Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990). Уязвимость из октябрьского Microsoft Patch Tuesday. Agere Modem Driver (ltmdm64.sys) - это программный компонент, который позволяет компьютеру взаимодействовать с модемом Agere (или LSI) для коммутируемого (dial-up) или факсимильного соединения. 📠🙄 Несмотря на сомнительную практическую полезность, драйвер продолжал поставляться в составе операционных систем Windows. Локальный злоумышленник, успешно воспользовавшийся уязвимостью в этом драйвере, может получить права администратора.
⚙️ Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.
🛠 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. 🤷♂️
👾 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.
@avleonovrus #Windows #Agere #ltmdm64
⚙️ Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.
🛠 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. 🤷♂️
👾 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.
@avleonovrus #Windows #Agere #ltmdm64
Про уязвимость Remote Code Execution - Redis "RediShell" (CVE-2025-49844). Redis - это популярная резидентная (in-memory) база данных типа «ключ–значение» с открытым исходным кодом, используемая как распределённый кэш и брокер сообщений, с возможностью долговременного хранения данных. Уязвимость позволяет удалённому аутентифицированному злоумышленнику выполнить произвольный код при помощи специально подготовленного Lua-скрипта. Требование "аутентифицированности" не снижает критичность, так как аутентификация в Redis по умолчанию отключена и часто не используется. 🤷♂️
⚙️ Уязвимость была обнаружена исследователями Wiz и представлена на Pwn2Own Berlin в мае этого года, была исправлена 3 октября (в версии 8.2.2).
🛠 С 7 октября для уязвимости доступен публичный эксплойт на GitHub.
👾 Сообщений об атаках пока нет.
🌐 На 7 октября в Интернет было доступно 330 000 экземпляров Redis, из них 60 000 без аутентификации.
@avleonovrus #Redis #Wiz
⚙️ Уязвимость была обнаружена исследователями Wiz и представлена на Pwn2Own Berlin в мае этого года, была исправлена 3 октября (в версии 8.2.2).
🛠 С 7 октября для уязвимости доступен публичный эксплойт на GitHub.
👾 Сообщений об атаках пока нет.
🌐 На 7 октября в Интернет было доступно 330 000 экземпляров Redis, из них 60 000 без аутентификации.
@avleonovrus #Redis #Wiz
Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями.
🟥 Advanced Vulnerability Assessment - качественное детектирование уязвимостей с планировщиком сканов, дифф-отчётами, информативными how to fix-ами. Здесь будет новый продукт.
🟥 Risk-Based Vulnerability Management - организация процесса управления уязвимостями и мисконфигурациями с учётом полной информации об уязвимостях и активах. Это MaxPatrol VM и модуль MaxPatrol HCC.
🟥 Threat Exposure Management - продвинутая приоритизация проблем безопасности (не только технических уязвимостей, а экспозиций разного уровня ❗️) через построение потенциальных путей атак. Это MaxPatrol Carbon.
@avleonovrus #PositiveTechnologies #MaxPatrolVM #HCC #Carbon
🟥 Advanced Vulnerability Assessment - качественное детектирование уязвимостей с планировщиком сканов, дифф-отчётами, информативными how to fix-ами. Здесь будет новый продукт.
🟥 Risk-Based Vulnerability Management - организация процесса управления уязвимостями и мисконфигурациями с учётом полной информации об уязвимостях и активах. Это MaxPatrol VM и модуль MaxPatrol HCC.
🟥 Threat Exposure Management - продвинутая приоритизация проблем безопасности (не только технических уязвимостей, а экспозиций разного уровня ❗️) через построение потенциальных путей атак. Это MaxPatrol Carbon.
@avleonovrus #PositiveTechnologies #MaxPatrolVM #HCC #Carbon
Про уязвимость Elevation of Privilege - Linux Kernel (CVE-2025-38001). Уязвимость в модуле сетевого планировщика Linux HFSC. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику повысить привилегии до root-а.
⚙️ Уязвимость из июньского Linux Patch Wednesday. В отчёте Vulristics эта уязвимость ничем не отличалась от ещё 354 уязвимостей Linux Kernel: пространное описание в NVD, из которого никак не следует, к чему именно может привести эксплуатация уязвимости; отсутствие CVSS вектора. Классика. 🙄
🛠 Примерно через месяц после появления обновлений в Linux-дистрибутивах, 11 июля, вышел write-up по этой уязвимости и публичный эксплойт. На демонстрационном видео локальный атакующий скачивает и запускает бинарный файл, после чего получает root-овый шелл и читает содержимое /etc/shadow. На профильных ресурсах появление этого эксплоита осталось практически незамеченным. 🤷♂️
👾 Сведений об эксплуатации уязвимости в реальных атаках пока нет.
@avleonovrus #Linux #LinuxKernel #HFSC
⚙️ Уязвимость из июньского Linux Patch Wednesday. В отчёте Vulristics эта уязвимость ничем не отличалась от ещё 354 уязвимостей Linux Kernel: пространное описание в NVD, из которого никак не следует, к чему именно может привести эксплуатация уязвимости; отсутствие CVSS вектора. Классика. 🙄
🛠 Примерно через месяц после появления обновлений в Linux-дистрибутивах, 11 июля, вышел write-up по этой уязвимости и публичный эксплойт. На демонстрационном видео локальный атакующий скачивает и запускает бинарный файл, после чего получает root-овый шелл и читает содержимое /etc/shadow. На профильных ресурсах появление этого эксплоита осталось практически незамеченным. 🤷♂️
👾 Сведений об эксплуатации уязвимости в реальных атаках пока нет.
@avleonovrus #Linux #LinuxKernel #HFSC
Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов. Всем VM-щикам будет полезно почитать комменты. 😉 Как можно видеть, там обсуждают не то, как эффективнее выполнять задачи на устранение уязвимостей, а то, как лучше от них уклоняться.
Основные приёмы:
📄 Сваливание в бумажную волокиту. Работы не проводятся без служебных записок, завизированных "от генерального до клининга".
😱 Нагнетание страха простоя в случае неудачного обновления.
💰 Запрос бюджета. "Нужно новое железо/ПО - без денег не сделаю".
😏 Дискредитация сканера. "Это false positive, наших активов это не касается, это неэксплуатабельно". Этапы игры в "докажи-покажи".
🤤 Включение дурака. "Без детального мануала не понимаю, как делать". Фактически "как челобитную подаёшь".
Имхо, лучший способ борьбы с этим - формализация. Как VM-процесса, так и связанной аргументации. Не вовлекайтесь в лишние дискуссии, берегите психику! 😉
@avleonovrus #VMprocess #Remediation
Основные приёмы:
📄 Сваливание в бумажную волокиту. Работы не проводятся без служебных записок, завизированных "от генерального до клининга".
😱 Нагнетание страха простоя в случае неудачного обновления.
💰 Запрос бюджета. "Нужно новое железо/ПО - без денег не сделаю".
😏 Дискредитация сканера. "Это false positive, наших активов это не касается, это неэксплуатабельно". Этапы игры в "докажи-покажи".
🤤 Включение дурака. "Без детального мануала не понимаю, как делать". Фактически "как челобитную подаёшь".
Имхо, лучший способ борьбы с этим - формализация. Как VM-процесса, так и связанной аргументации. Не вовлекайтесь в лишние дискуссии, берегите психику! 😉
@avleonovrus #VMprocess #Remediation
Интересный сюжет о разработке кибероружия в США подкинул U.S. Department of Justice. 29 октября они опубликовали на своём сайте новость о судебном процессе. В ней фактически признаётся, что США занимаются целенаправленной разработкой кибероружия, т.е. средств эксплуатации 0day-уязвимостей. Вендорам уязвимых продуктов они об этом, естественно, ничего не сообщают. 😏
В создании таких средств участвуют компании "оборонные подрядчики" ("U.S. defense contractors"). Одна из таких компаний (Wired пишет, что это Trenchant) разрабатывала ПО, связанное с нацбезопасностью и "как минимум восемь чувствительных и защищённых компонентов кибер-эксплойтов". Хотя это ПО предназначалось только для правительства США и союзников, ТОП-менеджер этой компании продал его за $1.3 млн некоторому иностранному брокеру. 🤷♂️ Ущерб компании оценивается в $35 млн. Менеджер признал себя виновным в суде, ему грозит до 20 лет тюрьмы и штраф от $250 000 до 2x ущерба.
Такой вот кипеш из-за "простых уязвимостей". 😉
@avleonovrus #thoseamericans
В создании таких средств участвуют компании "оборонные подрядчики" ("U.S. defense contractors"). Одна из таких компаний (Wired пишет, что это Trenchant) разрабатывала ПО, связанное с нацбезопасностью и "как минимум восемь чувствительных и защищённых компонентов кибер-эксплойтов". Хотя это ПО предназначалось только для правительства США и союзников, ТОП-менеджер этой компании продал его за $1.3 млн некоторому иностранному брокеру. 🤷♂️ Ущерб компании оценивается в $35 млн. Менеджер признал себя виновным в суде, ему грозит до 20 лет тюрьмы и штраф от $250 000 до 2x ущерба.
Такой вот кипеш из-за "простых уязвимостей". 😉
@avleonovrus #thoseamericans
Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период. Прошлый раз я такое проделывал в середине августа. 😉
Трендовые и у R-Vision, и у Positive Technologies:
✅ RCE - Cisco ASA (CVE-2025-20333)
✅ AuthBypass - Cisco ASA (CVE-2025-20362)
✅ RCE - WinRAR (CVE-2025-8088)
Трендовые только у R-Vision:
🔹 RCE - Cisco IOS XE (CVE-2025-20352, CVE-2025-20363)
🔹 RCE - NetScaler ADC (CVE-2025-7775)
🔹 RCE - Wing FTP Server (CVE-2025-47812)
🔹 MemCor - Chromium (CVE-2025-10585)
🔹 CodeInj - PostgreSQL (CVE-2025-8714)
Трендовые только у Positive Technologies*:
🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10114, BDU:2025-10115)
🔻 RCE - SAP NetWeaver (CVE-2025-42999, CVE-2025-31324)
🔻 RCE - 7-Zip (CVE-2025-55188)
🔻 EoP - Sudo (CVE-2025-32463)
* добавленные в трендовые между 5 августа и 7 октября
🗒 Полный отчёт Vulristics
@avleonovrus #RVision #ВфокусеRVD #PositiveTechnologies #втрендеVM #TrendVulns
Трендовые и у R-Vision, и у Positive Technologies:
✅ RCE - Cisco ASA (CVE-2025-20333)
✅ AuthBypass - Cisco ASA (CVE-2025-20362)
✅ RCE - WinRAR (CVE-2025-8088)
Трендовые только у R-Vision:
🔹 RCE - Cisco IOS XE (CVE-2025-20352, CVE-2025-20363)
🔹 RCE - NetScaler ADC (CVE-2025-7775)
🔹 RCE - Wing FTP Server (CVE-2025-47812)
🔹 MemCor - Chromium (CVE-2025-10585)
🔹 CodeInj - PostgreSQL (CVE-2025-8714)
Трендовые только у Positive Technologies*:
🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10114, BDU:2025-10115)
🔻 RCE - SAP NetWeaver (CVE-2025-42999, CVE-2025-31324)
🔻 RCE - 7-Zip (CVE-2025-55188)
🔻 EoP - Sudo (CVE-2025-32463)
* добавленные в трендовые между 5 августа и 7 октября
🗒 Полный отчёт Vulristics
@avleonovrus #RVision #ВфокусеRVD #PositiveTechnologies #втрендеVM #TrendVulns
Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей. Нам обычно рассказывают, как международное комьюнити экспертов должно совместно работать над раскрытием уязвимостей в продуктах американских вендоров. Часто "за спасибо" и ради общего блага! 🕊😇
Но как дело касается утечки эксплоитов 0day-ев, используемых США в кибератаках, риторика меняется:
"Национальная безопасность Америки НЕ ПРОДАЕТСЯ, особенно в условиях постоянно меняющейся угрозы, когда киберпреступность представляет серьезную опасность для наших граждан"
"ФБР и наши партнеры будут защищать Родину и привлекать к ответственности каждого, кто помогает нашим противникам ставить под угрозу национальную безопасность США"
Что ж вы свои 0day-и не раскрываете, лицемеры? 😏
Уязвимости - это действительно вопрос национальной безопасности, поэтому утечки 0day-ев из России за рубеж необходимо перекрыть, создав систему централизованного репортинга. 🚰❌
@avleonovrus #research #ИНД
Но как дело касается утечки эксплоитов 0day-ев, используемых США в кибератаках, риторика меняется:
"Национальная безопасность Америки НЕ ПРОДАЕТСЯ, особенно в условиях постоянно меняющейся угрозы, когда киберпреступность представляет серьезную опасность для наших граждан"
"ФБР и наши партнеры будут защищать Родину и привлекать к ответственности каждого, кто помогает нашим противникам ставить под угрозу национальную безопасность США"
Что ж вы свои 0day-и не раскрываете, лицемеры? 😏
Уязвимости - это действительно вопрос национальной безопасности, поэтому утечки 0day-ев из России за рубеж необходимо перекрыть, создав систему централизованного репортинга. 🚰❌
@avleonovrus #research #ИНД
Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893). XWiki - бесплатная и открытая вики-платформа, написанная на Java, с особым акцентом на расширяемость. В ней можно делать визуальное редактирование (WYSIWYG), импорт и экспорт документов в формате OpenDocument, добавлять аннотации и теги, а также гибко управлять правами доступа. Уязвимость позволяет злоумышленнику с правами guest-пользователя добиться выполнения произвольного кода на сервере, отправив специальный SolrSearch-запрос.
⚙️Уязвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.
🛠 POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.
👾 28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.
@avleonovrus #XWiki #VulnCheck
⚙️Уязвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.
🛠 POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.
👾 28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.
@avleonovrus #XWiki #VulnCheck
"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм. Подумалось мне после вчерашней экскурсии. 🙂
Сюжет матчится идеально:
👑 CEO Царёв (выходец из технарей) не согласен с молодым VM-щиком Вовкой, что устранять уязвимости должны только IT-шники и грозится уволить его как тунеядца.
🐡 CTO Рыбкин игнорирует эскалацию проблем по устранению уязвимостей от VM-щика, который "палец о палец не ударил, а туда же, задачи заводит".
🧝♀️ Премудрые эксперты-Василисы преподают оторванный от реальности курс по VM-у.
🤤 Команда "одинаковых с лица" IT-шников, выделенная для решения задач патчинга, включает дурака и саботирует VM-процесс.
🥧🔥 Лютый фейл при попытке устранить уязвимости в OT-инфраструктуре PECHKA своими силами.
📃 Определённые успехи у Вовки пошли только после изменения майндсета, изучения нормативки, формализации общения и VM-процесса. 😉
@avleonovrus #VMprocess #сказки #профдеформация #fun
Сюжет матчится идеально:
👑 CEO Царёв (выходец из технарей) не согласен с молодым VM-щиком Вовкой, что устранять уязвимости должны только IT-шники и грозится уволить его как тунеядца.
🐡 CTO Рыбкин игнорирует эскалацию проблем по устранению уязвимостей от VM-щика, который "палец о палец не ударил, а туда же, задачи заводит".
🧝♀️ Премудрые эксперты-Василисы преподают оторванный от реальности курс по VM-у.
🤤 Команда "одинаковых с лица" IT-шников, выделенная для решения задач патчинга, включает дурака и саботирует VM-процесс.
🥧🔥 Лютый фейл при попытке устранить уязвимости в OT-инфраструктуре PECHKA своими силами.
📃 Определённые успехи у Вовки пошли только после изменения майндсета, изучения нормативки, формализации общения и VM-процесса. 😉
@avleonovrus #VMprocess #сказки #профдеформация #fun
Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491). Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.
🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.
👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.
🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.
@avleonovrus #Microsoft #Windows #LNK #TrendMicro #ArcticWolf #PlugX
🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.
👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.
🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.
@avleonovrus #Microsoft #Windows #LNK #TrendMicro #ArcticWolf #PlugX
В назидание российским IT‑шникам и ИБ‑шникам: участие в разработке малварей всегда заканчивается очень плохо. А если эти малвари используются в атаках на российские организации, то ещё и очень быстро. ⚡️
Ну дураки, нет? Имея все возможности хорошо зарабатывать вполне легальным образом, эти пацаны поломали жизнь себе и своим близким. 🤦♂️ И всё не вставая из-за компа. На Западе, кстати, недавно тоже взяли трёх ИБ‑шников, которые блечили в свободное от основной работы время. Хорошего исхода у таких историй в принципе быть не может.
Ну дураки, нет? Имея все возможности хорошо зарабатывать вполне легальным образом, эти пацаны поломали жизнь себе и своим близким. 🤦♂️ И всё не вставая из-за компа. На Западе, кстати, недавно тоже взяли трёх ИБ‑шников, которые блечили в свободное от основной работы время. Хорошего исхода у таких историй в принципе быть не может.
Forwarded from 3side кибербезопасности
Media is too big
VIEW IN TELEGRAM
"Медуза" не долго поработала по РУ
Трое киберпреступников написали вирус-стиллер "Медуза". Ее целью был сбор данных об учетных записях, банковских картах, криптокошельках и прочего полезного с зараженных компьютеров.
Продавали они "Медузу" по модели Вирус-как-сервис (MaaS), и судя по их длительной деятельности все у них было хорошо, пока в мае этого года кто-то из их покупателей не использовал их вредоноса для атаки на учреждение Астраханской области!
После чего, в результате качественного расследования и деанонимизации все трое создателей вируса оказались задержаны.
А группировка "Stone Wolf", как их пафосно называли исследователи BI.ZONE в своем расследовании еще от августа прошлого года, судя по всему их клиенты.
P.S. За видео спасибо Коммерсанту!
Трое киберпреступников написали вирус-стиллер "Медуза". Ее целью был сбор данных об учетных записях, банковских картах, криптокошельках и прочего полезного с зараженных компьютеров.
Продавали они "Медузу" по модели Вирус-как-сервис (MaaS), и судя по их длительной деятельности все у них было хорошо, пока в мае этого года кто-то из их покупателей не использовал их вредоноса для атаки на учреждение Астраханской области!
После чего, в результате качественного расследования и деанонимизации все трое создателей вируса оказались задержаны.
А группировка "Stone Wolf", как их пафосно называли исследователи BI.ZONE в своем расследовании еще от августа прошлого года, судя по всему их клиенты.
P.S. За видео спасибо Коммерсанту!