Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья vm2 sandbox escape: разбор трёх критических побегов CVSS 10.0 в Node.js

  • 386
  • 0
Крупный план платы с вскрытым экранированием и перебитым шлейфом. Выжженный чип с гравировкой кода уязвимости под лупой на чёрном антистатическом коврике.


💣 vm2 sandbox escape: три CVE с CVSS 10.0 — утечка host Object, prototype pollution через bridge proxy и инъекция в BaseHandler.getPrototypeOf дают полный RCE на хосте из Node.js-песочницы.

CVE-2026-43997, CVE-2026-44005 и CVE-2026-44006 — три фундаментально разных примитива побега. Первый эксплуатирует Symbol(nodejs.util.inspect.custom) для получения прямой ссылки на host Object, затем два шага по цепочке obj.constructor.constructor до произвольного кода. Второй загрязняет прототип через bridge proxy. Третий бьёт в BaseHandler.getPrototypeOf.

vm2 строит изоляцию целиком в userland JavaScript — без V8 Isolates и OS-примитивов.

💡 Библиотека deprecated с 2023-го — но качается миллион раз в неделю. Ваш AI-агент, скорее всего, тоже.

Статья Защита корпоративных SaaS от взлома: разбор атак ShinyHunters на Salesforce и SharePoint

  • 363
  • 0
Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


🕵️ ShinyHunters взломала Salesforce-инстансы Cisco, Disney и FedEx без единого zero-day — только телефонный звонок и штатный OAuth-механизм. Один refresh token открыл bulk-экспорт CRM через кастомные Python-скрипты.

Kill chain укладывается в четыре фазы: вишинг через Mullvad VPN с легендой IT-поддержки, OAuth consent на модифицированный Data Loader, SOQL bulk-экспорт объектов accounts/contacts/cases и латеральное движение в SharePoint. MITRE T1078.004, T1213.004, T1567.002 — ни малвари, ни CVE.

Детект строится на аномалиях OAuth: KQL-правила на нетипичные Connected Apps, alert на bulk SOQL (>1000 записей/мин), UEBA-базлайн по API-активности.

💡 EDR молчит, SIEM молчит — легитимный API-токен не генерирует алертов. 39 жертв узнали об утечке из даркнета.

Статья CVE-2026-34621 Adobe Acrobat Reader: kill chain zero-day, IOC и detection playbook

  • 366
  • 0
Разорванный конверт из фрагментов PDF с кодом на поверхности лежит на чёрном мате. Внутри светится красная иконка RSS — символ перехваченного канала управления.


🔐 CVE-2026-34621 эксплуатировалась в энергетике пять месяцев до патча: ноль байт memory corruption, чистый prototype pollution через Object.prototype.__defineGetter__(), sandbox escape Acrobat — DEP, ASLR и CFG мимо. CVSS 8.6, CISA KEV, EPSS-перцентиль 93%.

Kill chain ITW-сэмпла (SHA-256: 54077a5b…): JSFuck-обфускация в Object 11, задержка 500 мс для sandbox evasion, app.beginPriv() + чтение ntdll.dll для fingerprinting ОС. C2 — через штатный RSS-механизм Acrobat, User-Agent идентичен легитимному Adobe Synchronizer. Payload зашифрован AES-CTR, ключи в переменных deer/reindeer.

💡 Sandbox вернул пустышку — C2 фильтровал аналитику на серверной стороне. Кейс закрыт как FP.

Статья Bad Epoll (CVE-2026-46242): разбор Linux LPE уязвимости — от патча ядра до эксплуатации

  • 325
  • 0
Крупный план материнской платы с повреждённым чипом контроллера и выгоревшей дорожкой. На текстолите лазером выгравирована надпись «CVE-2026-46242 · BAD EPOLL · UAF».


🐧 CVE-2026-46242 (Bad Epoll): use-after-free в fs/eventpoll.c даёт root с надёжностью 99/100 — и работает из Chrome renderer sandbox, минуя большинство kernel-защит.

Jaeyoung Chung из Seoul National University вскрыл race condition шириной в шесть инструкций в epoll-подсистеме Linux 6.4+. Два потока конкурентно закрывают связанные epoll-дескрипторы — Thread A очищает f_ep под f_lock, Thread B видит NULL, пропускает eventpoll_release_file() и вызывает file_free(). Thread A продолжает hlist_del_rcu() по уже освобождённому kmalloc-192. CVSS 7.8, CWE-416, MITRE T1068.

💡 SOC не увидит LPE в логах — epoll-гонка не генерирует syscall-аномалий, только kernel crash или тихий root.

Статья OAuth уязвимости WeChat Mini-Programs: три вектора захвата аккаунта через мисконфигурацию OBA

  • 244
  • 0
Смартфон экраном вниз на тёмном антистатическом коврике излучает бирюзовое свечение. Рядом отладочный зонд подключён к консоли с перехваченным трафиком.


🔐 MiniCAT вскрыл 1 834 мисконфигурации OBA в WeChat Mini-Programs: три вектора account takeover — Client-Side Identity Forgery, session_key утечка и openid-подстановка — подтверждены на 619 приложениях, включая медицинские сервисы с утечкой национальных ID.

Проприетарный протокол WeChat OBA — не RFC 6749. Здесь нет redirect_uri, state или PKCE. Фронтенд вызывает wx.login(), получает одноразовый code, бэкенд обменивает его на openid и session_key через code2Session. Уязвимость — когда бэкенд сливает openid прямо в HTTP-ответ фронтенду, и атакующий через Burp Suite подставляет openid жертвы.

💡 Стандартный OAuth-чеклист здесь бесполезен — attack surface смещена на бэкенд разработчика, а не Authorization Server.

Статья SEO-poisoning атаки: kill chain, детекты и защита корпоративных пользователей

  • 375
  • 0
Макрофотография миниатюрного устройства на тёмном антистатическом коврике. Экран светится надписями о SEO-отравлении, магентовый свет выхватывает гравировку на корпусе, видны паяные контакты.


🧨 Разработчик гуглит «install Gemini CLI», копирует PowerShell-команду с первого результата — и через 30 секунд fileless-инфостилер тянет OAuth-токены и CI/CD-секреты. SOC не видит ни одного алерта. Кампанию задокументировали аналитики EclecticIQ.

Домены geminicli[.]co[.]com и claudecode[.]co[.]com клонируют легитимные страницы. PowerShell-cradle `irm | iex` грузит стилер в память, патчит PSEtwLogProvider, обходит AMSI — и параллельно честно ставит настоящий npm-пакет. Пользователь видит успех. MITRE T1608.006 → T1059.001 → T1036.005.

Детект строится на аномалии: browser → child script process.

💡 Email-контроли (SPF/DKIM, sandbox) здесь бессильны — вектор входа браузер, точка компрометации — поисковый запрос.

Статья Локальное повышение привилегий Linux через CVE-2026-46333: ptrace race condition от шелла до root

  • 408
  • 0
Плата одноплатного компьютера на чёрном антистатическом коврике со снятым экраном процессора. Тонкий щуп касается отладочного разъёма, у обгоревшей дорожки вьётся дымок.


🐧 CVE-2026-46333 в ptrace-ядре Linux: девять лет в mainline — и непривилегированный шелл читает /etc/shadow, угоняет SSH host keys или получает root через D-Bus hijack на дефолтных Debian 13, Ubuntu 24.04/26.04, Fedora 43/44.

Баг живёт в __ptrace_may_access(): при do_exit() SUID-бинаря (например, ssh-keysign) ядро освобождает mm — указатель становится NULL, проверка dumpable-флага пропускается. В этом окне гонки pidfd_getfd() копирует открытые FD привилегированного процесса к атакующему. YAMA при ptrace_scope=1 разрешает parent→child — оба барьера падают одновременно. MITRE T1548.001, CWE-269, CVSS 7.1.

Патч — ядра 5.10.256+ и 5.15.207+. Быстрый митигейшн: sysctl kernel.yama.ptrace_scope=2.

💡 Никакой мисконфигурации не нужно — дефолтный дистрибутив уже уязвим.

Статья Проверка безопасности Elasticsearch, или «я вижу ваши индексы»

  • 439
  • 0
1783756626519.webp


🔥 Открытый Elasticsearch на 9200: кто вообще видит ваши данные?

Elasticsearch не «дырявый» — проблема почти всегда в окружении: случайно открытый порт, выключенная аутентификация, тестовый контейнер, ставший продом. И вот уже одни только названия индексов (payments-prod, auth-events, crm-contacts) рассказывают атакующему всё о вашем бизнесе.

В этом гайде — безопасная методология аудита собственной инфраструктуры: поиск хостов через masscan, Shodan и Censys, аккуратный просмотр индексов через _cat/indices без чтения документов, готовые Python-скрипты и чек-лист для отчёта. Плюс разбор реальных инцидентов на миллиарды записей — от CAM4 до Meow-атак.

💡 Практическое руководство для защитников и специалистов по аудиту, которые хотят закрыть 9200 раньше, чем это сделает кто-то другой.

Статья Уязвимости IP-камер GeoVision CVE-2026-42364: command injection и privilege escalation в LPC2011/LPC2211

  • 408
  • 0
Разобранная IP-камера GeoVision на антистатическом коврике с обнажённой платой. Рука в перчатке держит логический пробник, монитор отображает код уязвимости.


🔐 Cisco Talos раскрыл 7 CVE в GeoVision LPC2011/LPC2211: CVE-2026-42364 (OS command injection, CVSS 9.9) и CVE-2026-42368 (privilege escalation, CVSS 9.9) в связке дают root через веб-интерфейс камеры на КПП или парковке.

CGI-обработчик DdnsSetting.cgi в прошивке 1.10 передаёт параметры напрямую в shell без санитизации — инъекция через `;` или `$(...)` исполняется от root. CVE-2026-42368 (CWE-266) открывает привилегированные эндпоинты без проверки авторизации, а CVE-2026-42363 (CVSS 9.3) сливает credentials для первоначального доступа.

Kill chain по MITRE: T1190 → T1059.004 → T1068 → T1505.003 (web shell) → T1125 (video capture).

💡 SOC смотрит на эндпоинты — камера на КПП в VLAN физбезопасности молчит в Windows Event Log.

Статья Traefik ForwardAuth bypass уязвимость: двойной удар CVE-2026-35051 и CVE-2026-39858

  • 380
  • 0
Разобранное устройство на антистатическом коврике с перерезанной дорожкой платы. Диагностический экран отображает текст об уязвимости, пальцы в синих перчатках касаются платы логическим щупом.


🔐 Traefik ForwardAuth пропускает без credentials: CVE-2026-35051 и CVE-2026-39858 (CVSS 7.8) обходят аутентификацию одним заголовком — X-Forwarded-Prefix или X_Forwarded_Proto с underscore вместо дефиса.

CVE-2026-35051 бьёт по конфигурациям с trustForwardHeader=false за AWS ALB, Nginx или Cloudflare: Traefik не санитизирует X-Forwarded-Prefix, и клиентское значение уходит в auth-сервис (Authelia, oauth2-proxy) — тот возвращает 200 вместо 401. MITRE T1190 → T1078: за ForwardAuth сразу Grafana, Portainer, Kubernetes Dashboard.

CVE-2026-39858 — underscore-bypass: фильтр таргетирует только канонические дефисные заголовки, underscore-варианты проходят насквозь.

💡 trustForwardHeader=false считается «безопасной» настройкой — но X-Forwarded-Prefix она не блокирует.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 866
Сообщения
347 368
Пользователи
162 052
Новый пользователь
troyanorte