20.07.2023 |
Citrix залатала брешь в своем популярном продукте, но в системах клиентов успели обжиться хакеры
уктах, которой киберзлоумышленники начали активно пользоваться еще до того, как о ней узнал вендор. Уязвимость CVE-2023-3519 (9,8 балла по шкале угроз CVSS) затрагивает ряд вариантов NetScaler |
|
19.07.2023 |
RTM Group: сайты российских ИТ-компаний содержат уязвимости
ких решений. В результате экспертного анализа были получены следующие данные: 44% всех исследованных веб-ресурсов используют небезопасные системы управления содержимым, в которых периодически находят уязвимости различной степени опасности: WordPress, Joomla, Drupal, MODX, UMI.CMS, Sharepoint, Magento и Amiro.CMS. Так, например, WordPress на сегодняшний день имеет по меньшей мере 40 неисправ |
|
14.07.2023 |
НТЦ ИТ РОСА устранил уязвимости StackRot в ядре Linux
Команда разработчиков НТЦ ИТ РОСА устранила недавно обнаруженную уязвимость StackRot в ядре Linux и выпустила обновление ядра с устранением проблемы. Пакет ke |
|
13.07.2023 |
Positive Technologies: система MaxPatrol VM выявила в среднем более 700 трендовых уязвимостей в ходе одного пилотного проекта
кольку злоумышленники часто используют их в цепочках атак, и для многих из них существует публичный эксплойт». В ходе пилотных проектов по внедрению MaxPatrol VM трендовые уязвимости были обнар |
|
07.07.2023 |
В ядре Linux найдена серьезная «дыра», первая в своем роде
После освобождения Сразу несколько версий ядра ОС Linux содержат серьезную уязвимость, позволяющую повысить системные привилегии пользователя. Баг, названный StackRot ( |
|
05.07.2023 |
Две трети популярных файерволлов Fortinet полностью беззащитны перед хакерами. Производитель не закрывает «дыру»
ивной эксплуатацией Более двух третей активных файерволлов Fortinet до сих пор содержат критическую уязвимость, патч для которой вышел в середине июня 2023 г. Об этом заявили эксперты ИБ-компан |
|
29.06.2023 |
MaxPatrol VM 2.0: автоматизированный контроль соответствия стандартам и высокоскоростная доставка данных о трендовых уязвимостях за 12 часов
я трендовой уязвимости, злоумышленнику в среднем требуется 24 часа. Когда эксплойт готов, трендовая уязвимость сокращает время взлома компании в среднем до 45 минут. Важно опередить атакующего. |
|
28.06.2023 |
Positive Technologies помогла закрыть уязвимости в межсетевых экранах и точках доступа Zyxel
ационной системы в одной из папок для хранения временных файлов межсетевого экрана. В свою очередь, уязвимость CVE-2023-22918 (6,5 балла) была опасна и для межсетевых экранов, и для точек досту |
|
23.06.2023 |
В ПО Cisco нашли «брешь», позволяющую захватывать ПК под Windows
получать данные телеметрии и производить ограниченные манипуляции на стороне удаленного работника. Уязвимость считается высокоопасной, но не критической, поскольку для ее эксплуатации потенциа |
|
22.06.2023 |
«Яндекс» в 2,5 раза увеличил годовой фонд программы «Охота за ошибками» — до 100 млн руб.
данные пользователей. В 2022 г. "Яндекс" решил навсегда повысить вознаграждение за каждую найденную уязвимость в 2 раза — например, теперь за поиск SQL-инъекций максимальная награда составляет |
|
21.06.2023 |
Кормушки для прослушки: «Лаборатория Касперского» обнаружила уязвимости в популярных умных кормушках для домашних животных
сообщили представители «Лаборатории Касперского». Как умный гаджет превращается в шпиона. Основная уязвимость анализируемой кормушки связана с использованием Telnet-сервера, в котором предусмо |
|
09.06.2023 |
Роскомнадзор запретит иностранцам искать уязвимости в Рунете
ри этом Роскомнадзор не отрицает, что Рунет далеко не идеален в плане отсутствия брешей. «В российских информационных системах, включая сайты, системы баз данных, почтовые сервера, часто присутствуют уязвимости информационной безопасности», – говорится в публикации ведомства. Там же сказано, что эксплуатация этих «дыр» приводит, в том числе, к утечкам персональных данных, за которые, как со |
|
09.06.2023 |
Производитель средств защиты E-mail Barracuda заявил, что взломанное «железо» нужно заменить. Патчи не помогают
20 мая Barracuda централизованно распространила на все свои доступные устройства патч, устранявший уязвимость, а 24 мая клиенты компании, чьи устройства были или могли быть взломаны, получили |
|
07.06.2023 |
Устройства Zyxel под атаками хакеров. Компания объяснила пользователям, как им быть
ерволлы и VPN-устройства Прежде всего злоумышленники пытаются атаковать CVE-2023-28771, критическую уязвимость в файерволлах Zyxel, которая допускает инъекцию команд. «Баг» получил 9,8 балла по |
|
23.05.2023 |
Positive Technologies выпустила пакет экспертизы для выявления кибератак на системы Yokogawa и помогла закрыть опасную уязвимость
олей. Работая над добавлением пакета экспертизы, Денис Алимов, эксперт Positive Technologies, нашел уязвимость CVE-2023-26593 (BDU:2022-05068), которая получила оценку 6,5 по шкале CVSS v3. Она |
|
19.05.2023 |
«Госуслуги» прошли проверку «белыми хакерами»
с символикой проекта — если найдены небольшие баги, и денежные призы до 1 млн руб. — за критические уязвимости. В итоге максимальная выплата за найденный баг составила 350 тыс. руб., минимальна |
|
16.05.2023 |
Уязвимости в приложениях и вредоносные письма: «Лаборатория Касперского» назвала распространенные векторы атак программ-вымогателей в 2022 году
ных, Mimikatz для повышения привилегий и PsExec для удаленного выполнения команд или фреймворки типа Cobalt Strike для проведения всех этапов атаки. «Скомпрометированные учетные данные пользователей, уязвимости в ПО и методы социальной инженерии в большинстве случаев позволяют злоумышленникам проникать в корпоративную инфраструктуру и производить вредоносные действия, в том числе и атаки по |
|
12.05.2023 |
Cisco бросила на произвол судьбы владельцев 20 тыс. роутеров, к которым уже подбираются хакеры
пасности компании Censys предупреждают, что около 19,5 тыс. VPN-роутеров Cisco угрожает критическая уязвимость, которую можно использовать для удаленного запуска команд в уязвимых системах. При |
|
11.05.2023 |
«Ренессанс банк» устраняет уязвимости с помощью MaxPatrol VM
одолжить обеспечивать контроль защищенности инфраструктуры, но и ускорить реагирование на найденные уязвимости: помочь ИТ-специалистам, в зависимости от случая, оперативно устранять их либо при |
|
05.05.2023 |
Cisco отказалась закрывать критическую брешь в популярном устройстве и порекомендовала купить новую модель
Критическая «дыра» в «железе» Cisco В телефонных адаптерах Cisco модели SPA112 обнаружена опасная уязвимость, которая допускает удаленное выполнение кода, без необходимости прохождения процед |
|
19.04.2023 |
Благодаря исследованию Positive Technologies устранены уязвимости в системе Nokia NetAct для сотовых операторов
определенными параметрами без проверки его содержимого (CVE-2023-26059 (BDU:2023-01305)). Еще одна уязвимость, CVE-2023-26060 (BDU:2023-01304), позволяла преступникам осуществлять внедрение ша |
|
19.04.2023 |
США и Англия бьют тревогу: «русские» внедряются в сети через древние «дыры» в роутерах Cisco
одитель группы Cisco Talos Threat Intelligence & Interdiction, определенная доля ответственности за уязвимость сетевой инфраструктуры лежит на ее операторах. По словам специалиста, операторы за |
|
18.04.2023 |
«Касперский» нашел свежую брешь во всех серверных и клиентских Windows. На нее уже насели хакеры-вымогатели
ft об уязвимости нулевого дня, которую злоумышленники уже активно эксплуатировали в ходе кибератак. Уязвимость CVE-2023-28252 выявлена в подсистеме Windows CLFS (Common Log File System) — служб |
|
17.04.2023 |
Система обнаружения вторжений UserGate выявляет попытку эксплуатации уязвимости QueueJumper в сервисе Message Queuing для Windows
компонент middleware в enterprise-приложениях и полностью интегрирован в Microsoft .NET Framework. Уязвимость может быть использована как для первичного проникновения в сеть, так и для горизон |
|
13.04.2023 |
«Лаборатория Касперского» обнаружила атаки шифровальщиков с применением эксплойта нулевого дня
уязвимости в файловой системе Microsoft Common Log File System (CLFS). Злоумышленники использовали эксплойт, разработанный для различных версий и сборок ОС Windows, включая Windows 11, для поп |
|
13.04.2023 |
В микросхемах Samsung найдено 18 «дыр», которые могут привести к автокатастрофам
е не реализовано жесткое разграничение между критическими и некритическими системами, используя эту уязвимость, хакеры в теории могут добраться до подсистем, отвечающих за двигатель, тормоза, б |
|
11.04.2023 |
В брешь в ОС Fortinet, отвечающую за безопасность, ринулись хакеры для атак на чиновников и крупный бизнес
Ошибка обхода пути Уязвимость нулевого дня в FortiOS, которую компания Fortinet едва успела исправить, уже актив |
|
06.04.2023 |
Российский сервис от BI.ZONE защищает электронную почту от новой уязвимости Microsoft Outlook
О программной ошибке в MS Outlook стало известно в марте 2023 г. Критическую уязвимость под названием CVE-2023-23397 эксперты оценили на 9,8 из 10 по шкале CVSS. Злоумышл |
|
30.03.2023 |
Система обнаружения вторжений UserGate детектирует уязвимость в реализации ICMP для ОС Windows
e Protocol (ICMP) от Microsoft в ОС Windows. В подверженных версиях Windows драйвер tcpip.sys имеет уязвимость в управлении памятью. Она возникает при обработке фрагментированных ICMP-пакетов с |
|
29.03.2023 |
В Wi-Fi обнаружена фундаментальная «дыра». Все пользователи интернета под угрозой взлома
Опасный Wi-Fi Стандарт беспроводных сетей Wi-Fi содержит в себе опасную уязвимость, позволяющую злоумышленникам перехватывать весь пользовательский трафик. Когда име |
|
27.03.2023 |
Хуже Windows. Популярнейший дистрибутив Linux Ubuntu кишит уязвимостями нулевого дня
начале 2023 г. писал, что Ubuntu была установлена на 33,9% Linux-компьютеров в мире. Под термином «уязвимость нулевого дня» (0-day, zero day) подразумевается брешь в программном обеспечении, д |
|
09.03.2023 |
Создан инструмент для взлома Windows с помощью простого текстового файла
эксплуатации. Злоумышленнику нет необходимости получать повышенные привилегии в атакуемой системе. Уязвимость скрывается в системной библиотеке wwlib.dll. Для ее эксплуатации злоумышленнику до |
|
07.03.2023 |
В системе управления B&R APROL устранены уязвимости, выявленные Positive Technologies
APROL. Решение применяется в энергетической, машиностроительной, нефтегазовой, пищевой и других отраслях. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в новых версиях ПО. «Наибольшую опасность представляли три уязвимости, которые позволили бы злоумышленнику осуществить удаленное выполнение кода, — сказала Наталья Тляпова. — |
|
03.03.2023 |
«Дыра» в Java-фреймворке наделала шума в США. Все госорганы обязаны срочно установить обновления
Фото: © maxxyustas / Фотобанк Фотодженика Фреймворк ZK под активной атакой. CISA требует устранить уязвимость до мая 2023 года «Высокая популярность и распространенность программной разработки |
|
01.03.2023 |
Standoff 365 заплатит 1 млн рублей исследователям за собственные уязвимости
твердить защищенность своих сервисов и продемонстрировать заботу о безопасности клиентов. Багбаунти-программа Standoff 365 будет доступна для всех исследователей, а вознаграждение за наиболее опасные уязвимости составит 1 млн руб. В IV квартале 2022 г. количество атак хакеров на ИТ-компании увеличилось на 18%. Сфера ИТ вплотную приблизилась к тройке лидеров в списке самых атакуемых отраслей |
|
22.02.2023 |
Брешь высокой категории в открытом антивирусе сделала беззащитным сетевое ПО Cisco
9,8 балла Корпорация Cisco выпустила обновления к критической уязвимости в антивирусе ClamAV. Уязвимость допускала удаленный запуск произвольного кода на устройствах, где был установлен э |
|
21.02.2023 |
Apple проворонила брешь в iOS, iPadOS и macOS. В нее успели ринуться хакеры
ым злоумышленники уже активно пользовались для взлома смартфонов iPhone и персональных компьютеров. Уязвимость нулевого дня CVE-2023-23529 может вызывать отказ в работе операционной системы или |
|
01.02.2023 |
Positive Technologies помогла закрыть уязвимости в роутерах и других устройствах Zyxel
язвимом устройстве можно было выполнить некоторые системные команды, отправив HTTP-запрос. Еще одна уязвимость (CVE-2022-43390, оценка 5,4) связана, как и первая, с переполнением буфера. На мом |
|
31.01.2023 |
Даниил Чернов, «РТК-Солар»: Кибервойна определила вектор развития Application Security в 2022 году
Путает пол с потолком CNews: Как изменилось понятие «уязвимость приложений» за последнее время? Какие тренды вы здесь видите? Даниил Чернов: Пять |
|
25.01.2023 |
Positive Technologies: уязвимость в коммутаторах Zyxel представляла риск для бизнес-процессов во множестве компаний
Найденная экспертом Positive Technologies Никитой Абрамовым уязвимость (CVE-2022-43393) затрагивала десятки моделей коммутаторов Zyxel. Часть из них може |