратори Drupal скасовують плани. Я натрапив на анонс оновлення безпеки ядра, яке вийде 20 травня у вікні 17:00–21:00 UTC — і виглядає це серйозно.

Drupal готує патчі для всіх підтримуваних гілок ядра: 11.3.x, 11.2.x, 10.6.x, 10.5.x, а також нетипово для застарілих 11.1.x і 10.4.x. Плюс навіть для давно «мертвих» Drupal 8 і 9 обіцяють ручні патчі 🩹 — таке трапляється лише коли вразливість реально болюча. Про саму діру поки мовчать, але прямо попереджають: експлойти можуть з’явитися за лічені години після релізу.

Якщо у вас проєкти на Drupal, я б до 20 травня вже підтягнув ядро до останнього патча своєї гілки, щоб оновлення безпеки стало «одним кліком». У вікно релізу варто тримати під рукою ssh/CI й одразу дивитися бюлетень безпеки 🔍. Drupal 7, до речі, до цієї історії не входить — за даними команди, він не вразливий.

Для сайтів на Drupal 8/9 ситуація гірша: навіть із ручними патчами вони залишаться з купою старих дірок, тому, як на мене, час планувати міграцію на 10.6+ 🕒. Мені цікаво, ви ще тримаєте продакшен на старих версіях Drupal чи вже мігрували й спите спокійніше? 🙂

🔗 Докладніше:
https://cybersecurefox.com/uk/drupal-onovlennia-bezpeky-yadra-20-travnia-2026

#drupal #безпека #cms #веброзробка #оновлення #devops

CyberSecureFox

🎣 Є сценарій, де ти чесно логінишся на справжній microsoft.com з MFA — і все одно даруєш чужому дядьку повний доступ до пошти, файлів і календаря. Я натрапив на сервіс EvilTokens і він якраз про це.

Схема проста 🧩: жертві кидають прохання ввести короткий код на microsoft.com/devicelogin, усе виглядає максимально легітимно. Після MFA система видає refresh token не користувачу, а сервісу злочинців — і той тихо читає вашу пошту, OneDrive та контакти, причому MFA тут не рятує, а зміна пароля, ймовірно, теж не обрубує доступ 🛑.

Якби я адміністрував M365, то спершу вимкнув би device code flow, якщо він не критичний, і заборонив би юзерам самостійно тиснути «Погодитися» на OAuth-запити 🛡️. Далі — аудит Entra ID: хто має Mail.Read, Files.ReadWrite.All, offline_access, та прибирання усього зайвого ⚙️. А ви як вважаєте: реально навчити співробітників читати віконця з дозволами, чи це вже утопія і все має йти тільки через адмін-апрув? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/eviltokens-oauth-device-code-flow-microsoft-365

#кібербезпека #microsoft365 #oauth #mfa #phaas #soc

CyberSecureFox

⚠️ Схоже, що ми зараз спостерігаємо одну з найцікавіших атак на ланцюг постачання за останній час. GitHub розслідує несанкціонований доступ до внутрішніх репозиторіїв, а паралельно група TeamPCP тихо проходиться по екосистемі.

Мене особливо зачепила історія з офіційним Python-пакетом durabletask 1.4.1–1.4.3 🐍. Пакет від Microsoft, ~417k завантажень на місяць, а шкідливий код запускається просто під час імпорту і тягне інфостілер для Linux, який збирає хмарні ключі, токени, SSH, менеджери паролів ☁️. Будь-яку машину чи CI/CD, де це добро імпортувалося, реально треба вважати повністю скомпрометованими й рутувати всі секрети.

Фішка в тому, що черв’як уміє сам поширюватися в AWS та Kubernetes, а C2-адресу зловмисники можуть «підсовувати» навіть через публічні коміти на GitHub 🔥. Я б на вашому місці прямо зараз перевірив залежності, заблокував домени з репорту та глянув на логи SSM/kubectl. А ви як ставитеся до таких supply chain-атак — це вже нова норма чи ми ще можемо встигнути підтягнути практики безпеки? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/github-durabletask-mini-shai-hulud-supply-chain

#кібербезпека #devsecops #supplychain #python #github #cloud

CyberSecureFox

🚨 Вперше бачу, як звичайне VS Code-розширення так акуратно перетворили на стилер для девів. І мова про Nx Console, яке у багатьох із вас стоїть за замовчуванням.

Суть: скомпрометували ноут одного з девів Nx, вкрали GitHub-токен і залили в репо orphan-коміт з обфускованим ПЗ. З VS Code Marketplace прилітала версія 18.95.0, яка при відкритті workspace за кілька секунд тягнула payload, ставила Bun і запускала багатоступеневий стилер ⚠️. Ціль — 1Password, конфіги Claude Code, токени npm/GitHub/AWS й інші смаколики з вашої дев-машини.

Вікно атаки — всього 11 хвилин (18 травня, 14:36–14:47 CEST), але кількох людей уже зачепило. Я б на вашому місці негайно оновився до 18.100.0+, перевірив, чи немає дивних kitty-* у /tmp та cat.py у домашній директорії 💾, і зробив ротацію всіх токенів із цієї машини. Особливо цікаво, що малварь ще й перевіряла часовий пояс і, схоже, обходила RU/CIS 🐱.

Мені здається, IDE-розширення вже треба вважати повноцінною частиною supply chain, як npm-пакети. А ви вже обмежуєте автооновлення VS Code-експеншенів чи поки що живемо «на довірі»? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/komprometovane-rozshyrennia-nx-console-vs-code

#безпека #розробників #vscode #nx #supplychain #malware #devsecops

CyberSecureFox

🔍 Натрапив на цікаву історію про те, як з нас тихенько вичавлюють гроші через рекламу на Android. Є ціла операція Trapdoor: 455 додатків, понад 24 млн завантажень і до 659 млн рекламних запитів на день — усе це майже непомітно для користувача.

Схема працює в два кроки 📱: спершу ви ставите «нешкідливу» утиліту — переглядач PDF, «чистильник» телефону тощо. Вона показує фейкові сповіщення про «оновлення» і тягне другий додаток, який уже крутить рекламу у прихованих WebView, імітує дотики й заробляє на цьому. Особливо небезпечна фішка в тому, що шкідлива поведінка вмикається тільки для тих, хто прийшов через їхню рекламу, тож у тестах усе виглядає легально.

Google ці апки вже прибрав, але якщо ви встановлювали щось раніше — раджу глянути список у звіті HUMAN ⚠️ і перевірити свої PDF-чаталкі, «оптимізатори» й «кліінери» 🧹 від невідомих розробників. Я останнім часом узагалі намагаюся не ставити нічого з банерів, чесно, занадто багато таких історій 🤔 А ви як: встановлюєте програми з реклами чи вже давно їм не довіряєте?

🔗 Докладніше:
https://cybersecurefox.com/uk/operatsiia-trapdoor-malvertising-android

#кібербезпека #android #шкідливідодатки #мобільнабезпека #приватність

CyberSecureFox

🛰️ В Британії серйозно розглядають, щоб обмежити VPN для дітей — від вікової верифікації в самому VPN до повної заборони до 18 років. А от Mozilla офіційно втрутилась у цю дискусію й надіслала лист уряду, де пояснює, чому це погана ідея.

Онлайн-порно в Британії тепер вимагає перевірку віку — паспорт, картка, навіть розпізнавання облич. Люди масово пішли у VPN, бо не хочуть світити документи на сумнівних сайтах. Mozilla нагадує: VPN — це не “хак для школярів”, а базовий інструмент безпеки: віддалена робота, захист у публічному Wi‑Fi, обхід цензури 🔐.

Цікава деталь: за дослідженням Internet Matters, лише 8% дітей взагалі користуються VPN, і більшість — саме для захисту даних, а не обходу вікових фільтрів. Підлітки значно частіше просто брешуть про дату народження або навіть дурять face-id намальованими вусами 🙃. Вимога “показати паспорт” для підключення до VPN звучить як абсурдний парадокс, і мені здається, це більше про “safety through surveillance”, ніж про реальний захист.

Я бачу в цьому небезпечний тренд: задля “захисту дітей” хочуть послабити приватність усіх — від журналістів і активістів до звичайних користувачів. Як ви до цього ставитеся: вікові обмеження на VPN — розумний крок чи рух у бік м’якої цензури❓

🔗 Докладніше:
https://cybersecurefox.com/uk/mozilla-proty-obmezhen-vpn-u-brytanii

#vpn #приватність #онлайнбезпека #mozilla #британія #цензура

CyberSecureFox

🤖 Уявіть, що 57% вашої IAM-інфраструктури живе десь у тіні — ви про неї ніби знаєте, але реально не контролюєте. Я щойно читав звіт Orchid Security, де це назвали «темною матерією ідентифікації» 🕳️ — і картина вийшла дуже знайома.

Дві третини нелюдських акаунтів створюються прямо в застосунках, повз центральний IAM, 70% застосунків мають зайві привілеї, а 40% акаунтів взагалі належать людям, які вже пішли з компанії. На цьому фоні агенти ШІ поводяться як «шукачі найкоротших шляхів»: знайти захардкожений пароль, позичити чужий токен, обійти обмеження — і їм байдуже до наших красивих політик доступу 🔐

Мені здається, зараз критично мати хоча б базовий порядок: інвентаризація нелюдських акаунтів, окрема модель доступу для агентів ШІ, автоматичне прибирання «мертвих душ» 🧹 Бо інакше першим, хто знайде дірку у вашому IAM, буде не хакер, а власний агент. А як у вас: вже вписуєте агентів ШІ у свій IAM-контур чи поки що даєте їм напівуніверсальний ключ? ❓

🔗 Докладніше:
https://cybersecurefox.com/uk/temna-materia-iam-nevydymi-oblikovi-zapysy-ai-ryzyky

#кібербезпека #ai #iam #бізнес #itменеджмент

CyberSecureFox

🚧 Мені здається, ми потроху переходимо від «зробили ІІ — потім перевіримо» до режиму, коли агентів ганяють по безпеці ще до запуску в прод.

Microsoft викотила два опенсорс-інструменти — RAMPART і Clarity. Перший — це ніби «юнт-тести» для ІІ-агентів 🧪: можна ганяти їх через міжпромптові інʼєкції, витоки даних і дивні регресії поведінки, вбудувавши все це у CI/CD. Він сидить поверх Pytest, тож якщо ви вже живете в Python-екосистемі — поріг входу низький, а тести перетворюються на живі сценарії атаки, які можна повторювати.

Clarity мені нагадує впертого продуктового аналітика на стероїдах 🧠: ІІ-партнер, який «сперечається» з вами на етапі дизайну. Він змушує чітко зафіксувати, чому ви даєте агенту такий доступ до інструментів і даних, ще до того, як написано код ⚙️ — коли змінювати курс не так боляче.

Мені подобається зсув від разових аудитів до безперервного процесу з відтворюваними інцидентами й перевірюваними фіксами. 🤔 Як вам така ідея: treat-и для ІІ-агентів як обовʼязкова частина пайплайна, а не опція «якось потім»?

🔗 Докладніше:
https://cybersecurefox.com/uk/microsoft-rampart-clarity-bezpeka-ii-agentiv

#ai #безпека #розробка #microsoft #агенти #devops

CyberSecureFox

🛡 Іронія в тому, що дефолтний захист Windows зараз сам став мішенню. Я про нові вразливості в Microsoft Defender, які вже реально експлуатують, а не просто описують у звітах.

Microsoft підтвердила дві дірки: CVE-2026-41091 (підвищення привілеїв до SYSTEM) і CVE-2026-45498 (відмова в обслуговуванні). CISA вже загнала їх у свій KEV-каталог і дала федеральним структурам дедлайн до 3 червня 2026 – мені здається, це хороший індикатор того, що все серйозно ⚠️

Патчі Defender роздає автоматично, але я б на вашому місці перевірив руками, яка версія стоїть. Для захисту від підвищення привілеїв має бути платформа не нижче 1.1.26040.8, для DoS — 4.18.26040.7 і вище (Windows Security → Virus & threat protection → Protection updates → About). Особливо це критично для корпоративних мереж, де одна скомпрометована станція може стати містком до всього домену 🧩

Мені цікаво: ви час від часу перевіряєте стан Defender та його версії, чи повністю довіряєте “автоматиці” Windows? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/aktyvni-vrazlyvosti-microsoft-defender-cve-2026-41091-45498

#кібербезпека #windows #microsoft #defender #уразливості #оновлення #itбезпека

CyberSecureFox

🚨 Сьогодні натрапив на історію, яка дуже добре показує, як одна «дрібна» вразливість перетворюється на квиток у всю вашу інфраструктуру. Особливо цікаво, що мова про AI‑оркестрацію та самі засоби захисту.

CISA додала в каталог KEV дві «живі» діри, які вже активно б’ють. Перша — в Langflow: через помилку валідації джерела можна отримати повне RCE і витягнути всі токени й API‑ключі з робочого простору 🤖 Тобто один зламаний інстанс = каскадна компрометація купи інтегрованих сервісів.

Друга — в Trend Micro Apex One для on‑prem: directory traversal дозволяє, маючи адмін‑доступ, підмінити оновлення і рознести свій код на всі агенти 🧩 Це вже історія про supply chain усередині організації, а не про перший вхід. Американські відомства мусять залатати до 4 червня, але мені здається, що тягнути час тут — дуже погана ідея 🕵️

А ви вже перевірили, чи є у вас Langflow / Apex One, і як у вас взагалі організована ротація токенів після таких інцидентів? 🤔

🔗 Докладніше:
https://cybersecurefox.com/uk/cisa-langflow-trend-micro-apex-one-kev

#кібербезпека #vuln #langflow #trendmicro #devsecops #infosecua

CyberSecureFox