по шкале CVSS — 10 баллов из 10). С начала октября 2023 г. злоумышленники активно эксплуатируют эту уязвимость для несанкционированного доступа к системам хранения корпоративных знаний. Об этом

осорганам в срочном порядке обновить имеющийся у них парк устройств, которые могут содержать данную уязвимость.

учить полный доступ ко всему её функционалу. Или просто вызвать сбой в её работе. Фото: Cisco Новую уязвимость в IOS и IOS XE оценивают как угрозу средней степени, но она уже активно эксплуатир

сеть. Угроза получила высшую оценку по шкале CVSS — 10 баллов. Разработчики «1С-Битрикс» устранили уязвимость в обновленной версии CMS (23.850.0). Однако не все компании готовы проводить обнов

уязвимости, специалисты Qualys TRU пообещали, что не будут выкладывать в интернет демонстрационные эксплойты (proof-of-concept, PoC), но добавили, что не могут гарантировать, что этого не сдел

ют выполнять ряд команд в виде GET- и POST-запросов, отправляемых злоумышленниками. Рассматриваемая уязвимость сервера отправки сообщений Openfire была устранена в обновлениях этого ПО до верси

Команда перспективных исследований МТС RED ART (Advanced Research Team) компании МТС RED выявила уязвимость в популярном отладчике программного обеспечения Microsoft WinDbg. Эксперт МТС RED

, коих в мире около 500 млн. как Как пишет портал Hacker News, киберпреступники взяли на вооружение уязвимость CVE-2023-40477, найденную и устраненную в августе 2023 г., и с ее помощью реализую

для новой уязвимости нулевого дня в браузере Chrome, уже четвёртой с начала этого года. Критическая уязвимость, получившая название CVE-2023-4863, относится к классу Heap buffer overflow (переп

тствия авторизации для критических функций в Juniper SRX. По данным экспертов watchTowr, именно эта уязвимость позволяет загрузку PHP-файла в закрытые каталоги под произвольным именем, причём е

Technologies Никиту Абрамова за обнаружение уязвимости в прошивке сетевых хранилищ Western Digital. Уязвимость могла привести к удаленному выполнению произвольного кода в хранилищах, потере дан

еле 2022 г. CNews сообщил о том, что в другом популярном архиваторе – бесплатном 7-Zip – содержится опасная уязвимость, при правильной эксплуатации которой можно повысить права пользователя на

, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн руб. — это в пять раз больше обычной выплаты по этим категориям п

нтр мониторинга и реагирования UserGate предупредил о новой критической уязвимости. CVE-2023-3519 – уязвимость, позволяющая неаутентифицированному пользователю удаленно выполнить произвольные к

Эксперт SolidLab Георгий Носеевич обнаружил уязвимость в платформе Jaeger, которая широко используется для распределенной трассировки, то

уктах, которой киберзлоумышленники начали активно пользоваться еще до того, как о ней узнал вендор. Уязвимость CVE-2023-3519 (9,8 балла по шкале угроз CVSS) затрагивает ряд вариантов NetScaler

ких решений. В результате экспертного анализа были получены следующие данные: 44% всех исследованных веб-ресурсов используют небезопасные системы управления содержимым, в которых периодически находят уязвимости различной степени опасности: WordPress, Joomla, Drupal, MODX, UMI.CMS, Sharepoint, Magento и Amiro.CMS. Так, например, WordPress на сегодняшний день имеет по меньшей мере 40 неисправ

Команда разработчиков НТЦ ИТ РОСА устранила недавно обнаруженную уязвимость StackRot в ядре Linux и выпустила обновление ядра с устранением проблемы. Пакет ke

кольку злоумышленники часто используют их в цепочках атак, и для многих из них существует публичный эксплойт». В ходе пилотных проектов по внедрению MaxPatrol VM трендовые уязвимости были обнар

После освобождения Сразу несколько версий ядра ОС Linux содержат серьезную уязвимость, позволяющую повысить системные привилегии пользователя. Баг, названный StackRot (

ивной эксплуатацией Более двух третей активных файерволлов Fortinet до сих пор содержат критическую уязвимость, патч для которой вышел в середине июня 2023 г. Об этом заявили эксперты ИБ-компан

я трендовой уязвимости, злоумышленнику в среднем требуется 24 часа. Когда эксплойт готов, трендовая уязвимость сокращает время взлома компании в среднем до 45 минут. Важно опередить атакующего.

ационной системы в одной из папок для хранения временных файлов межсетевого экрана. В свою очередь, уязвимость CVE-2023-22918 (6,5 балла) была опасна и для межсетевых экранов, и для точек досту

получать данные телеметрии и производить ограниченные манипуляции на стороне удаленного работника. Уязвимость считается высокоопасной, но не критической, поскольку для ее эксплуатации потенциа

данные пользователей. В 2022 г. "Яндекс" решил навсегда повысить вознаграждение за каждую найденную уязвимость в 2 раза — например, теперь за поиск SQL-инъекций максимальная награда составляет

сообщили представители «Лаборатории Касперского». Как умный гаджет превращается в шпиона. Основная уязвимость анализируемой кормушки связана с использованием Telnet-сервера, в котором предусмо

ри этом Роскомнадзор не отрицает, что Рунет далеко не идеален в плане отсутствия брешей. «В российских информационных системах, включая сайты, системы баз данных, почтовые сервера, часто присутствуют уязвимости информационной безопасности», – говорится в публикации ведомства. Там же сказано, что эксплуатация этих «дыр» приводит, в том числе, к утечкам персональных данных, за которые, как со

20 мая Barracuda централизованно распространила на все свои доступные устройства патч, устранявший уязвимость, а 24 мая клиенты компании, чьи устройства были или могли быть взломаны, получили

ерволлы и VPN-устройства Прежде всего злоумышленники пытаются атаковать CVE-2023-28771, критическую уязвимость в файерволлах Zyxel, которая допускает инъекцию команд. «Баг» получил 9,8 балла по

олей. Работая над добавлением пакета экспертизы, Денис Алимов, эксперт Positive Technologies, нашел уязвимость CVE-2023-26593 (BDU:2022-05068), которая получила оценку 6,5 по шкале CVSS v3. Она

ных, Mimikatz для повышения привилегий и PsExec для удаленного выполнения команд или фреймворки типа Cobalt Strike для проведения всех этапов атаки. «Скомпрометированные учетные данные пользователей, уязвимости в ПО и методы социальной инженерии в большинстве случаев позволяют злоумышленникам проникать в корпоративную инфраструктуру и производить вредоносные действия, в том числе и атаки по

пасности компании Censys предупреждают, что около 19,5 тыс. VPN-роутеров Cisco угрожает критическая уязвимость, которую можно использовать для удаленного запуска команд в уязвимых системах. При

одолжить обеспечивать контроль защищенности инфраструктуры, но и ускорить реагирование на найденные уязвимости: помочь ИТ-специалистам, в зависимости от случая, оперативно устранять их либо при

Критическая «дыра» в «железе» Cisco В телефонных адаптерах Cisco модели SPA112 обнаружена опасная уязвимость, которая допускает удаленное выполнение кода, без необходимости прохождени

определенными параметрами без проверки его содержимого (CVE-2023-26059 (BDU:2023-01305)). Еще одна уязвимость, CVE-2023-26060 (BDU:2023-01304), позволяла преступникам осуществлять внедрение ша

одитель группы Cisco Talos Threat Intelligence & Interdiction, определенная доля ответственности за уязвимость сетевой инфраструктуры лежит на ее операторах. По словам специалиста, операторы за

, нацеленных на подсистему CommonLogFileSystem с июня 2022 г. В «Лаборатории» отмечают, что все эти эксплойты, по-видимому, разрабатывали одни и те же люди. С 2018 г. Microsoft нейтрализовала к

компонент middleware в enterprise-приложениях и полностью интегрирован в Microsoft .NET Framework. Уязвимость может быть использована как для первичного проникновения в сеть, так и для горизон

редством использования программ-вымогателей. Эта группа уже давно использует похожие, но уникальные эксплойты Common Log File System (CLFS). Эксперты компании видели как минимум пять различных

е не реализовано жесткое разграничение между критическими и некритическими системами, используя эту уязвимость, хакеры в теории могут добраться до подсистем, отвечающих за двигатель, тормоза, б