Форум информационной безопасности - Codeby.net

Статья Уязвимости умных зданий и ICS безопасность: три UDP-пакета до root на EnOcean SmartServer

  • 35
  • 0
Разрезанный пополам модуль термостата системы автоматизации здания на чёрном антистатическом коврике с обнажёнными платами. Вдоль линии разлома — призрачные схемы UDP-пакетов в пурпурно-голубом све...


💣 Claroty Team82 вскрыла EnOcean SmartServer IoT: CVE-2026-20761 (CWE-77, CVSS 8.1) даёт pre-auth RCE через три UDP-пакета на порт 1628 — без логина, без привилегий, с root на контроллере HVAC дата-центра.

Вектор атаки — парсер IP-852 пакетов. Функция LtSetTimeZone в libLonStack.so берёт строку часового пояса из UDP-датаграммы и скармливает её system() без валидации. Шаг 1: PKTTYPE_REQDEVCONFIG раскрывает адрес конфиг-сервера. Шаг 2: имперсонация сервера через расширенный CNIP-заголовок. Шаг 3: инъекция в поле timezone — и shell.

BAS-контроллеры живут под службами эксплуатации здания, а не ИБ. Они выпадают из patch management и IR-процессов.

💡 SOC смотрит в EDR — а root на HVAC-контроллере тихо меняет уставки охлаждения серверной.

Статья CVE-2026-41089: Windows Netlogon RCE — от переполнения стека CLDAP до захвата контроллера домена

  • 36
  • 0
Сетевая карта сервера на чёрном рабочем столе с подключённым обрезанным кабелем. Диагностический дисплей показывает глитч-текст об уязвимости, рука в перчатке касается чипсета логическим щупом.


🔐 CVE-2026-41089 — один UDP-пакет на порт 389 превращает любой непропатченный DC в SYSTEM-шелл без аутентификации. CVSS 9.8, EPSS 0.72, wormable, CCB подтвердил активную эксплуатацию через 17 дней после Patch Tuesday.

Стековое переполнение в netlogon.dll: обработчик CLDAP-запросов копирует доменное имя в фиксированный буфер без проверки размера — классический CWE-121. Перезапись адреса возврата даёт RCE в контексте lsass.exe. Чекер LongLogon верифицирует предусловие по длине имени DC без отправки exploit-пакета. Затронуты все Windows Server 2012–2025, KB5087471/5087470/5087537.

💡 lsass.exe не генерирует Event ID 4624 при pre-auth RCE — Windows Event Log молчит, пока DC уже скомпрометирован.

Статья Анализ вредоносных документов: разбор макросов Office и эксплойтов в PDF с извлечением payload

  • 36
  • 0
Разобранный USB-накопитель с отпаянным чипом памяти лежит рядом с распечаткой документа с подсвеченными строками VBA-макроса. Жёсткий конус света от лампы, глубокие тени, надпись CVE-2021-40444 на...


📨 GenAI удвоил поток фишинговых .docm и .pdf — IBM X-Force фиксирует 32% инфостилеров среди всего малвари 2024 года. Пока аналитик разбирает одно вложение, в очереди ещё 49.

Workflow начинается с oleid и mraptor из пакета oletools 0.60.2: AutoOpen-триггеры, XLM-макросы, External Relationships — всё до запуска образца. olemeta вскрывает метаданные: реальный Author, путь C:\Users\ivan.petrov\Desktop\payload_builder\ — артефакты разработчика прямо в файле. olevba -a даёт таблицу подозрительных ключевых слов, Shell, PowerShell, T1059.001.

Для PDF — pdfid и pdf-parser Дидье Стивенса: /JS, /OpenAction, /EmbeddedFile без единого запуска.

💡 Метаданные olemeta сдают разработчика малвари чаще, чем сам payload — аналитики их пропускают.

Статья CUPS RCE уязвимость: полный разбор цепочки CVE-2024-47176 и эксплуатация print spooler

  • 95
  • 0
Запечатанный конверт с бордовой сургучной печатью на чёрном антистатическом коврике. Сквозь печать продет сетевой кабель с коннектором RJ45, от сломанного воска поднимается тонкая струйка дыма.


💣 CVE-2024-47176 превращает cups-browsed в точку входа: один UDP-пакет на порт 631 — и демон сам подключается к IPP-серверу атакующего, регистрирует подставной принтер. От пакета до shell через foomatic-rip — меньше двух минут.

Цепочка из трёх CVE (CVE-2024-47176, CVE-2024-47075, CVE-2024-47175) работает только вместе. cups-browsed слушает UDP INADDR_ANY:631 без аутентификации, libcupsfilters принимает IPP-атрибуты без валидации, libppd записывает их в PPD без экранирования — атакующий инжектирует директиву FoomaticRIPCommandLine с произвольной командой.

Итог — shell от имени lp. Не root, но достаточно для T1105 и reverse shell.

💡 Print server без EDR и патчей — идеальный pivot. CUPS забывают обновлять, потому что «принтеры и так работают».

Статья DLP защита от инсайдеров: настройка политик для email, мессенджеров и облака

  • 84
  • 0
Женщина за кухонным столом в полутьме смотрит в экран ноутбука с текстом политики DLP. Телефон рядом показывает черновик письма со списком данных.


🕵️ Менеджер три месяца сливал выписки VIP-клиентов через личный Gmail — DLP молчала. Политика проверяла вложения .xlsx/.csv, а данные уходили в теле письма. Ponemon/Proofpoint 2022: средняя стоимость инсайдерского инцидента — $15,38 млн, рост 34% за два года.

Проблема не в отсутствии DLP, а в том, как настроены политики. Regex на номера карт и слово «конфиденциально» — не защита: инсайдер знает триггеры. Реальный контроль строится на трёх уровнях одновременно — контентный анализ через EDM/IDM fingerprinting, контекстный (время, устройство, получатель) и поведенческий UEBA с отклонениями от baseline.

💡 DLP-система стояла, лицензии оплачены — а канал утечки был легитимным. Инсайдер не ломает систему, он использует её штатно.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 732
Сообщения
347 126
Пользователи
161 513
Новый пользователь
NISHIPIHANishida