Форум информационной безопасности - Codeby.net

Статья CUPS RCE уязвимость: полный разбор цепочки CVE-2024-47176 и эксплуатация print spooler

  • 75
  • 0
Запечатанный конверт с бордовой сургучной печатью на чёрном антистатическом коврике. Сквозь печать продет сетевой кабель с коннектором RJ45, от сломанного воска поднимается тонкая струйка дыма.


💣 CVE-2024-47176 превращает cups-browsed в точку входа: один UDP-пакет на порт 631 — и демон сам подключается к IPP-серверу атакующего, регистрирует подставной принтер. От пакета до shell через foomatic-rip — меньше двух минут.

Цепочка из трёх CVE (CVE-2024-47176, CVE-2024-47075, CVE-2024-47175) работает только вместе. cups-browsed слушает UDP INADDR_ANY:631 без аутентификации, libcupsfilters принимает IPP-атрибуты без валидации, libppd записывает их в PPD без экранирования — атакующий инжектирует директиву FoomaticRIPCommandLine с произвольной командой.

Итог — shell от имени lp. Не root, но достаточно для T1105 и reverse shell.

💡 Print server без EDR и патчей — идеальный pivot. CUPS забывают обновлять, потому что «принтеры и так работают».

Статья DLP защита от инсайдеров: настройка политик для email, мессенджеров и облака

  • 61
  • 0
Женщина за кухонным столом в полутьме смотрит в экран ноутбука с текстом политики DLP. Телефон рядом показывает черновик письма со списком данных.


🕵️ Менеджер три месяца сливал выписки VIP-клиентов через личный Gmail — DLP молчала. Политика проверяла вложения .xlsx/.csv, а данные уходили в теле письма. Ponemon/Proofpoint 2022: средняя стоимость инсайдерского инцидента — $15,38 млн, рост 34% за два года.

Проблема не в отсутствии DLP, а в том, как настроены политики. Regex на номера карт и слово «конфиденциально» — не защита: инсайдер знает триггеры. Реальный контроль строится на трёх уровнях одновременно — контентный анализ через EDM/IDM fingerprinting, контекстный (время, устройство, получатель) и поведенческий UEBA с отклонениями от baseline.

💡 DLP-система стояла, лицензии оплачены — а канал утечки был легитимным. Инсайдер не ломает систему, он использует её штатно.

Статья Управление жизненным циклом Non-Human Identities: автоматизация provisioning, ротации и отзыва через policy-as-code

  • 70
  • 0
Распечатанный документ с правилами политики на светлом столе, строки кода выделены синим маркером. Латунное пресс-папье и перьевая ручка лежат рядом в мягком дневном свете.


🔐 28,65 млн захардкоженных секретов в GitHub за 2025 год — плюс 34% к прошлому году. AI-credentials выросли на 81%. Соотношение NHI к human identities в cloud-native достигает 144:1, а 85% организаций не способны остановить атаку через машинные аккаунты.

Kill chain через скомпрометированный NHI маппится на MITRE T1078.004 → T1552.005 → T1098.001: утёкший API-ключ из CI/CD-лога даёт Initial Access, затем Instance Metadata Service отдаёт временные credentials IAM-роли, атакующий добавляет резервные ключи — и ротация исходного секрета уже ничего не решает.

💡 SOC ловит аномальные логины людей — NHI работает от легитимного машинного трафика. 292 дня до обнаружения.

Статья Карьера в кибербезопасности 2026: roadmap от новичка до пентестера

  • 77
  • 0
Ноутбук с терминалом на тёмном антистатическом коврике, рядом USB-устройства и учебник пентестера. Тёплый свет настольной лампы выхватывает сцену из глубоких угольных теней.


🧠 20 кандидатов, ни один не объяснил TCP three-way handshake — зато у каждого в резюме «прошёл курс по кибербезопасности». Дефицит ИБ-специалистов в России — до 100 000 человек, вакансий к 2027 году станет в 1,6 раза больше.

Roadmap разбит по месяцам: 1–3 — TCP/IP, VLAN, ARP, MITRE T1046, AD-аутентификация и PowerShell; 4–6 — веб-пентест, OWASP Top 10 (A01, A03, A05), DVWA, Juice Shop; 7–12 — Active Directory-атаки, BloodHound, Mimikatz, написание отчётов.

Зарплатные вилки — реальные, с HeadHunter 2024–2025: junior-пентестер в Москве от 70 000 ₽, Red Team-оператор senior — до 480 000 ₽. Главный фактор роста — не сертификаты, а портфолио из bug bounty и CTF.

💡 Работодатели проверяют TCP-стек руками, а не диплом — курс без практики обнуляется на первом интервью.

Статья Оценка киберрисков критической инфраструктуры: методология и фреймворки для OT/ICS

  • 78
  • 0
Схема модели Пурдью на плотной бумаге с уровнями от нуля до четырёх, красная линия пересекает границу уровней. Латунный пресс-папье и перьевая ручка на дубовом столе в мягком дневном свете.


⚙️ CVSS 6.5 на historian-сервере подстанции 110 кВ — и прямой канал до RTU, управляющих коммутационным оборудованием. Никаких ACL между Purdue Level 3 и Level 4. Физический импакт: обесточивание 40 тысяч жителей.

IT-фреймворки ломаются в OT: Modbus TCP не имеет аутентификации, любой узел с доступом к порту 502 отправляет FC16 и перезаписывает регистры PLC. EDR-агенты не ставятся на Siemens S7-1200, SIEM слеп к трафику на Purdue Level 1–2, а firmware на SIS не обновляли годами — остановка стоит десятки миллионов.

💡 CVSS считает риск в IT-метриках — в OT Medium может означать каскадное отключение района.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 726
Сообщения
347 118
Пользователи
161 502
Новый пользователь
Dead_hand