пользовались уязвимости из реестра уязвимостей компании MITRE Common Vulnerabilities and Exposures (CVE), который де-факто является на сегодняшний день основным стандартом в области унифицирова

ТК-Солар» объектов оценивается в 8,33 балла из 10 возможных, а уровень критичности выявленных в них уязвимостей по шкале CVSS 3.0 составляет 7,74 балла. Банк данных угроз ФСТЭК России — это отк

Компания «Ростелеком-Солар» запустила первый российский сервис контроля уязвимостей (Vulnerability Management) в рамках экосистемы Solar MSS. Решение предоставляется из Национальной облачной платформы «Ростелекома». Помимо инструментального сканирования инфраструкт

НПФ «Энергосоюз» устранила ряд уязвимостей в своем программном обеспечении для сбора технологических данных и диспетчерского

и корпоративных сетях бизнеса и госучреждений. Об этом CNews сообщили представители «СкайДНС». Сервис был кардинально переработан. Он получил новые категории опасных сайтов для сканирования возможных уязвимостей, новые списки вирусных сайтов для тестирования правил фильтрации, новую логику работы и, наконец, новый дизайн. Сервис будет полезен не только для разовых проверок правил доступа к

Ворованные баг-репорты на продажу Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешно продавал их затронутым клиентам. Согласно информации, опубликованной на официальном сайте HackerOne, мошенник за время работы в компании по

ять лет назад. Однако в 2016 г. его по ошибке вернули в код и уже только в 2022 г. присвоили индекс CVE. Хакеры активно эксплуатировали эту уязвимость, прежде чем Apple ее исправила. CVE

яющая получать права суперпользователя (root) в задействованной системе. Уязвимости присвоен индекс CVE-2021-44731. Степень угрозы оценивается в 7,8 балла по шкале CVSS. Проблема заключалась в

продуктов. Наследное дело Основная часть уязвимостей, исправленных HP, унаследованные. В частности, CVE-2022-0778 — это та же ошибка в обработке (парсинге) сертификатов безопасности, которую ра

енные устройства под управлением Android OS. В ходе атак использовались четыре уязвимости в Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000 и CVE-2021-38003) и одна

включает 17 рекомендаций по 19 уязвимостям в Cisco ASA, FMC и FTD. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения для управле

ержат уязвимости, связанные с ошибками в памяти. В выпущенном бюллетене компании перечислены восемь уязвимостей, наиболее серьезная из которых получила 7,9 балла по шкале CVSS, и еще две — 7,3

кста уязвимости. В качестве единицы учета было принято взять универсальный идентификатор уязвимости CVE или БДУ ФСТЕК, и только при их отсутствии — собственные идентификаторы сканера. Главной п

сети с ПЛК. Степень опасности выявленных уязвимостей варьируется от 5,9 до 7,4 по шкале CVSS v3.1: CVE-2022-25155 (5,9), CVE-2022-25156 (5,9), CVE-2022-25159 (5,9), CVE-20

оснулись логики обогащения индикаторов компрометации, работы с инструментом бюллетеней и карточками уязвимостей, а также произошли серьезные изменения в интерфейсе системы. В новой версии R-Vis

рода было выявлено в портативных компьютерах китайского вендора. Уязвимости получили идентификаторы CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972. Две из них позволяют злоумышленни

ов среди вредоносного ПО, повышение интенсивности атак на криптобиржи, появление критически опасных уязвимостей, которые сразу же эксплуатировались злоумышленниками во множестве организаций по

Для 75% уязвимостей, найденных в инфраструктурах российских организаций, есть простые способы устранения, включая патч-менеджмент. Однако они до сих пор остаются незакрытыми, следует из отчета «Ростеле

ализатора кода приложений Solar appScreener. В обновление вошла обнаруженная критическая уязвимость CVE-2022-22965, затрагивающая работу Java-фреймворка с открытым исходным кодом Spring. Баг по

Бреши в BIOS компьютеров Dell В BIOS компьютеров американской компании Dell найдено пять новых уязвимостей, пишет The Hacker News. С их помощью потенциальный злоумышленник может выполнить

звимость, позволяющая получать права суперпользователя (root) в системе. Уязвимости присвоен индекс CVE-2021-44731. Степень угрозы оценивается в 7,8 балла по шкале CVSS. Проблема заключалась в

лемы вызывают три уязвимости, получившие 10 из 10 возможных баллов по шкале угроз CVS. Одна из них, CVE-2022-20699 — уязвимость в модуле SSL VPN в роутерах Dual WAN Gigabit VPN RV340, RV340W, R

В отношении системы дистанционного банковского обслуживания Челябинвестбанка InvestPay проведен анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами ИТ-компании «Инфосистемы Джет». В ход

Unix по всему миру. Об этом стало известно 25 января 2022 г. из отчета экспертов Qualys. Уязвимость CVE-2021-4034 затрагивает утилиту pkexec инструмента Polkit, который управляет привилегиями п

ть позволяет обходить авторизацию на устройствах. Всем уязвимостям, связанным с инъекцией команд, - CVE-2021-44453, CVE-2021-22657, CVE-2021-23198, CVE-2021-43981 и CVE<

ыступает системой аутентификации и авторизации пользователей и приложений. Речь идет об уязвимостях CVE-2021-42287 и CVE-2021-42278, которые в ноябре 2021 г. обнаружил эксперт по кибербе

добавлены правила для поиска всех выявленных на текущий момент уязвимостей библиотеки Apache Log4j: CVE-2021-44228 (оценка опасности угрозы по CVSS: 10/10 баллов) — критическая уязвимость удале

миру. Девять багов Эксперты выявили в общей сложности девять уязвимостей, которым присвоены индексы CVE-2020-10368 (утечка незашифрованных данных Wi-Fi, архитектурная проблема), CVE-2020

Б-компании Eset изучила географию попыток эксплуатации уязвимости в утилите ведения журналов Log4j (CVE-2021-44228), получившую название Log4Shell. Лидерами антирейтинга стали США, Великобритан

Россияне заплатят хакерам Компания Positive Technologies, работающая в сфере информационной безопасности, намерена запустить в России отечественную платформу по поиску уязвимостей в информационных системах. Об этом пишет «Коммерсант» со ссылкой на представителя компании. Другими словами, Positive Technologies готовит отечественный вариант известной международ

ивать владельца гаджета, разумеется, без его на то ведома. «Дыры» в чипах MediaTek получили индексы CVE-2021-0661, CVE-2021-0662 и CVE-2021-0663. Пока нет данных, в каких именно п

ку дальше. Примечательно, что для попадания внутрь сети злоумышленники использовали пачку связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) из группы P

Cisco ASA, такие как CVE-2020-3187, CVE-2020-3259 и CVE-2020-3452. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения в области v

м старте операционной системы. В другом случае хакеры обещали $25 тыс. за PoC-эксплойт к уязвимости CVE-2021-22893, критическому баг» в Pulse Secure VPN, которым к тому времени активно пользова

, разработанной скандально известной израильской фирмой NSO Group. Уязвимости получили наименования CVE-2021-30858 и CVE-2021-30860; обе позволяют использовать специально подготовленные

Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респонден

Летнее сканирование Киберзлоумышленники активно эксплуатируют набор уязвимостей под общим названием ProxyShell в Microsoft Exchange для установки бэкдоров. Атака

CODESYS Control V2 communication, которая позволяет встраиваемым PC-системам выполнять функции ПЛК (CVE-2021-30186, CVE-2021-30188); получение доступа к файловой системе контроллера с пр

Maxnet. Он работает в Калуге, Обнинске и ряде других населенных пунктов. Со слов Демидова, в середине 2020 г. он предложил своему руководству провести проверку всех роутеров на предмет наличия в них уязвимостей. Свою инициативу он мотивировал тем, что при общении с абонентами Maxnet он заметил, что большая их часть не меняет базовые настройки своих маршрутизаторов. «Через уязвимости в роут

вредоносные сэмплы, с помощью которых удалось выявить сразу две уязвимости нулевого дня в Windows: CVE-2021-31979 и CVE-2021-33771. Обе уязвимости позволяют повышать привилегии в контек