Страховая группа «Согаз» расширяет программу по поиску уязвимостей и предлагает багхантерам проверить защищенность дочерней компании СК «Согаз-Жизнь

Российская розничная сеть «Магнит» объявила о переводе своей программы для поиска уязвимостей, запущенной на площадке Standoff Bug Bounty, в публичный режим. После успешного закрытого этапа, стартовавшего в феврале 2024 г., к тестированию привлекается около 30 тыс. исследова

аки начинаются с эксплуатации проблем, допускающих инъекции команд, и других известных уязвимостей: CVE-2023-41345–CVE-2023-41348 — инъекции команд операционной системы (ОС) через модули

оторых случаях атаки фиксировались уже через несколько часов после выхода обновления или публикации CVE. «Мы видим устойчивую тенденцию: чем дольше компания откладывает установку критического о

ю системы управления уязвимостями MaxPatrol VM — 2.10. Среди главных обновлений — ускорение расчета уязвимостей в два раза, повышение качества детектирования в три раза и новые отчеты в формате

ие, что хакеры проводили широкую разведку местности, чтобы оценить практический потенциал указанных уязвимостей». Пользователям затронутых продуктов настоятельно рекомендуется накатить давно вы

повысить привилегии, в службе удаленного доступа Remote Access Connection Manager — PT-2025-42115 (CVE-2025-59230, CVSS — 7,8). Злоумышленник, получив первоначальный доступ к устройству, может

«БКС Банк» запускает открытую программу для поиска уязвимостей в ключевых цифровых сервисах. Этот шаг стал логичным продолжением закрытого этапа тестирования на площадке Standoff Bug Bounty, подтвердив последовательный подход бизнеса к укреплен

(RediShell), Oracle E‑Business Suite и VMware Tools. Об этом CNews сообщили представители R-Vision. CVE-2025-59287 | BDU:2025-12999: Уязвимость удаленного выполнения кода в WSUS CVSS: 9.8 | Век

рекомендации по исправлению: система предлагает готовые варианты по рекомендации и улучшению кода. Можно представить, сколько времени тратил аналитик на самостоятельный разбор, оценку, категоризацию уязвимостей, сверяя данные вручную. Теперь данные для анализа можно получить из нескольких LLM. Например, выбрать из выпадающего списка GigaChat для общей оценки, а затем локальную модель, и ср

ельцев. Подавляющее большинство таких хакеров работают за деньги – заказчик платит им на нахождение уязвимостей, чтобы затем устранить их. Часто услуги «белых» хакеров обходятся намного дешевле

в контроллерах Mitsubishi Electric пять уязвимостей, связанных с удаленным выполнением кода (RCE): CVE-2024-0802, CVE-2024-0803, CVE-2024-1915, CVE-2024-1916 и CVE-

Эксперты по кибербезопасности компаний RED Security и CICADA8 сообщают о появлении волны кибератак с эксплуатацией уязвимостей в продукте для видеоконференцсвязи TrueConf. Этот метод позволяет злоумышленникам взламывать инфраструктуры российских организаций, удаленно заражать их вредоносным ПО и затем разви

rity, под угрозой миллионы устройств. Выявить уязвимости экспертам удалось посредством анализа скомпилированных (двоичных) файлов BlueSDK, без доступа к его исходному коду. Все они получили индексы с CVE-2024-45431 по CVE-2024-45434. Угроза от первой из них оценивается как низкая, от последней - как высокая, остальные две - средней степени серьезности. Самая опасная уязвимость связан

ации «белых» хакеров, которая предполагает полную передачу регулирования всех мероприятий по поиску уязвимостей силовому блоку, пишет РБК, ссылаясь на информацию своих источников в госорганах и

ачительное ухудшение ситуации с информационной безопасностью в российских организациях — количество уязвимостей в корпоративной инфраструктуре выросло на 28% по сравнению с аналогичным периодом

Специалисты группы исследования уязвимостей Bi.Zone обнаружили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В комбинации они позволяют выпол

Компания «Нейроинформ», специализирующаяся на анализе и оценке киберрисков, изучила динамику уязвимостей в российских компаниях в III квартале 2025 г. По данным экспертов, в III квартале 2025 г. объем уязвимостей в инфраструктуре предприятий увеличился на 28% по сравнению с анал

По данным центра расследования киберугроз Solar 4RAYS группы компаний «Солар» в III квартале 2025 г. доля обнаруженных уязвимостей в ИИ-сервисах составила 5%, ранее подобных случаев не фиксировалось. Всплеск происходит впервые, возможно, из-за растущего тренда на «вайбкоддинг» – генерации кода с помощью ИИ без

BI.Zone и Сбербанк проанализировали динамику возникновения уязвимостей и скорость реагирования компаний на появляющиеся угрозы. Об этом CNews сообщили п

рпоративных сетях компаний России и стран СНГ встречались следующие угрозы ИБ: попытки эксплуатации уязвимостей на периметре, активность вредоносного ПО, а также потенциальные нарушения регламе

нные об уязвимости, как вендор ПО, в котором она обнаружена, ее описание, наличие эксплоитов, PoC и CVE в каталоге известных эксплуатируемых уязвимостей (KEV). Также учитывается наличие детекта

тября 2025 г. в интернете было доступно более 48 тыс. экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России. PT-2025-39420

Аналитики R-Vision в сентябре выделили несколько CVE, которые уже эксплуатируются или могут представлять серьезную угрозу. Об этом CNews сообщ

ии продукта Vulnerability Scanner, которая значительно расширяет возможности по выявлению и анализу уязвимостей. В обновлении усилена интеграция с НКЦКИ, добавлены новые базы знаний, расширен ф

Оперативная комбинация Серия уязвимостей, позволяющих повысить привилегии до уровня root, выявлены во нескольких крупных д

мостей критичны; WordPress-плагины — около 36% критических; Java-компоненты, включая Apache Tomcat (CVE-2025-31650), — около 61%; веб-ПО сетевых устройств, включая PAN-OS (CVE-2025-0108)

Совместное исследование* «Лаборатории Касперского» и VDC Research показало, что только в 27% опрошенных промышленных предприятий в мире ежемесячно проводятся тесты на проникновение и поиск уязвимостей в автоматизированных системах управления технологическими процессами (АСУ ТП). Почти половина (48%) делает проверки раз в несколько месяцев, 17% — не более двух раз в год, а 7% — то

огут быть использованы злоумышленниками; Наличие нескольких источников баз уязвимостей из каталогов CVE/ БДУ/ НКЦКИ/OVALdb, увеличивает охват списка потенциальных угроз и скорость их выявления;

гие сервисы. Размер потенциального вознаграждения будет зависеть от уровня критичности обнаруженных уязвимостей и может достигать 100 тыс. руб. Зария Усманова, заместитель генерального директор

ктурного ПО для Enterprise-бизнеса Orion soft поделился первыми результатами участия в багбаунти программе на платформе Standoff Bug Bounty. Компании уже удалось выявить и устранить ряд некритических уязвимостей в системе виртуализации zVirt. Программа позволила вендору не только повысить уровень защищенности продукта, но и продемонстрировать свою приверженность безопасности и проактивному

щите. Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR PT-2025-26225 (CVE-2025-6218, CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, CVSS — 8,8) По данным иссле

низации киберпреступники эксплуатировали уязвимости. По прогнозам Coalition, в 2024 году количество уязвимостей в различных программных продуктах может увеличиться на 25%, то есть ежемесячно бу

Выпуск патчей для ошибок Ошибки Frostbyte10 в контроллерах Copeland ставят под угрозу работу систем охлаждения в зданиях и промышленных холодильниках по всему миру, пишет The Register. Десять ИТ-уязвимостей в контроллерах могли позволить хакерам манипулировать температурой и портить продукты питания и лекарства, что приводило к масштабным ИТ-сбоям в цепочках поставок. ИТ-уязвимости Fro

Аналитики компании R-Vision опубликовали дайджест трендовых уязвимостей августа — среди них критические уязвимости в популярных продуктах WinRAR, Сitrix

Критический дуэт Компания Xerox устранила две серьезные уязвимости в своей платформе FreeFlow Core, отслеживаемые как CVE-2025-8355 и CVE-2025-8356 соответственно. FreeFlow Core - это платформа автоматизации печати и управления рабочими процессами, которая помогает поставщикам услуг печати и внутренним

выявила ключевые изменения в тактиках его операторов. BI.Zone провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в кибератаках. Об этом CNews сообщили пре

уровня администратора, переполнение буфера, чтение или запись произвольных файлов и др. «Для нас крайне важно обеспечить безопасность данных наших пользователей, поэтому мы запустили программу поиска уязвимостей. Мы уверены, что привлечение внешних экспертов через платформу Standoff Bug Bounty повысит уровень защищенности нашего продукта и сделает его более надежным для заказчиков. Кроме то

ах Dell ControlVault3 затрагивают более 100 моделей ноутбуков Dell Обнаружены следующие уязвимости: CVE-2025-25050 (оценка по шкале CVSS: 8,8 балла) - уязвимость записи за пределами выделенного

Эксперты Positive Technologies и «1С-Битрикс» с 2023 г. сотрудничают для выявления потенциальных уязвимостей и усиления безопасности. Привлечение сторонней технической экспертизы позволяет «1С-Битрикс» обеспечить высокий уровень защиты данных и повышает устойчивость систем. Об этом CNews с