ия для уязвимости нулевого дня, позволявшей хакерам встраивать бэкдоры прямо в файерволлы компании. Уязвимость находилась под активной эксплуатации с конца марта. Злоумышленники успешно устанав

8 г. во время плановых сканирований контроллеров управления серверными платами. Эксперты обнаружили уязвимость удаленного считывания за пределами границ out-of-bounds через веб-сервер Lighttpd,

ю проблему в сетевых накопителях D-Link, потенциально затрагивающую 92 тыс. устройств во всём мире. Уязвимость, позволяющая запускать произвольную команду в программной оболочке устройств, и вс

облемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Успешная эксплуатация этой уязвимос

Критическая уязвимость в Rust В стандартных библиотеках ряда популярных языков программирования, включая

Найдена незащищенность в ОС Исследователи из Bitdefender обнаружили четыре уязвимости в нескольких версиях WebOS — ОС, используемой в умных телевизорах LG. Эти недостат

ие 12 часов). Эксперты собрали топ уязвимостей, которые активно эксплуатировались в прошлом месяце. Уязвимость удаленного выполнения кода с помощью внедрения SQL-кода в FortiClient EMS CVE-2023

В системе ИТ-мониторинга Nagios XI устранены уязвимости, выявленные экспертом Positive Technologies. Разработчики системы мониторинга ИТ-инфраструктуры Nagios XI поблагодарили старшего специалиста Positive Technologies Алексея Соловьева з

Фундаментальная уязвимость Новый метод DoS-атаки под названием Continuation flood на HTTP/2 был обнаружен Бар

рая, старая сказка На протяжении 11 лет в наборе util-linux, одном из компонентов Linux, скрывалась уязвимость, которая позволяет злоумышленнику, не обладающему какими-либо системными привилеги

ся для построения распределенных систем управления (РСУ) на предприятиях и предназначены для автоматизации крупных производств непрерывного цикла. ABB является лидером мирового рынка РСУ с долей 20%. Уязвимости CVE-2023-0425 и CVE-2023-0426 (доступ из России — через VPN) получили одинаковую оценку 8,6 по шкале CVSS v3.1, которая означает высокий уровень опасности. Специалисты отдела анализа

я, используемый в приложениях, которые предназначаются для обработки данных. «В Kubernetes выявлена уязвимость, благодаря которой пользователь, обладающий возможностью создавать поды и постоянн

ти, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В ней каждая уязвимость получает уникальный идентификационный номер формата «CVE-год-номер», описание и ря

и вмешаться в технологический процесс. Об этом CNews сообщили представители Positive Technologies. Уязвимость была обнаружена в преобразователях NPort W2150a и W2250a. Эти устройства позволяют

ателей в сеть злоумышленников, имитируя легитимную, к которой пользователь недавно подключался. Эта уязвимость может представлять даже большую проблему, поскольку данный пакет по умолчанию отве

ие 12 часов. В топ эксперты собрали уязвимости, которые активно эксплуатировались в прошлом месяце. Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy CVE-2024-21762 (CV

irectory (AD). В открытом проекте FreeIPA по итогам динамического анализа web-приложения обнаружена уязвимость CVE-2024-1481. В результате специально созданного HTTP-запроса она позволяет неавт

нцентрировались на поиске слабых мест в веб-приложениях и набирают «фактуру» для реализации новых атак на российские компании. Подобное наблюдалось в 2022 г.: в первом полугодии хакеры активно искали уязвимости в веб-приложениях, а во втором реализовывали сложные целевые кибератаки с использованием этих «находок». Блокировка IP-адресов по черным спискам — еще один тип событий ИБ, который ча

ности внешнего ИТ-периметра Solar CPT (Continuous Penetration Testing). Сервис выявляет критические уязвимости и недостатки меняющегося внешнего ИТ-периметра, которыми могут воспользоваться хак

Исследователи «Лаборатории Касперского» обнаружили в детском интерактивном роботе уязвимости, которые потенциально могли позволить злоумышленникам использовать камеру в игрушке для общения с ребёнком без ведома родителей. Эксперты компании уведомили производителя, и к настоя

ОNE Bug Bounty или Standoff 365 Bug Bounty. Ознакомиться и согласиться с условиями программы. Найти уязвимость. Отправить информацию об уязвимости через платформу. Дождаться подтверждения уязви

Безопасность отечественных средств защиты информации оказалась под угрозой — в популярном OpenSource-IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации). Об этом CNews сообщил представитель компании Ideco. Только за 2023 г. в результате «пробелов» в защи

ла Хакеры, работающие на спецслужбы различных государств, активно эксплуатируют сравнительно свежие уязвимости в VPN-устройствах Ivanti Connect Secure (ICS). Выявлены уже пять семейств вредонос

чем за 12 часов», — сказал Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Atlassian Conflu

тями нулевого дня. Как только вендор узнает о таком недостатке, становится крайне важно своевременно выпустить исправление, поскольку задержки позволяют злоумышленникам все чаще эксплуатировать такие уязвимости в своих атаках. Число обнаруженных уязвимостей постоянно растет: в 2023 г. их количество (28902) превысило показатели предыдущих двух лет на 42% и 14% соответственно. Кроме этого, ка

ами» — постоянная программа «Яндекса» по поиску уязвимостей. Любой желающий может попробовать найти уязвимость в продуктах компании, сообщить о ней и получить награду. Такой подход позволяет по

тронутыми критической уязвимостью, открывающую возможность для повышения привилегий до уровня root. Уязвимость непосредственно выявлена в GNU C Library (glibc), фундаментальном компоненте крупн

Пользователи облачной платформы Mos.Hub теперь могут проверить свой код на уязвимости статическим анализатором кода. Такая возможность появилась благодаря интеграции Mos.Hub с городской платформой безопасной разработки. Об этом CNews сообщили представители Департамент

Китае (42%), России (26%), Польше (7%), Тайване (4%), Германии (2%), Бразилии (2%), Индонезии (2%). Уязвимость относится к типу OS Command Injection (CWE-78) и позволяет внедрять команды операц

х размеров, вплоть до крупнейших корпораций. Фото: DC Studio / Фотобанк Freepik В Jenkins появилась уязвимость, позволяющая запустить произвольный код. Патчи безопасности уже выпущены Тем серье

защищены от этих угроз. Об этом сообщила в своем отчете за 2023 г. ИБ-компания «Инфосистемы Джет». Эксплойт — это ;программа, способная принести ущерб (например, зашифровать данные), которая и

е в бюллетене VMware появилось сообщение о том, что компании известны об успешной эксплуатации этой уязвимости. Подробностей вендор приводить не стал. Зато это сделала фирма Mandiant, которая з

ой компании. Мы также рекомендуем пользователям настраивать двухфакторную аутентификацию. Поскольку уязвимость дает злоумышленнику возможность отправлять запрос на сброс пароля на случайную эле

В процессорах семейства Intel, выпущенных за последние восемь лет, найдена уязвимость Downfall, позволяющая злоумышленникам похищать персональные данные пользователей, в том числе банковские, ключи шифрования и нарушать конфиденциальность. В числе жертв оказались физи

До уровня root Корпорация Cisco исправила критическую уязвимость в своем программном комплексе Unity Connection, которая в теории позволяла злоумыш

Уязвимости в постквантовом шифровании «Многочисленные уязвимости в механизме инкапсуляции ключей шифрования для постквантового шифрования Kyber могут приводить к тому, что ключи оказывается возможным извлечь», - утверждается в публикации издания B

Шило и мыло Попытка исправить критическую уязвимость в ERP-системе Apache OfBiz привела к появлению другой, также критической. Ранее в

и важную в реализации кампании «Операция Триангуляция». Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обходили аппаратную защ

огоквартирных жилых домах) с возможностью дистанционного управления нагрузкой». Первая обнаруженная уязвимость относится к критическому уровню опасности, а две другие — к высокому. Уязвимост

сперского» подверглись массовой хакерской атаке. Злоумышленники проэксплуатировали широко известную уязвимость «Операция триангуляция», которая присутствовала в iOS на протяжении как минимум че