российских организациях. 32% организаций не проверяют разрабатываемые или используемые приложения на защищенность. 59% организаций считают, что им необходимо усилить процессы мониторинга и устранения уязвимостей (24% компаний уже предпринимают необходимые меры, в 35% подобные меры не планируются). При этом практически каждая третья компания сталкивается с финансовым (31%) или репутационным

м компании откуда угодно через VPN-соединение с поддержкой SSL и IPsecIKEv2. Уязвимости с индексами CVE-2020-3433 и CVE-2020-3153 позволяют злоумышленникам, получившим локальный доступ к

ран СНГ. С помощью статического анализатора кода Solar appScreener в ГК «Хост» проверяет на наличие уязвимостей мобильные, серверные и веб-приложения, которые разрабатываются для различных зака

дня, то есть, вендор узнал о них уже после того, как началась их активная эксплуатация. Уязвимость CVE-2022-32893 присутствовала в компоненте WebKit (браузерный движок) и допускала запуск прои

у компаниями и независимыми исследователями. На платформе организации размещают программы по поиску уязвимостей, в которых участвуют багхантеры. «На глобальном рынке программы bug bounty уже до

По результатам исследования Positive Technologies, в среднем на один сайт приходится 15 уязвимостей, две из которых — высокой степени риска. Уязвимости в приложениях (а именно — оши

ойта (PoC) к одной из критических уязвимостей, недавно выявленных в продуктах компании. Речь идет о CVE-2022-31656 — баге, который позволяет злоумышленникам обходить авторизацию и получать адми

VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить недо

В бюллетене FEMA подчёркивается, что проблема абсолютно реальна и что для того, чтобы защититься от уязвимостей, все организации, связанные с системой оповещения, должны срочно установить прогр

разведки в домене и сбора доменных записей пользователей, попытки эксплуатации уязвимостей из базы CVE и другие опасные действия. Добавленный пакет экспертизы содержит правила корреляции, осно

Стоп машина Ряд уязвимостей во встраиваемых сетевых устройствах для автомобилей производства китайской фирмы

пользовались уязвимости из реестра уязвимостей компании MITRE Common Vulnerabilities and Exposures (CVE), который де-факто является на сегодняшний день основным стандартом в области унифицирова

ТК-Солар» объектов оценивается в 8,33 балла из 10 возможных, а уровень критичности выявленных в них уязвимостей по шкале CVSS 3.0 составляет 7,74 балла. Банк данных угроз ФСТЭК России — это отк

Компания «Ростелеком-Солар» запустила первый российский сервис контроля уязвимостей (Vulnerability Management) в рамках экосистемы Solar MSS. Решение предоставляется из Национальной облачной платформы «Ростелекома». Помимо инструментального сканирования инфраструкт

НПФ «Энергосоюз» устранила ряд уязвимостей в своем программном обеспечении для сбора технологических данных и диспетчерского

и корпоративных сетях бизнеса и госучреждений. Об этом CNews сообщили представители «СкайДНС». Сервис был кардинально переработан. Он получил новые категории опасных сайтов для сканирования возможных уязвимостей, новые списки вирусных сайтов для тестирования правил фильтрации, новую логику работы и, наконец, новый дизайн. Сервис будет полезен не только для разовых проверок правил доступа к

Ворованные баг-репорты на продажу Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешно продавал их затронутым клиентам. Согласно информации, опубликованной на официальном сайте HackerOne, мошенник за время работы в компании по

ять лет назад. Однако в 2016 г. его по ошибке вернули в код и уже только в 2022 г. присвоили индекс CVE. Хакеры активно эксплуатировали эту уязвимость, прежде чем Apple ее исправила. CVE

яющая получать права суперпользователя (root) в задействованной системе. Уязвимости присвоен индекс CVE-2021-44731. Степень угрозы оценивается в 7,8 балла по шкале CVSS. Проблема заключалась в

продуктов. Наследное дело Основная часть уязвимостей, исправленных HP, унаследованные. В частности, CVE-2022-0778 — это та же ошибка в обработке (парсинге) сертификатов безопасности, которую ра

енные устройства под управлением Android OS. В ходе атак использовались четыре уязвимости в Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000 и CVE-2021-38003) и одна

включает 17 рекомендаций по 19 уязвимостям в Cisco ASA, FMC и FTD. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения для управле

ержат уязвимости, связанные с ошибками в памяти. В выпущенном бюллетене компании перечислены восемь уязвимостей, наиболее серьезная из которых получила 7,9 балла по шкале CVSS, и еще две — 7,3

кста уязвимости. В качестве единицы учета было принято взять универсальный идентификатор уязвимости CVE или БДУ ФСТЕК, и только при их отсутствии — собственные идентификаторы сканера. Главной п

сети с ПЛК. Степень опасности выявленных уязвимостей варьируется от 5,9 до 7,4 по шкале CVSS v3.1: CVE-2022-25155 (5,9), CVE-2022-25156 (5,9), CVE-2022-25159 (5,9), CVE-20

оснулись логики обогащения индикаторов компрометации, работы с инструментом бюллетеней и карточками уязвимостей, а также произошли серьезные изменения в интерфейсе системы. В новой версии R-Vis

рода было выявлено в портативных компьютерах китайского вендора. Уязвимости получили идентификаторы CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972. Две из них позволяют злоумышленни

ов среди вредоносного ПО, повышение интенсивности атак на криптобиржи, появление критически опасных уязвимостей, которые сразу же эксплуатировались злоумышленниками во множестве организаций по

Для 75% уязвимостей, найденных в инфраструктурах российских организаций, есть простые способы устранения, включая патч-менеджмент. Однако они до сих пор остаются незакрытыми, следует из отчета «Ростеле

ализатора кода приложений Solar appScreener. В обновление вошла обнаруженная критическая уязвимость CVE-2022-22965, затрагивающая работу Java-фреймворка с открытым исходным кодом Spring. Баг по

Бреши в BIOS компьютеров Dell В BIOS компьютеров американской компании Dell найдено пять новых уязвимостей, пишет The Hacker News. С их помощью потенциальный злоумышленник может выполнить

звимость, позволяющая получать права суперпользователя (root) в системе. Уязвимости присвоен индекс CVE-2021-44731. Степень угрозы оценивается в 7,8 балла по шкале CVSS. Проблема заключалась в

лемы вызывают три уязвимости, получившие 10 из 10 возможных баллов по шкале угроз CVS. Одна из них, CVE-2022-20699 — уязвимость в модуле SSL VPN в роутерах Dual WAN Gigabit VPN RV340, RV340W, R

В отношении системы дистанционного банковского обслуживания Челябинвестбанка InvestPay проведен анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами ИТ-компании «Инфосистемы Джет». В ход

Unix по всему миру. Об этом стало известно 25 января 2022 г. из отчета экспертов Qualys. Уязвимость CVE-2021-4034 затрагивает утилиту pkexec инструмента Polkit, который управляет привилегиями п

ть позволяет обходить авторизацию на устройствах. Всем уязвимостям, связанным с инъекцией команд, - CVE-2021-44453, CVE-2021-22657, CVE-2021-23198, CVE-2021-43981 и CVE<

ыступает системой аутентификации и авторизации пользователей и приложений. Речь идет об уязвимостях CVE-2021-42287 и CVE-2021-42278, которые в ноябре 2021 г. обнаружил эксперт по кибербе

добавлены правила для поиска всех выявленных на текущий момент уязвимостей библиотеки Apache Log4j: CVE-2021-44228 (оценка опасности угрозы по CVSS: 10/10 баллов) — критическая уязвимость удале

миру. Девять багов Эксперты выявили в общей сложности девять уязвимостей, которым присвоены индексы CVE-2020-10368 (утечка незашифрованных данных Wi-Fi, архитектурная проблема), CVE-2020

Б-компании Eset изучила географию попыток эксплуатации уязвимости в утилите ведения журналов Log4j (CVE-2021-44228), получившую название Log4Shell. Лидерами антирейтинга стали США, Великобритан