Новый отчет по безопасности жд транспорта
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
ENISA
Risk Management: Helping the EU Railways Catch the Cybersecurity Train
Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways.
Forwarded from SecAtor
Компания VMware выпустила новый патч обновлений устраняющий две ошибки безопасности в vCenter Server и Cloud Foundation, которые могут быть использованы злоумышленником для получения удаленного доступа к конфиденциальной информации.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Текущий статус по сертификациям членов Московского отделения ISACA указан ниже на картинках. За 2020-2021 у ассоциации появилось довольно много новых сертификаций и у вас есть шансы стать первым получившим новый сертификат в Московском отделении.