Форум информационной безопасности - Codeby.net

Статья CVE-2026-20223 в Cisco Secure Workload: обход аутентификации REST API и методология тестирования

  • 94
  • 0
Сетевая карта Cisco крупным планом на антистатическом коврике, луч лампы освещает разъём и отладочные контакты. Гравировка на радиаторе: «CVE-2026-20223 · NO AUTH · CVSS 10.0».


🔐 CVE-2026-20223 в Cisco Secure Workload получила CVSS 10.0: один HTTP-запрос без токена авторизации — и атакующий читает конфигурацию ЦОД и меняет политики микросегментации с привилегиями Site Admin через границы тенантов.

CWE-306 в чистом виде — middleware-слой проверки токенов отсутствовал на внутренних REST API эндпоинтах. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: эксплуатация удалённая, без учётных данных, без действий жертвы. Scope:Changed — кросс-тенантный доступ выводит это за рамки обычного auth bypass.

💡 Платформа микросегментации сама не сегментирует доступ к своему API — SOC ищет угрозы внутри ЦОД, пока контроль над периметром уже потерян.

Статья UNC1549 иранская APT кампания 2026: Job Lure, облачный C2 и detection для SOC

  • 93
  • 0
Крупный план вскрытого сетевого модуля на чёрном антистатическом коврике: обгоревший чип с следами взлома, щуп логического анализатора на контакте.


🕵️ UNC1549 (Screening Serpens) развернула шесть RAT-вариантов за шесть недель: Job Lure под авиакомпанию, C2 через Azure, AppDomainManager hijacking — и ни одного стандартного алерта в SOC.

Цепочка начинается с ZIP-архива «Hiring Portal» с реальными Job ID и PDF-вакансиями. Setup.exe показывает поддельную ошибку, пока в фоне идёт DLL sideloading. Затем — .config-файл с кастомным AppDomainManager: CLR грузит вредоносную сборку до старта основного кода. Это не zero-day — это документированный механизм .NET против самого приложения.

💡 SOC видит чистые логи — AppDomainManager hijacking работает внутри CLR, не касаясь Windows Event Log.

Статья vm2 sandbox escape: разбор трёх критических побегов CVSS 10.0 в Node.js

  • 101
  • 0
Крупный план платы с вскрытым экранированием и перебитым шлейфом. Выжженный чип с гравировкой кода уязвимости под лупой на чёрном антистатическом коврике.


💣 vm2 sandbox escape: три CVE с CVSS 10.0 — утечка host Object, prototype pollution через bridge proxy и инъекция в BaseHandler.getPrototypeOf дают полный RCE на хосте из Node.js-песочницы.

CVE-2026-43997, CVE-2026-44005 и CVE-2026-44006 — три фундаментально разных примитива побега. Первый эксплуатирует Symbol(nodejs.util.inspect.custom) для получения прямой ссылки на host Object, затем два шага по цепочке obj.constructor.constructor до произвольного кода. Второй загрязняет прототип через bridge proxy. Третий бьёт в BaseHandler.getPrototypeOf.

vm2 строит изоляцию целиком в userland JavaScript — без V8 Isolates и OS-примитивов.

💡 Библиотека deprecated с 2023-го — но качается миллион раз в неделю. Ваш AI-агент, скорее всего, тоже.

Статья Защита корпоративных SaaS от взлома: разбор атак ShinyHunters на Salesforce и SharePoint

  • 118
  • 0
Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


🕵️ ShinyHunters взломала Salesforce-инстансы Cisco, Disney и FedEx без единого zero-day — только телефонный звонок и штатный OAuth-механизм. Один refresh token открыл bulk-экспорт CRM через кастомные Python-скрипты.

Kill chain укладывается в четыре фазы: вишинг через Mullvad VPN с легендой IT-поддержки, OAuth consent на модифицированный Data Loader, SOQL bulk-экспорт объектов accounts/contacts/cases и латеральное движение в SharePoint. MITRE T1078.004, T1213.004, T1567.002 — ни малвари, ни CVE.

Детект строится на аномалиях OAuth: KQL-правила на нетипичные Connected Apps, alert на bulk SOQL (>1000 записей/мин), UEBA-базлайн по API-активности.

💡 EDR молчит, SIEM молчит — легитимный API-токен не генерирует алертов. 39 жертв узнали об утечке из даркнета.

Статья CVE-2026-34621 Adobe Acrobat Reader: kill chain zero-day, IOC и detection playbook

  • 145
  • 0
Разорванный конверт из фрагментов PDF с кодом на поверхности лежит на чёрном мате. Внутри светится красная иконка RSS — символ перехваченного канала управления.


🔐 CVE-2026-34621 эксплуатировалась в энергетике пять месяцев до патча: ноль байт memory corruption, чистый prototype pollution через Object.prototype.__defineGetter__(), sandbox escape Acrobat — DEP, ASLR и CFG мимо. CVSS 8.6, CISA KEV, EPSS-перцентиль 93%.

Kill chain ITW-сэмпла (SHA-256: 54077a5b…): JSFuck-обфускация в Object 11, задержка 500 мс для sandbox evasion, app.beginPriv() + чтение ntdll.dll для fingerprinting ОС. C2 — через штатный RSS-механизм Acrobat, User-Agent идентичен легитимному Adobe Synchronizer. Payload зашифрован AES-CTR, ключи в переменных deer/reindeer.

💡 Sandbox вернул пустышку — C2 фильтровал аналитику на серверной стороне. Кейс закрыт как FP.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 816
Сообщения
347 268
Пользователи
161 736
Новый пользователь
entropy1