Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья Защита корпоративных SaaS от взлома: разбор атак ShinyHunters на Salesforce и SharePoint

  • 14
  • 0
Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


🕵️ ShinyHunters взломала Salesforce-инстансы Cisco, Disney и FedEx без единого zero-day — только телефонный звонок и штатный OAuth-механизм. Один refresh token открыл bulk-экспорт CRM через кастомные Python-скрипты.

Kill chain укладывается в четыре фазы: вишинг через Mullvad VPN с легендой IT-поддержки, OAuth consent на модифицированный Data Loader, SOQL bulk-экспорт объектов accounts/contacts/cases и латеральное движение в SharePoint. MITRE T1078.004, T1213.004, T1567.002 — ни малвари, ни CVE.

Детект строится на аномалиях OAuth: KQL-правила на нетипичные Connected Apps, alert на bulk SOQL (>1000 записей/мин), UEBA-базлайн по API-активности.

💡 EDR молчит, SIEM молчит — легитимный API-токен не генерирует алертов. 39 жертв узнали об утечке из даркнета.

Статья CVE-2026-34621 Adobe Acrobat Reader: kill chain zero-day, IOC и detection playbook

  • 50
  • 0
Разорванный конверт из фрагментов PDF с кодом на поверхности лежит на чёрном мате. Внутри светится красная иконка RSS — символ перехваченного канала управления.


🔐 CVE-2026-34621 эксплуатировалась в энергетике пять месяцев до патча: ноль байт memory corruption, чистый prototype pollution через Object.prototype.__defineGetter__(), sandbox escape Acrobat — DEP, ASLR и CFG мимо. CVSS 8.6, CISA KEV, EPSS-перцентиль 93%.

Kill chain ITW-сэмпла (SHA-256: 54077a5b…): JSFuck-обфускация в Object 11, задержка 500 мс для sandbox evasion, app.beginPriv() + чтение ntdll.dll для fingerprinting ОС. C2 — через штатный RSS-механизм Acrobat, User-Agent идентичен легитимному Adobe Synchronizer. Payload зашифрован AES-CTR, ключи в переменных deer/reindeer.

💡 Sandbox вернул пустышку — C2 фильтровал аналитику на серверной стороне. Кейс закрыт как FP.

Статья Bad Epoll (CVE-2026-46242): разбор Linux LPE уязвимости — от патча ядра до эксплуатации

  • 70
  • 0
Крупный план материнской платы с повреждённым чипом контроллера и выгоревшей дорожкой. На текстолите лазером выгравирована надпись «CVE-2026-46242 · BAD EPOLL · UAF».


🐧 CVE-2026-46242 (Bad Epoll): use-after-free в fs/eventpoll.c даёт root с надёжностью 99/100 — и работает из Chrome renderer sandbox, минуя большинство kernel-защит.

Jaeyoung Chung из Seoul National University вскрыл race condition шириной в шесть инструкций в epoll-подсистеме Linux 6.4+. Два потока конкурентно закрывают связанные epoll-дескрипторы — Thread A очищает f_ep под f_lock, Thread B видит NULL, пропускает eventpoll_release_file() и вызывает file_free(). Thread A продолжает hlist_del_rcu() по уже освобождённому kmalloc-192. CVSS 7.8, CWE-416, MITRE T1068.

💡 SOC не увидит LPE в логах — epoll-гонка не генерирует syscall-аномалий, только kernel crash или тихий root.

Статья OAuth уязвимости WeChat Mini-Programs: три вектора захвата аккаунта через мисконфигурацию OBA

  • 77
  • 0
Смартфон экраном вниз на тёмном антистатическом коврике излучает бирюзовое свечение. Рядом отладочный зонд подключён к консоли с перехваченным трафиком.


🔐 MiniCAT вскрыл 1 834 мисконфигурации OBA в WeChat Mini-Programs: три вектора account takeover — Client-Side Identity Forgery, session_key утечка и openid-подстановка — подтверждены на 619 приложениях, включая медицинские сервисы с утечкой национальных ID.

Проприетарный протокол WeChat OBA — не RFC 6749. Здесь нет redirect_uri, state или PKCE. Фронтенд вызывает wx.login(), получает одноразовый code, бэкенд обменивает его на openid и session_key через code2Session. Уязвимость — когда бэкенд сливает openid прямо в HTTP-ответ фронтенду, и атакующий через Burp Suite подставляет openid жертвы.

💡 Стандартный OAuth-чеклист здесь бесполезен — attack surface смещена на бэкенд разработчика, а не Authorization Server.

Статья SEO-poisoning атаки: kill chain, детекты и защита корпоративных пользователей

  • 237
  • 0
Макрофотография миниатюрного устройства на тёмном антистатическом коврике. Экран светится надписями о SEO-отравлении, магентовый свет выхватывает гравировку на корпусе, видны паяные контакты.


🧨 Разработчик гуглит «install Gemini CLI», копирует PowerShell-команду с первого результата — и через 30 секунд fileless-инфостилер тянет OAuth-токены и CI/CD-секреты. SOC не видит ни одного алерта. Кампанию задокументировали аналитики EclecticIQ.

Домены geminicli[.]co[.]com и claudecode[.]co[.]com клонируют легитимные страницы. PowerShell-cradle `irm | iex` грузит стилер в память, патчит PSEtwLogProvider, обходит AMSI — и параллельно честно ставит настоящий npm-пакет. Пользователь видит успех. MITRE T1608.006 → T1059.001 → T1036.005.

Детект строится на аномалии: browser → child script process.

💡 Email-контроли (SPF/DKIM, sandbox) здесь бессильны — вектор входа браузер, точка компрометации — поисковый запрос.

Статья Локальное повышение привилегий Linux через CVE-2026-46333: ptrace race condition от шелла до root

  • 258
  • 0
Плата одноплатного компьютера на чёрном антистатическом коврике со снятым экраном процессора. Тонкий щуп касается отладочного разъёма, у обгоревшей дорожки вьётся дымок.


🐧 CVE-2026-46333 в ptrace-ядре Linux: девять лет в mainline — и непривилегированный шелл читает /etc/shadow, угоняет SSH host keys или получает root через D-Bus hijack на дефолтных Debian 13, Ubuntu 24.04/26.04, Fedora 43/44.

Баг живёт в __ptrace_may_access(): при do_exit() SUID-бинаря (например, ssh-keysign) ядро освобождает mm — указатель становится NULL, проверка dumpable-флага пропускается. В этом окне гонки pidfd_getfd() копирует открытые FD привилегированного процесса к атакующему. YAMA при ptrace_scope=1 разрешает parent→child — оба барьера падают одновременно. MITRE T1548.001, CWE-269, CVSS 7.1.

Патч — ядра 5.10.256+ и 5.15.207+. Быстрый митигейшн: sysctl kernel.yama.ptrace_scope=2.

💡 Никакой мисконфигурации не нужно — дефолтный дистрибутив уже уязвим.

Статья Проверка безопасности Elasticsearch, или «я вижу ваши индексы»

  • 327
  • 0
1783756626519.webp


🔥 Открытый Elasticsearch на 9200: кто вообще видит ваши данные?

Elasticsearch не «дырявый» — проблема почти всегда в окружении: случайно открытый порт, выключенная аутентификация, тестовый контейнер, ставший продом. И вот уже одни только названия индексов (payments-prod, auth-events, crm-contacts) рассказывают атакующему всё о вашем бизнесе.

В этом гайде — безопасная методология аудита собственной инфраструктуры: поиск хостов через masscan, Shodan и Censys, аккуратный просмотр индексов через _cat/indices без чтения документов, готовые Python-скрипты и чек-лист для отчёта. Плюс разбор реальных инцидентов на миллиарды записей — от CAM4 до Meow-атак.

💡 Практическое руководство для защитников и специалистов по аудиту, которые хотят закрыть 9200 раньше, чем это сделает кто-то другой.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 810
Сообщения
347 257
Пользователи
161 707
Новый пользователь
solmot