Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья CVE-2026-20223 в Cisco Secure Workload: обход аутентификации REST API и методология тестирования

  • 84
  • 0
Сетевая карта Cisco крупным планом на антистатическом коврике, луч лампы освещает разъём и отладочные контакты. Гравировка на радиаторе: «CVE-2026-20223 · NO AUTH · CVSS 10.0».


🔐 CVE-2026-20223 в Cisco Secure Workload получила CVSS 10.0: один HTTP-запрос без токена авторизации — и атакующий читает конфигурацию ЦОД и меняет политики микросегментации с привилегиями Site Admin через границы тенантов.

CWE-306 в чистом виде — middleware-слой проверки токенов отсутствовал на внутренних REST API эндпоинтах. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H: эксплуатация удалённая, без учётных данных, без действий жертвы. Scope:Changed — кросс-тенантный доступ выводит это за рамки обычного auth bypass.

💡 Платформа микросегментации сама не сегментирует доступ к своему API — SOC ищет угрозы внутри ЦОД, пока контроль над периметром уже потерян.

Статья UNC1549 иранская APT кампания 2026: Job Lure, облачный C2 и detection для SOC

  • 84
  • 0
Крупный план вскрытого сетевого модуля на чёрном антистатическом коврике: обгоревший чип с следами взлома, щуп логического анализатора на контакте.


🕵️ UNC1549 (Screening Serpens) развернула шесть RAT-вариантов за шесть недель: Job Lure под авиакомпанию, C2 через Azure, AppDomainManager hijacking — и ни одного стандартного алерта в SOC.

Цепочка начинается с ZIP-архива «Hiring Portal» с реальными Job ID и PDF-вакансиями. Setup.exe показывает поддельную ошибку, пока в фоне идёт DLL sideloading. Затем — .config-файл с кастомным AppDomainManager: CLR грузит вредоносную сборку до старта основного кода. Это не zero-day — это документированный механизм .NET против самого приложения.

💡 SOC видит чистые логи — AppDomainManager hijacking работает внутри CLR, не касаясь Windows Event Log.

Статья vm2 sandbox escape: разбор трёх критических побегов CVSS 10.0 в Node.js

  • 92
  • 0
Крупный план платы с вскрытым экранированием и перебитым шлейфом. Выжженный чип с гравировкой кода уязвимости под лупой на чёрном антистатическом коврике.


💣 vm2 sandbox escape: три CVE с CVSS 10.0 — утечка host Object, prototype pollution через bridge proxy и инъекция в BaseHandler.getPrototypeOf дают полный RCE на хосте из Node.js-песочницы.

CVE-2026-43997, CVE-2026-44005 и CVE-2026-44006 — три фундаментально разных примитива побега. Первый эксплуатирует Symbol(nodejs.util.inspect.custom) для получения прямой ссылки на host Object, затем два шага по цепочке obj.constructor.constructor до произвольного кода. Второй загрязняет прототип через bridge proxy. Третий бьёт в BaseHandler.getPrototypeOf.

vm2 строит изоляцию целиком в userland JavaScript — без V8 Isolates и OS-примитивов.

💡 Библиотека deprecated с 2023-го — но качается миллион раз в неделю. Ваш AI-агент, скорее всего, тоже.

Статья Защита корпоративных SaaS от взлома: разбор атак ShinyHunters на Salesforce и SharePoint

  • 110
  • 0
Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


🕵️ ShinyHunters взломала Salesforce-инстансы Cisco, Disney и FedEx без единого zero-day — только телефонный звонок и штатный OAuth-механизм. Один refresh token открыл bulk-экспорт CRM через кастомные Python-скрипты.

Kill chain укладывается в четыре фазы: вишинг через Mullvad VPN с легендой IT-поддержки, OAuth consent на модифицированный Data Loader, SOQL bulk-экспорт объектов accounts/contacts/cases и латеральное движение в SharePoint. MITRE T1078.004, T1213.004, T1567.002 — ни малвари, ни CVE.

Детект строится на аномалиях OAuth: KQL-правила на нетипичные Connected Apps, alert на bulk SOQL (>1000 записей/мин), UEBA-базлайн по API-активности.

💡 EDR молчит, SIEM молчит — легитимный API-токен не генерирует алертов. 39 жертв узнали об утечке из даркнета.

Статья CVE-2026-34621 Adobe Acrobat Reader: kill chain zero-day, IOC и detection playbook

  • 135
  • 0
Разорванный конверт из фрагментов PDF с кодом на поверхности лежит на чёрном мате. Внутри светится красная иконка RSS — символ перехваченного канала управления.


🔐 CVE-2026-34621 эксплуатировалась в энергетике пять месяцев до патча: ноль байт memory corruption, чистый prototype pollution через Object.prototype.__defineGetter__(), sandbox escape Acrobat — DEP, ASLR и CFG мимо. CVSS 8.6, CISA KEV, EPSS-перцентиль 93%.

Kill chain ITW-сэмпла (SHA-256: 54077a5b…): JSFuck-обфускация в Object 11, задержка 500 мс для sandbox evasion, app.beginPriv() + чтение ntdll.dll для fingerprinting ОС. C2 — через штатный RSS-механизм Acrobat, User-Agent идентичен легитимному Adobe Synchronizer. Payload зашифрован AES-CTR, ключи в переменных deer/reindeer.

💡 Sandbox вернул пустышку — C2 фильтровал аналитику на серверной стороне. Кейс закрыт как FP.

Статья Bad Epoll (CVE-2026-46242): разбор Linux LPE уязвимости — от патча ядра до эксплуатации

  • 129
  • 0
Крупный план материнской платы с повреждённым чипом контроллера и выгоревшей дорожкой. На текстолите лазером выгравирована надпись «CVE-2026-46242 · BAD EPOLL · UAF».


🐧 CVE-2026-46242 (Bad Epoll): use-after-free в fs/eventpoll.c даёт root с надёжностью 99/100 — и работает из Chrome renderer sandbox, минуя большинство kernel-защит.

Jaeyoung Chung из Seoul National University вскрыл race condition шириной в шесть инструкций в epoll-подсистеме Linux 6.4+. Два потока конкурентно закрывают связанные epoll-дескрипторы — Thread A очищает f_ep под f_lock, Thread B видит NULL, пропускает eventpoll_release_file() и вызывает file_free(). Thread A продолжает hlist_del_rcu() по уже освобождённому kmalloc-192. CVSS 7.8, CWE-416, MITRE T1068.

💡 SOC не увидит LPE в логах — epoll-гонка не генерирует syscall-аномалий, только kernel crash или тихий root.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 816
Сообщения
347 268
Пользователи
161 735
Новый пользователь
Vakuum