Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья CVE-2026-45131 + CVE-2026-45132: уязвимость GitHub Actions — fork PR крадёт секреты CI/CD

  • 299
  • 0
Крупный план платы CI-раннера с вскрытым экраном, обгоревшим чипом и разветвлённой трассой к JTAG-порту. Надпись на плате: «CVE-2026-45131 · SECRETS EXFIL», оборванный кабель с меткой «DOCKERPASSWO...


💣 CVE-2026-45131 + CVE-2026-45132 (CVSS 10.0): анонимный GitHub-аккаунт, один fork PR — и Docker Hub credentials, PAT и SSH-ключ подписи коммитов утекли без единого клика со стороны maintainer'а.

Уязвимость живёт в триггере pull_request_target: он запускает workflow в привилегированном контексте base branch, но checkout тянет код из форка атакующего. Итог — T1195.001 Initial Access через вредоносный initContainer в Helm-шаблоне с зелёным бейджем Verified.

Фикс — коммит fcf9302. Но паттерн CWE-94 воспроизводится за 30 секунд через GitHub Code Search в тысячах репозиториев.

💡 Привилегированный workflow выглядит чистым — вредоносный код живёт в форке, EDR его не видит.

Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

  • 275
  • 0
Макрофотография сетевой платы на тёмном антистатическом коврике. Янтарный свет выхватывает маркировку «svcbackup» и гравировку «T1087 · ACCOUNT DISCOVERY · RISK 87», на краю платы светится синий св...


🧠 SIEM зелёный, дашборд чист — а svc_backup за 12 минут выполнила 340 LDAP-запросов к AD в 02:38 с неизвестного IP. Risk score UEBA: 87. Сигнатурных алертов: ноль. T1087 Account Discovery уже идёт.

Сигнатурные правила слепнут там, где атакующий входит с валидным паролем и работает через net.exe, WMI и cmd.exe — инструменты штатного администратора. CrowdStrike 2025: большинство атак malware-free. IBM X-Force фиксирует рост AI-фишинга в 11,4 раза быстрее ручного.

UEBA строит поведенческий baseline по Event ID 4624/4769, NetFlow, DNS и M365-телеметрии.

💡 SOC смотрит на алерты — UEBA смотрит на паттерны. Разница: часы против недель незамеченного lateral movement.

Статья CVE-2026-45659 SharePoint RCE: десериализация, эксплуатация и обнаружение атак

  • 284
  • 0
Запечатанный конверт с расколотой восковой печатью, разрезанной скальпелем. Из разорванного конверта вытекает лента с IL-кодом .NET-сборки.


🧨 CVE-2026-45659 — SharePoint RCE через CWE-502 десериализацию: Storm-2603 прошла от Site Member до ransomware Warlock за один скомпрометированный сервер. CISA дала федералам три дня на патч после 40 дней «Exploitation Less Likely».

Уязвимость бьёт по on-premises SharePoint Server 2016/2019/SE — CVSS 8.8, PR:L, UI:N. Атакующий с правами Site Member формирует gadget chain через .NET-десериализацию, получает RCE и разворачивает web shell (T1505.003). Storm-2603 дополняла цепочку Cloudflare tunneling и драйвером NSecKrnl.sys для подавления EDR.

💡 EPSS соседней CVE-2026-20963 — Top 5%, PR:N, automatable. SharePoint Online не затронут — только on-premises.

Статья GraphQL Security: уязвимости и методы тестирования

  • 281
  • 0
preview_graphql.webp


🔥 GraphQL: один запрос вскрывает всю схему вашей БД.

Строгая типизация GraphQL создаёт ложное чувство безопасности. Реальность: один Introspection-запрос отдаёт атакующему всю структуру — скрытые мутации deleteUser и makeAdmin, типы данных и готовые точки для инъекций.

В этом гайде показываем полный цикл атаки: от разведки endpoint'а и обхода WAF через batching до IDOR/BOLA в аргументах, SQL/NoSQL-инъекций в резолверах и DoS через вложенные запросы и дублирование полей. Плюс — защита: depth limiting, persisted queries и отключение интроспекции.

💡 Практическое руководство для пентестеров и bug bounty хантеров, которые тестируют современные API.

Статья Bit2Watt: манипуляция GPU-нагрузкой как вектор кибератаки на энергосистему ЦОД

  • 297
  • 0
Треснувший стеклянный изолятор энергосети с вмонтированным кристаллом GPU, светящимся красным. На поверхности выгравированы технические маркировки, макросъёмка в криминалистической палитре.


⚙️ Bit2Watt: легитимный облачный тенант синхронизирует 1 000 GPU и разгоняет THD тока до 46.8% — коэффициент демпфирования энергосети ЦОД уходит в -0.27 без единого взломанного устройства.

Исследователи из Zhejiang University формализовали кибер-физическую атаку через CUDA Runtime API и PyTorch: модуляция нагрузки до 6 000 Гц вгоняет сеть 1 МВт с 90% DER в нестабильный режим. Срабатывают UPS bypass и автоматические выключатели — checkpoint откатывается, GPU-часы сгорают.

Мёртвая зона между cloud-мониторингом и DCIM-платформами (Nlyte, Vertiv PDU) — SNMP опрашивает раз в 1–5 секунд, на четыре порядка грубее частоты атаки.

💡 SOC видит легитимный CUDA-джоб — энергосеть уже раскачана. Малварь не нужна.

Статья MITRE ATT&CK и ISO 27001: как объединить фреймворки для реальной защиты инфраструктуры

  • 254
  • 0
Распечатанная тепловая карта MITRE ATT&CK на плотной бумаге лежит на светлом столе рядом с перьевой ручкой. В верхнем поле — рукописная пометка чернилами, латунное пресс-папье удерживает угол листа.


🛡️ ISO 27001 с сертификатом на стене и нулём алертов: три дня атакующий гулял по сети через T1021 Remote Services и T1550 — SIEM жевал Windows-логи, аудитор ставил галочку напротив A.8.16.

Gap-анализ реальной ISMS вскрыл классическую ловушку: 93 контроля Annex A покрыты на бумаге, но без ATT&CK-маппинга между ними зияют операционные пустоты. A.8.5 требует MFA — и молчит про кражу OAuth-токенов infostealers. A.8.16 требует мониторинга — без baseline для RDP/SMB/WinRM lateral movement невидим.

Статья даёт таблицу маппинга ISO 27001:2022 → MITRE ATT&CK с конкретными пробелами: T1078, T1190, T1071 C2 через DNS tunneling, T1059 без корреляции PowerShell.

💡 Сертификат ISO 27001 фиксирует governance — APT проходит сквозь него там, где нет TTPs-покрытия.

Статья Supply chain attack npm: реверс-инжиниринг двухступенчатого payload от bootstrap до C2

  • 278
  • 0
Схема цепочки атаки на кремовой бумаге, снятая сверху на светлом столе. Карандашные стрелки соединяют узлы цепочки, рядом лежат латунное пресс-папье и перьевая ручка.


🧬 11 мая 2026 года вредоносные версии @tanstack/react-router и @opensearch-project/opensearch (GHSA-27f5-xjrr-q9ff) прошли CI/CD с валидной SLSA Build Level 3 аттестацией Sigstore — статические сканеры промолчали.

Дроппер Stage 1 прячется в optionalDependencies через github:owner/repo#SHA — визуально легитимный URL TanStack. Lifecycle-хук prepare запускает обфусцированный payload (hex → XOR → AES-256-GCM) до любого runtime-контроля. Stage 2 читает /proc/PID/mem Runner.Worker, вытаскивает AWS/GCP/Vault-токены и сливает их через GitHub GraphQL dead-drop коммиты на C2.

💡 SLSA Level 3 подписывает артефакт пайплайна — но не гарантирует, что сам пайплайн не скомпрометирован.

Статья Обоснование red team для бизнеса: фреймворк ROI и шаблон питча для CFO

  • 250
  • 0
Распечатанная таблица ROI на плотной кремовой бумаге с тремя колонками и пометкой «RED TEAM ROI · 72h TO DOMAIN ADMIN». Рядом лежит перьевая ручка, мягкий дневной свет падает из окна на светлый стол.


🔐 Red team получил Domain Admin за 72 часа, но бюджет сократили на 30%: проблема не в технике, а в языке — бизнесу нужны не CVE, а деньги, риски и ROI.

Статья показывает, как переводить offensive security в финансовые метрики через ALE: \(ALE = SLE \times ARO\) → расчёт ROI, где снижение риска даёт до 4.6x возврата инвестиций. Вместо “14 critical” — “минус 45 млн руб. потенциальных потерь”. Даётся шаблон executive summary на 1 страницу: бизнес-импакт, цепочки атак, ROI, динамика.

💡 Кто считает risk в рублях — получает бюджет; кто считает CVSS — получает урезание.

Статья Уязвимости умных зданий и ICS безопасность: три UDP-пакета до root на EnOcean SmartServer

  • 316
  • 0
Разрезанный пополам модуль термостата системы автоматизации здания на чёрном антистатическом коврике с обнажёнными платами. Вдоль линии разлома — призрачные схемы UDP-пакетов в пурпурно-голубом све...


💣 Claroty Team82 вскрыла EnOcean SmartServer IoT: CVE-2026-20761 (CWE-77, CVSS 8.1) даёт pre-auth RCE через три UDP-пакета на порт 1628 — без логина, без привилегий, с root на контроллере HVAC дата-центра.

Вектор атаки — парсер IP-852 пакетов. Функция LtSetTimeZone в libLonStack.so берёт строку часового пояса из UDP-датаграммы и скармливает её system() без валидации. Шаг 1: PKTTYPE_REQDEVCONFIG раскрывает адрес конфиг-сервера. Шаг 2: имперсонация сервера через расширенный CNIP-заголовок. Шаг 3: инъекция в поле timezone — и shell.

BAS-контроллеры живут под службами эксплуатации здания, а не ИБ. Они выпадают из patch management и IR-процессов.

💡 SOC смотрит в EDR — а root на HVAC-контроллере тихо меняет уставки охлаждения серверной.

Статья CVE-2026-41089: Windows Netlogon RCE — от переполнения стека CLDAP до захвата контроллера домена

  • 374
  • 0
Сетевая карта сервера на чёрном рабочем столе с подключённым обрезанным кабелем. Диагностический дисплей показывает глитч-текст об уязвимости, рука в перчатке касается чипсета логическим щупом.


🔐 CVE-2026-41089 — один UDP-пакет на порт 389 превращает любой непропатченный DC в SYSTEM-шелл без аутентификации. CVSS 9.8, EPSS 0.72, wormable, CCB подтвердил активную эксплуатацию через 17 дней после Patch Tuesday.

Стековое переполнение в netlogon.dll: обработчик CLDAP-запросов копирует доменное имя в фиксированный буфер без проверки размера — классический CWE-121. Перезапись адреса возврата даёт RCE в контексте lsass.exe. Чекер LongLogon верифицирует предусловие по длине имени DC без отправки exploit-пакета. Затронуты все Windows Server 2012–2025, KB5087471/5087470/5087537.

💡 lsass.exe не генерирует Event ID 4624 при pre-auth RCE — Windows Event Log молчит, пока DC уже скомпрометирован.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 824
Сообщения
347 283
Пользователи
161 771
Новый пользователь
babaYaga_2