Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья Bad Epoll (CVE-2026-46242): разбор Linux LPE уязвимости — от патча ядра до эксплуатации

  • 146
  • 0
Крупный план материнской платы с повреждённым чипом контроллера и выгоревшей дорожкой. На текстолите лазером выгравирована надпись «CVE-2026-46242 · BAD EPOLL · UAF».


🐧 CVE-2026-46242 (Bad Epoll): use-after-free в fs/eventpoll.c даёт root с надёжностью 99/100 — и работает из Chrome renderer sandbox, минуя большинство kernel-защит.

Jaeyoung Chung из Seoul National University вскрыл race condition шириной в шесть инструкций в epoll-подсистеме Linux 6.4+. Два потока конкурентно закрывают связанные epoll-дескрипторы — Thread A очищает f_ep под f_lock, Thread B видит NULL, пропускает eventpoll_release_file() и вызывает file_free(). Thread A продолжает hlist_del_rcu() по уже освобождённому kmalloc-192. CVSS 7.8, CWE-416, MITRE T1068.

💡 SOC не увидит LPE в логах — epoll-гонка не генерирует syscall-аномалий, только kernel crash или тихий root.

Статья OAuth уязвимости WeChat Mini-Programs: три вектора захвата аккаунта через мисконфигурацию OBA

  • 119
  • 0
Смартфон экраном вниз на тёмном антистатическом коврике излучает бирюзовое свечение. Рядом отладочный зонд подключён к консоли с перехваченным трафиком.


🔐 MiniCAT вскрыл 1 834 мисконфигурации OBA в WeChat Mini-Programs: три вектора account takeover — Client-Side Identity Forgery, session_key утечка и openid-подстановка — подтверждены на 619 приложениях, включая медицинские сервисы с утечкой национальных ID.

Проприетарный протокол WeChat OBA — не RFC 6749. Здесь нет redirect_uri, state или PKCE. Фронтенд вызывает wx.login(), получает одноразовый code, бэкенд обменивает его на openid и session_key через code2Session. Уязвимость — когда бэкенд сливает openid прямо в HTTP-ответ фронтенду, и атакующий через Burp Suite подставляет openid жертвы.

💡 Стандартный OAuth-чеклист здесь бесполезен — attack surface смещена на бэкенд разработчика, а не Authorization Server.

Статья SEO-poisoning атаки: kill chain, детекты и защита корпоративных пользователей

  • 261
  • 0
Макрофотография миниатюрного устройства на тёмном антистатическом коврике. Экран светится надписями о SEO-отравлении, магентовый свет выхватывает гравировку на корпусе, видны паяные контакты.


🧨 Разработчик гуглит «install Gemini CLI», копирует PowerShell-команду с первого результата — и через 30 секунд fileless-инфостилер тянет OAuth-токены и CI/CD-секреты. SOC не видит ни одного алерта. Кампанию задокументировали аналитики EclecticIQ.

Домены geminicli[.]co[.]com и claudecode[.]co[.]com клонируют легитимные страницы. PowerShell-cradle `irm | iex` грузит стилер в память, патчит PSEtwLogProvider, обходит AMSI — и параллельно честно ставит настоящий npm-пакет. Пользователь видит успех. MITRE T1608.006 → T1059.001 → T1036.005.

Детект строится на аномалии: browser → child script process.

💡 Email-контроли (SPF/DKIM, sandbox) здесь бессильны — вектор входа браузер, точка компрометации — поисковый запрос.

Статья Локальное повышение привилегий Linux через CVE-2026-46333: ptrace race condition от шелла до root

  • 293
  • 0
Плата одноплатного компьютера на чёрном антистатическом коврике со снятым экраном процессора. Тонкий щуп касается отладочного разъёма, у обгоревшей дорожки вьётся дымок.


🐧 CVE-2026-46333 в ptrace-ядре Linux: девять лет в mainline — и непривилегированный шелл читает /etc/shadow, угоняет SSH host keys или получает root через D-Bus hijack на дефолтных Debian 13, Ubuntu 24.04/26.04, Fedora 43/44.

Баг живёт в __ptrace_may_access(): при do_exit() SUID-бинаря (например, ssh-keysign) ядро освобождает mm — указатель становится NULL, проверка dumpable-флага пропускается. В этом окне гонки pidfd_getfd() копирует открытые FD привилегированного процесса к атакующему. YAMA при ptrace_scope=1 разрешает parent→child — оба барьера падают одновременно. MITRE T1548.001, CWE-269, CVSS 7.1.

Патч — ядра 5.10.256+ и 5.15.207+. Быстрый митигейшн: sysctl kernel.yama.ptrace_scope=2.

💡 Никакой мисконфигурации не нужно — дефолтный дистрибутив уже уязвим.

Статья Проверка безопасности Elasticsearch, или «я вижу ваши индексы»

  • 355
  • 0
1783756626519.webp


🔥 Открытый Elasticsearch на 9200: кто вообще видит ваши данные?

Elasticsearch не «дырявый» — проблема почти всегда в окружении: случайно открытый порт, выключенная аутентификация, тестовый контейнер, ставший продом. И вот уже одни только названия индексов (payments-prod, auth-events, crm-contacts) рассказывают атакующему всё о вашем бизнесе.

В этом гайде — безопасная методология аудита собственной инфраструктуры: поиск хостов через masscan, Shodan и Censys, аккуратный просмотр индексов через _cat/indices без чтения документов, готовые Python-скрипты и чек-лист для отчёта. Плюс разбор реальных инцидентов на миллиарды записей — от CAM4 до Meow-атак.

💡 Практическое руководство для защитников и специалистов по аудиту, которые хотят закрыть 9200 раньше, чем это сделает кто-то другой.

Статья Уязвимости IP-камер GeoVision CVE-2026-42364: command injection и privilege escalation в LPC2011/LPC2211

  • 309
  • 0
Разобранная IP-камера GeoVision на антистатическом коврике с обнажённой платой. Рука в перчатке держит логический пробник, монитор отображает код уязвимости.


🔐 Cisco Talos раскрыл 7 CVE в GeoVision LPC2011/LPC2211: CVE-2026-42364 (OS command injection, CVSS 9.9) и CVE-2026-42368 (privilege escalation, CVSS 9.9) в связке дают root через веб-интерфейс камеры на КПП или парковке.

CGI-обработчик DdnsSetting.cgi в прошивке 1.10 передаёт параметры напрямую в shell без санитизации — инъекция через `;` или `$(...)` исполняется от root. CVE-2026-42368 (CWE-266) открывает привилегированные эндпоинты без проверки авторизации, а CVE-2026-42363 (CVSS 9.3) сливает credentials для первоначального доступа.

Kill chain по MITRE: T1190 → T1059.004 → T1068 → T1505.003 (web shell) → T1125 (video capture).

💡 SOC смотрит на эндпоинты — камера на КПП в VLAN физбезопасности молчит в Windows Event Log.

Статья Traefik ForwardAuth bypass уязвимость: двойной удар CVE-2026-35051 и CVE-2026-39858

  • 304
  • 0
Разобранное устройство на антистатическом коврике с перерезанной дорожкой платы. Диагностический экран отображает текст об уязвимости, пальцы в синих перчатках касаются платы логическим щупом.


🔐 Traefik ForwardAuth пропускает без credentials: CVE-2026-35051 и CVE-2026-39858 (CVSS 7.8) обходят аутентификацию одним заголовком — X-Forwarded-Prefix или X_Forwarded_Proto с underscore вместо дефиса.

CVE-2026-35051 бьёт по конфигурациям с trustForwardHeader=false за AWS ALB, Nginx или Cloudflare: Traefik не санитизирует X-Forwarded-Prefix, и клиентское значение уходит в auth-сервис (Authelia, oauth2-proxy) — тот возвращает 200 вместо 401. MITRE T1190 → T1078: за ForwardAuth сразу Grafana, Portainer, Kubernetes Dashboard.

CVE-2026-39858 — underscore-bypass: фильтр таргетирует только канонические дефисные заголовки, underscore-варианты проходят насквозь.

💡 trustForwardHeader=false считается «безопасной» настройкой — но X-Forwarded-Prefix она не блокирует.

Статья CVE-2026-45131 + CVE-2026-45132: уязвимость GitHub Actions — fork PR крадёт секреты CI/CD

  • 280
  • 0
Крупный план платы CI-раннера с вскрытым экраном, обгоревшим чипом и разветвлённой трассой к JTAG-порту. Надпись на плате: «CVE-2026-45131 · SECRETS EXFIL», оборванный кабель с меткой «DOCKERPASSWO...


💣 CVE-2026-45131 + CVE-2026-45132 (CVSS 10.0): анонимный GitHub-аккаунт, один fork PR — и Docker Hub credentials, PAT и SSH-ключ подписи коммитов утекли без единого клика со стороны maintainer'а.

Уязвимость живёт в триггере pull_request_target: он запускает workflow в привилегированном контексте base branch, но checkout тянет код из форка атакующего. Итог — T1195.001 Initial Access через вредоносный initContainer в Helm-шаблоне с зелёным бейджем Verified.

Фикс — коммит fcf9302. Но паттерн CWE-94 воспроизводится за 30 секунд через GitHub Code Search в тысячах репозиториев.

💡 Привилегированный workflow выглядит чистым — вредоносный код живёт в форке, EDR его не видит.

Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

  • 260
  • 0
Макрофотография сетевой платы на тёмном антистатическом коврике. Янтарный свет выхватывает маркировку «svcbackup» и гравировку «T1087 · ACCOUNT DISCOVERY · RISK 87», на краю платы светится синий св...


🧠 SIEM зелёный, дашборд чист — а svc_backup за 12 минут выполнила 340 LDAP-запросов к AD в 02:38 с неизвестного IP. Risk score UEBA: 87. Сигнатурных алертов: ноль. T1087 Account Discovery уже идёт.

Сигнатурные правила слепнут там, где атакующий входит с валидным паролем и работает через net.exe, WMI и cmd.exe — инструменты штатного администратора. CrowdStrike 2025: большинство атак malware-free. IBM X-Force фиксирует рост AI-фишинга в 11,4 раза быстрее ручного.

UEBA строит поведенческий baseline по Event ID 4624/4769, NetFlow, DNS и M365-телеметрии.

💡 SOC смотрит на алерты — UEBA смотрит на паттерны. Разница: часы против недель незамеченного lateral movement.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 818
Сообщения
347 270
Пользователи
161 742
Новый пользователь
Valiotsudablyad