Форум информационной безопасности - Codeby.net

Статья SEO-poisoning атаки: kill chain, детекты и защита корпоративных пользователей

  • 278
  • 0
Макрофотография миниатюрного устройства на тёмном антистатическом коврике. Экран светится надписями о SEO-отравлении, магентовый свет выхватывает гравировку на корпусе, видны паяные контакты.


🧨 Разработчик гуглит «install Gemini CLI», копирует PowerShell-команду с первого результата — и через 30 секунд fileless-инфостилер тянет OAuth-токены и CI/CD-секреты. SOC не видит ни одного алерта. Кампанию задокументировали аналитики EclecticIQ.

Домены geminicli[.]co[.]com и claudecode[.]co[.]com клонируют легитимные страницы. PowerShell-cradle `irm | iex` грузит стилер в память, патчит PSEtwLogProvider, обходит AMSI — и параллельно честно ставит настоящий npm-пакет. Пользователь видит успех. MITRE T1608.006 → T1059.001 → T1036.005.

Детект строится на аномалии: browser → child script process.

💡 Email-контроли (SPF/DKIM, sandbox) здесь бессильны — вектор входа браузер, точка компрометации — поисковый запрос.

Статья Пивотинг по инфраструктуре threat intelligence: от одного домена до полной карты актора

  • 267
  • 0
Тёмная стеклянная сфера, расколотая на пять фрагментов с гравировкой доменных имён, соединена светящимися синими нитями на чёрном фоне.


🕵️ Один домен sempersim[.]su из фида ThreatFox — и четыре DNS-пивота позволили развернуть кластер из 25+ хостов: фишинг под iCloud, Xworm и Remcos на duckdns, CIDR-диапазон с 464 подозрительными доменами. Два часа, бесплатные инструменты.

Разбор идёт пошагово: пивот по IP 104.237.252[.]28 через Validin выявляет typosquatting-домены (lcloud.com[.]de), lookalike-поиск тянет цепочку к Bagle, расширение на /24 CIDR через pDNS возвращает 1468 доменов. MITRE T1596.001–T1596.005 — вся тактика Reconnaissance задействована.

Защитная сторона: те же техники — в обратную сторону.

💡 Акторы улучшают OPSEC реактивно — после публикации отчёта. До него инфраструктура открыта.

Статья Локальное повышение привилегий Linux через CVE-2026-46333: ptrace race condition от шелла до root

  • 314
  • 0
Плата одноплатного компьютера на чёрном антистатическом коврике со снятым экраном процессора. Тонкий щуп касается отладочного разъёма, у обгоревшей дорожки вьётся дымок.


🐧 CVE-2026-46333 в ptrace-ядре Linux: девять лет в mainline — и непривилегированный шелл читает /etc/shadow, угоняет SSH host keys или получает root через D-Bus hijack на дефолтных Debian 13, Ubuntu 24.04/26.04, Fedora 43/44.

Баг живёт в __ptrace_may_access(): при do_exit() SUID-бинаря (например, ssh-keysign) ядро освобождает mm — указатель становится NULL, проверка dumpable-флага пропускается. В этом окне гонки pidfd_getfd() копирует открытые FD привилегированного процесса к атакующему. YAMA при ptrace_scope=1 разрешает parent→child — оба барьера падают одновременно. MITRE T1548.001, CWE-269, CVSS 7.1.

Патч — ядра 5.10.256+ и 5.15.207+. Быстрый митигейшн: sysctl kernel.yama.ptrace_scope=2.

💡 Никакой мисконфигурации не нужно — дефолтный дистрибутив уже уязвим.

Статья Проверка безопасности Elasticsearch, или «я вижу ваши индексы»

  • 368
  • 0
1783756626519.webp


🔥 Открытый Elasticsearch на 9200: кто вообще видит ваши данные?

Elasticsearch не «дырявый» — проблема почти всегда в окружении: случайно открытый порт, выключенная аутентификация, тестовый контейнер, ставший продом. И вот уже одни только названия индексов (payments-prod, auth-events, crm-contacts) рассказывают атакующему всё о вашем бизнесе.

В этом гайде — безопасная методология аудита собственной инфраструктуры: поиск хостов через masscan, Shodan и Censys, аккуратный просмотр индексов через _cat/indices без чтения документов, готовые Python-скрипты и чек-лист для отчёта. Плюс разбор реальных инцидентов на миллиарды записей — от CAM4 до Meow-атак.

💡 Практическое руководство для защитников и специалистов по аудиту, которые хотят закрыть 9200 раньше, чем это сделает кто-то другой.

Статья Уязвимости IP-камер GeoVision CVE-2026-42364: command injection и privilege escalation в LPC2011/LPC2211

  • 328
  • 0
Разобранная IP-камера GeoVision на антистатическом коврике с обнажённой платой. Рука в перчатке держит логический пробник, монитор отображает код уязвимости.


🔐 Cisco Talos раскрыл 7 CVE в GeoVision LPC2011/LPC2211: CVE-2026-42364 (OS command injection, CVSS 9.9) и CVE-2026-42368 (privilege escalation, CVSS 9.9) в связке дают root через веб-интерфейс камеры на КПП или парковке.

CGI-обработчик DdnsSetting.cgi в прошивке 1.10 передаёт параметры напрямую в shell без санитизации — инъекция через `;` или `$(...)` исполняется от root. CVE-2026-42368 (CWE-266) открывает привилегированные эндпоинты без проверки авторизации, а CVE-2026-42363 (CVSS 9.3) сливает credentials для первоначального доступа.

Kill chain по MITRE: T1190 → T1059.004 → T1068 → T1505.003 (web shell) → T1125 (video capture).

💡 SOC смотрит на эндпоинты — камера на КПП в VLAN физбезопасности молчит в Windows Event Log.

Статья Traefik ForwardAuth bypass уязвимость: двойной удар CVE-2026-35051 и CVE-2026-39858

  • 320
  • 0
Разобранное устройство на антистатическом коврике с перерезанной дорожкой платы. Диагностический экран отображает текст об уязвимости, пальцы в синих перчатках касаются платы логическим щупом.


🔐 Traefik ForwardAuth пропускает без credentials: CVE-2026-35051 и CVE-2026-39858 (CVSS 7.8) обходят аутентификацию одним заголовком — X-Forwarded-Prefix или X_Forwarded_Proto с underscore вместо дефиса.

CVE-2026-35051 бьёт по конфигурациям с trustForwardHeader=false за AWS ALB, Nginx или Cloudflare: Traefik не санитизирует X-Forwarded-Prefix, и клиентское значение уходит в auth-сервис (Authelia, oauth2-proxy) — тот возвращает 200 вместо 401. MITRE T1190 → T1078: за ForwardAuth сразу Grafana, Portainer, Kubernetes Dashboard.

CVE-2026-39858 — underscore-bypass: фильтр таргетирует только канонические дефисные заголовки, underscore-варианты проходят насквозь.

💡 trustForwardHeader=false считается «безопасной» настройкой — но X-Forwarded-Prefix она не блокирует.

Статья Проверка подписи Stripe webhook: bypass-техники и реальные CVE на пентесте

  • 297
  • 0
Криминалистический стол с отладочной платой и USB-зондом. Экран ноутбука показывает ошибку пропущенной проверки подписи вебхука, рука в перчатке настраивает оборудование.


🔐 Semgrep-скан 40 open-source проектов с Stripe-интеграцией выявил: 14 из них не вызывают constructEvent() вообще — CVE-2026-21894 в n8n подтвердил, что паттерн живёт в продуктах с десятками тысяч инсталляций.

Webhook-эндпоинт принимает POST, парсит JSON, читает type: "payment_intent.succeeded" и запускает бизнес-логику без единой проверки заголовка Stripe-Signature. По MITRE T1190 — это Initial Access одним HTTP-запросом: никакого lateral movement, privilege escalation, закрепления. Endpoint предсказуем: /webhooks/stripe, /api/webhooks/payment. GitHub Code Search по "payment_intent.succeeded" NOT constructEvent находит тысячи файлов.

💡 Webhook-эндпоинт обрабатывает бизнес-события — ни один Sigma-rule из коробки его не мониторит. Слепая зона SIEM.

Статья CVE-2026-45131 + CVE-2026-45132: уязвимость GitHub Actions — fork PR крадёт секреты CI/CD

  • 298
  • 0
Крупный план платы CI-раннера с вскрытым экраном, обгоревшим чипом и разветвлённой трассой к JTAG-порту. Надпись на плате: «CVE-2026-45131 · SECRETS EXFIL», оборванный кабель с меткой «DOCKERPASSWO...


💣 CVE-2026-45131 + CVE-2026-45132 (CVSS 10.0): анонимный GitHub-аккаунт, один fork PR — и Docker Hub credentials, PAT и SSH-ключ подписи коммитов утекли без единого клика со стороны maintainer'а.

Уязвимость живёт в триггере pull_request_target: он запускает workflow в привилегированном контексте base branch, но checkout тянет код из форка атакующего. Итог — T1195.001 Initial Access через вредоносный initContainer в Helm-шаблоне с зелёным бейджем Verified.

Фикс — коммит fcf9302. Но паттерн CWE-94 воспроизводится за 30 секунд через GitHub Code Search в тысячах репозиториев.

💡 Привилегированный workflow выглядит чистым — вредоносный код живёт в форке, EDR его не видит.

Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

  • 274
  • 0
Макрофотография сетевой платы на тёмном антистатическом коврике. Янтарный свет выхватывает маркировку «svcbackup» и гравировку «T1087 · ACCOUNT DISCOVERY · RISK 87», на краю платы светится синий св...


🧠 SIEM зелёный, дашборд чист — а svc_backup за 12 минут выполнила 340 LDAP-запросов к AD в 02:38 с неизвестного IP. Risk score UEBA: 87. Сигнатурных алертов: ноль. T1087 Account Discovery уже идёт.

Сигнатурные правила слепнут там, где атакующий входит с валидным паролем и работает через net.exe, WMI и cmd.exe — инструменты штатного администратора. CrowdStrike 2025: большинство атак malware-free. IBM X-Force фиксирует рост AI-фишинга в 11,4 раза быстрее ручного.

UEBA строит поведенческий baseline по Event ID 4624/4769, NetFlow, DNS и M365-телеметрии.

💡 SOC смотрит на алерты — UEBA смотрит на паттерны. Разница: часы против недель незамеченного lateral movement.

Статья Пентест VPN-инфраструктуры: методология проверки Check Point, Fortinet и Cisco на уязвимости аутентификации

  • 290
  • 0
Сломанный латунный ключ на чёрном антистатическом коврике, разлом обнажает корродированные внутренние механизмы. Жёсткий боковой свет выхватывает место излома на фоне глубокой тени.


🔐 CVE-2026-50751 (CVSS 9.3) в Check Point Gaia OS эксплуатируется с 7 мая: deprecated IKEv1 позволяет войти в корпоративную сеть без пароля — CISA дала 3 дня на патч, EPSS 0.70, top 1% всех известных CVE.

Статья даёт пошаговую методологию пентеста VPN-шлюзов Check Point, Fortinet и Cisco с фокусом на аутентификацию. Kill chain: ike-scan fingerprinting → проверка четырёх предусловий уязвимости → nuclei -t CVE-2026-50751.yaml → ручная верификация сессии. Параллельно — CVE-2026-50752 (CWE-295, MitM на IKEv1 site-to-site, CVSS 7.4).

💡 IDS видит легитимного сотрудника — VPN-сессия без пароля не триггерит алерт. Windows Event Log молчит.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 823
Сообщения
347 281
Пользователи
161 765
Новый пользователь
akidraSMR