Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья Bulkhead: автообнаружение path traversal при container escape через семантический анализ

  • 34
  • 0
Рука в синей перчатке держит логический щуп над платой с перепутанными шлейфами. Диагностический терминал отображает коды уязвимостей зелёным мерцающим текстом.


🧨 Bulkhead вскрывает 27 CVE в контейнерных рантаймах: CVE-2024-0132 (CVSS 9.0) в NVIDIA Container Toolkit и CVE-2025-31133 в runc эксплуатируют одну архитектурную слепоту — кросс-граничное разрешение путей на стыке контейнер-хост.

PaTra — не веб-traversal с `../` в URL. Атакующий размещает symlink в контейнере, привилегированный хостовой процесс рантайма разрешает его и уходит в хостовую ФС: читает `/etc/shadow`, перезаписывает бинарники, получает root (MITRE T1611). TOCTOU-вектор (CWE-367, CWE-362) делает статический анализ слепым — окно гонки в микросекунды.

Bulkhead предлагает мультиагентную LLM-систему с формальной верификацией патчей для автообнаружения PaTra.

💡 Статический анализ видит корректную проверку — уязвимость живёт в тайминге между check и use.

Статья Linux Kernel Privilege Escalation 2026: Fragnesia и Dirty Frag — от PoC до эксплуатации

  • 94
  • 0
Обгоревший чип памяти на разобранной плате под лупой в руках в перчатках. Диагностический терминал отображает «CVE-2026-43284 · DIRTY FRAG» зелёным моноширинным шрифтом.


🐧 Четыре LPE за две недели: CVE-2026-31431 (CopyFail, EPSS 0.96) и CVE-2026-43284 (Dirty Frag, CVSS 8.8) атакуют page cache Linux без race condition — root shell с вероятностью близкой к 100%.

Все четыре CVE — потомки Dirty Pipe (CVE-2022-0847): splice() подставляет ссылку на page-cache страницу в skb frag, ESP-приёмник выполняет in-place дешифрование поверх неё. Setuid-бинарь /usr/bin/sudo отравлён в RAM — файл на диске нетронут, dmesg молчит, SELinux не срабатывает. CopyFail уже в CISA KEV с дедлайном 15 мая.

Fragnesia (CVE-2026-46300) живёт в ядре с версии 3.9 — с 2013 года. PoC для выхода из пода Amazon EKS через CVE-2026-43284 уже на GitHub.

💡 EDR мониторит syscall-аномалии — page cache poisoning не пишет на диск и не триггерит ни один стандартный alert.

Статья Атаки APT на сетевое оборудование: как FSB Center 16 десять лет компрометирует маршрутизаторы

  • 100
  • 0
Маршрутизатор Cisco на тёмном антистатическом коврике с консольным кабелем. Дисплей устройства светится янтарным текстом, синий акцентный свет подчёркивает вентиляционные решётки корпуса.


📡 FSB Center 16 (Berserk Bear) десять лет компрометирует маршрутизаторы через CVE-2018-0171 и SNMP с дефолтным community string «public» — и сливает конфиги тысяч устройств критической инфраструктуры.

ФБР (IC3, август 2025) зафиксировало масштабную кампанию: GetBulk-запросы на UDP/161 по широким диапазонам IP, эксплуатация Cisco Smart Install (TCP/4786, без аутентификации) через CVE-2018-0171. Часть конфигов не просто скачана — модифицирована для persistence. MITRE T1602.002 + T1190, без единого zero-day.

💡 EDR молчит, Windows Event Log пуст — имплант живёт в прошивке роутера на границе IT/OT.

Статья Безопасность SaaS: detection компрометации платформы и защита клиентских данных

  • 176
  • 0
Аппаратный токен безопасности FIDO2 крупным планом на тёмном антистатическом коврике. Янтарный свет выявляет царапины на металле и гравировку, дисплей светится синим.


🔐 Сервисный аккаунт уволенного сотрудника три месяца молчал — затем за одну ночь вычитал тысячи клиентских записей через API. Токен валидный, GeoIP чистый. T1078.004 в действии: credential-based атаки выросли на 71% (IBM X-Force), а SOC не поймал ничего.

Атакующий работает через Valid Accounts — stuffing, MFA fatigue (T1621), угнанный SSO-токен через infostealer. Попав в IdP, он получает доступ ко всем SaaS-интеграциям без знания отдельных паролей. IDOR через tenant_id в Burp Suite — первый чек на пентесте платформы.

💡 SOC ловит аномалии на эндпоинтах — но T1078 живёт в audit log SaaS, где baseline никто не строил.

Статья CVE-2026-42809 Apache Polaris: угон облачных credentials через staged table creation

  • 183
  • 0
Разрезанный пополам латунный автомат для выдачи учётных данных с обнажёнными шестернями. Из щели вылетает облачный токен, на панели выгравировано CVE-2026-42809.


🔐 CVE-2026-42809 (CVSS 9.4): аутентифицированный пользователь Apache Polaris шлёт один stage-create запрос с произвольным location — и сервис сам конструирует STS-токены к чужому S3/GCS-бакету. Без exploit chain, без WAF-обхода.

Уязвимость живёт в двухфазном stage-create flow Iceberg REST Catalog: Polaris выдаёт delegated credentials до валидации location и overlap checks. Атакующий подставляет `s3://finance-production-bucket/` в поле location — получает STS-токены и идёт напрямую через `aws cli` или `boto3`.

💡 Privilege escalation в Polaris нет — сервис добровольно отдаёт STS-токены. CloudTrail молчит до момента первого s3:GetObject.

Статья CVE-2026-23863: уязвимость WhatsApp для Windows — как NUL bytes маскируют исполняемый файл под документ

  • 206
  • 0
Вскрытый USB-накопитель на чёрном антистатическом коврике с чипом памяти, на экране рядом — обрезанное имя файла с мерцающим курсором и скрытым расширением.


🪟 CVE-2026-23863 в WhatsApp Desktop: один NUL-байт в имени файла заставлял Windows запускать payload.exe, пока пользователь видел invoice.pdf — CWE-158 в Electron-архитектуре, где JavaScript и WinAPI читают одну строку по-разному.

JavaScript (V8) хранит строки с явной длиной — `payload.exe\x00invoice.pdf` имеет длину 24, расширение `.pdf`, иконка документа. WinAPI получает ту же строку, но `ShellExecuteW()` обрезает по первому NUL — видит `payload.exe` и запускает его. Уязвимы версии WhatsApp до v2.3000.1032164386.258709.

💡 EPSS 0.41 и CVSS 6.5 усыпляют бдительность — но для целевого initial access через доверенный мессенджер этого примитива достаточно.

Статья CVE-2026-47729 Squidbleed: разбор Heartbleed-подобной уязвимости в Squid Proxy — от strchr до session tokens

  • 206
  • 0
Сетевой модуль прокси-сервера на антистатическом коврике с гравировкой CVE-2026-47729 SQUIDBLEED на алюминиевой панели. Порты RJ45 светятся голубым, на тёмной поверхности отражается фрагмент hex-да...


🔐 CVE-2026-47729 «Squidbleed»: баг 1997 года в Squid 5.7 сливает Authorization-заголовки чужих HTTP-сессий через FTP-парсер — один пропущенный NUL-check в strchr, 29 лет в проде.

Уязвимость класса CWE-125 живёт в FtpGateway.cc с коммита bb97dd37a от 18 января 1997 года. FTP-листинг без имени файла бросает copyFrom за NUL-терминатор — strchr по C11 §7.24.5.2 не возвращает NULL, цикл уезжает в heap, xstrdup тащит 4065 байт чужой памяти клиенту как «имя файла».

Squid держит пулы MEM_4K_BUF без зануления: буфер HTTP-запроса жертвы с Base64 Basic Auth попадает в freelist, следующая FTP-аллокация забирает его с прежним содержимым.

💡 CVSS 6.5 без RCE усыпляет бдительность — но shared-прокси на 100 юзеров превращает один overread в credential harvest всей организации.

Статья DDoS smokescreen атака: как SOC не пропустить вторжение за шумом флуда

  • 164
  • 0
Два монитора на светлом рабочем столе: левый показывает красные пики трафика, правый — панель SIEM с обнаруженным боковым перемещением. Мягкий дневной свет из окна.


🚨 Internet Archive, октябрь 2024: пока SOC отражал DDoS-флуд, атакующие параллельно вскрыли БД и утащили 31 млн записей. MITRE T1498 как дымовая завеса — lateral movement по T1078 завершился за время одной дежурной смены.

Схема kill chain: DDoS-for-Hire запускает HTTP/2 Rapid Reset до 3,98 млрд rps — SIEM захлёбывается, L1 уходит в режим тушения периметра. В это время атакующий использует заранее купленные креды, проходит RDP lateral movement и эксфильтрует данные через DNS-туннель на внешний C2. CrowdStrike фиксирует: среднее время от initial access до компрометации домена — 62 минуты.

💡 SOC фиксирует «успешное отражение DDoS» — а эксфильтрация уже завершена. Победа на периметре, провал внутри.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 844
Сообщения
347 324
Пользователи
161 847
Новый пользователь
Jackson2