Форум информационной безопасности - Codeby.net

Статья CVE-2026-7411: Path Traversal → RCE в Eclipse BaSyx — пентест промышленных API

  • 64
  • 0
Плата промышленного IIoT-шлюза на чёрном антистатическом коврике с выжженной диагональной бороздой сквозь медные дорожки. Красный светодиод тревоги, макросъёмка, криминалистическое освещение.


💣 CVE-2026-7411 в Eclipse BaSyx: неаутентифицированный HTTP-запрос к Submodel API — path traversal через fileName без нормализации — и Java-процесс пишет файлы куда угодно на хосте. CVSS 10.0, automatable=yes, EPSS 88-й перцентиль.

CWE-22 без вызова File.getCanonicalPath(): атакующий подставляет ../../../ в параметр fileName, выходит за sandbox хранилища и кладёт JSP-шелл прямо в директорию servlet-контейнера. Цепочка — T1190 → T1505.003 → T1059.004 — закрывается одним запросом. PoC публичен, WAF обходится через %2e%2e%2f и double encoding.

BaSyx — цифровой двойник станков и конвейеров в стеке Industry 4.0.

💡 Shodan находит открытые BaSyx-инстансы за минуты — «внутренняя сеть» не защищает от T1190.

Статья CVE-2026-23863: уязвимость WhatsApp для Windows — как NUL bytes маскируют исполняемый файл под документ

  • 68
  • 0
Вскрытый USB-накопитель на чёрном антистатическом коврике с чипом памяти, на экране рядом — обрезанное имя файла с мерцающим курсором и скрытым расширением.


🪟 CVE-2026-23863 в WhatsApp Desktop: один NUL-байт в имени файла заставлял Windows запускать payload.exe, пока пользователь видел invoice.pdf — CWE-158 в Electron-архитектуре, где JavaScript и WinAPI читают одну строку по-разному.

JavaScript (V8) хранит строки с явной длиной — `payload.exe\x00invoice.pdf` имеет длину 24, расширение `.pdf`, иконка документа. WinAPI получает ту же строку, но `ShellExecuteW()` обрезает по первому NUL — видит `payload.exe` и запускает его. Уязвимы версии WhatsApp до v2.3000.1032164386.258709.

💡 EPSS 0.41 и CVSS 6.5 усыпляют бдительность — но для целевого initial access через доверенный мессенджер этого примитива достаточно.

Статья Анализ фишинговой инфраструктуры изнутри: от OPSEC-провала атакующего до полной карты C2

  • 92
  • 0
Жёсткий диск на антистатическом мате под ярким светом, рядом ноутбук с зелёным текстом логов и кодами уязвимостей. Пальцы в синих нитриловых перчатках держат USB-блокиратор записи.


🕵️ OPSEC-провал атакующего: открытый directory listing на Apache выдал полную C2-панель фишинговой кампании против M365 — логи email:password, PHP-кит и HTML-шаблон авторизации. Обнаружение через Censys по fingerprint самоподписанного SSL-сертификата.

Рутинный запрос в Censys по нестандартным портам вскрыл VPS с включённым mod_autoindex — дефолтная конфигурация Apache без index.html отдала полный листинг. Внутри: фишинговый кит под M365, credential-логи с таймстампами, конфиг кампании. MITRE T1583.001, T1566.002, T1071.001 — вся цепочка задокументирована за 40 минут без единого эксплойта.

💡 Commodity-фишинг детектируется не через EDR — Apache отдаёт инфраструктуру атакующего раньше первого письма.

Статья CVE-2026-47729 Squidbleed: разбор Heartbleed-подобной уязвимости в Squid Proxy — от strchr до session tokens

  • 132
  • 0
Сетевой модуль прокси-сервера на антистатическом коврике с гравировкой CVE-2026-47729 SQUIDBLEED на алюминиевой панели. Порты RJ45 светятся голубым, на тёмной поверхности отражается фрагмент hex-да...


🔐 CVE-2026-47729 «Squidbleed»: баг 1997 года в Squid 5.7 сливает Authorization-заголовки чужих HTTP-сессий через FTP-парсер — один пропущенный NUL-check в strchr, 29 лет в проде.

Уязвимость класса CWE-125 живёт в FtpGateway.cc с коммита bb97dd37a от 18 января 1997 года. FTP-листинг без имени файла бросает copyFrom за NUL-терминатор — strchr по C11 §7.24.5.2 не возвращает NULL, цикл уезжает в heap, xstrdup тащит 4065 байт чужой памяти клиенту как «имя файла».

Squid держит пулы MEM_4K_BUF без зануления: буфер HTTP-запроса жертвы с Base64 Basic Auth попадает в freelist, следующая FTP-аллокация забирает его с прежним содержимым.

💡 CVSS 6.5 без RCE усыпляет бдительность — но shared-прокси на 100 юзеров превращает один overread в credential harvest всей организации.

Статья DDoS smokescreen атака: как SOC не пропустить вторжение за шумом флуда

  • 120
  • 0
Два монитора на светлом рабочем столе: левый показывает красные пики трафика, правый — панель SIEM с обнаруженным боковым перемещением. Мягкий дневной свет из окна.


🚨 Internet Archive, октябрь 2024: пока SOC отражал DDoS-флуд, атакующие параллельно вскрыли БД и утащили 31 млн записей. MITRE T1498 как дымовая завеса — lateral movement по T1078 завершился за время одной дежурной смены.

Схема kill chain: DDoS-for-Hire запускает HTTP/2 Rapid Reset до 3,98 млрд rps — SIEM захлёбывается, L1 уходит в режим тушения периметра. В это время атакующий использует заранее купленные креды, проходит RDP lateral movement и эксфильтрует данные через DNS-туннель на внешний C2. CrowdStrike фиксирует: среднее время от initial access до компрометации домена — 62 минуты.

💡 SOC фиксирует «успешное отражение DDoS» — а эксфильтрация уже завершена. Победа на периметре, провал внутри.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 835
Сообщения
347 307
Пользователи
161 801
Новый пользователь
ruto aio