⚠️⚠️Для опаснейшей веб-уязвимости Citrix Bleed2 появились рабочие эксплойты. Как защититься?

Что за уязвимость?
CVE-2025-5777  (оценка CVSS: 9.3) – это критическая уязвимость типа Out-of-Bounds Read (чтение за пределами выделенной памяти). Она позволяет неаутентифицированным атакующим получить доступ к участкам памяти, к которым они не должны иметь доступа.
Итог: утечка токенов сессий, учетных данных и системной информации, что приводит к полному обходу аутентификации.

Как это работает?
Злоумышленник отправляет POST-запрос в неверном формате (например, для "key=value" отсутствует "=value"). Сервер некорректно его обрабатывает и вместе с ответом отправляет 127 байт случайных данных из памяти. В них могут быть фрагменты переменных, куски кода, пароли, токены и прочая ценная информация. Повторяя запрос много раз, можно получать всё новые и новые 127 байт данных.
Обработав эту информацию, злоумышленник может, например, вычленить токены и перехватить пользовательскую сессию, подставить пароль и получить доступ к учетной записи пользователя. А дальше – развить атаку по сети организации.

Кто под ударом?
Проблема актуальна для NetScalerCitrix. Это сетевое решение, обеспечивающее удаленный доступ к веб-приложениям в распределённых корпоративных средах. Уязвимость может встречаться в устройствах, настроенных как шлюзы или виртуальные серверы авторизации и аутентификации. Это Citrix NetScaler ADC и Gateway.

Что делать?
1️⃣ Оперативно обновить ПО NetScalerCitrix до безопасных версий:
NetScaler ADC/Gateway 14.1-43.56+
NetScaler ADC 13.1-58.32+ 1.
2️⃣ Поставить WAF перед Citrix-сервером и установить на WAF триггер на брутфорс (rate limit).

📈С начала года каждая российская госорганизация столкнулась в среднем с 1 млн веб-атак, выяснили эксперты Вебмониторэкс

В половине случаев хакеры пытались взломать сайт жертвы с помощью брутфорса, то есть подбора пароля. При этом госсектор — единственная отрасль, где брутфорс стабильно находится на 1 месте в перечне атак на онлайн-ресурсы.

«Учетные записи на различных государственных порталах есть практически у каждого гражданина, при этом только небольшой процент пользователей задумывается о безопасности своих аккаунтов. Большинство же используют одинаковые или похожие учетные данные на разных ресурсах, а также редко их обновляют. Это увеличивает риски на фоне многочисленных утечек данных в последние годы. Взломав аккаунт пользователя, злоумышленник может не только получить всю информацию о человеке, но и совершать какие-то нелегитимные действия, например, взять кредит или провести сделку с недвижимостью, если на это не установлен самозапрет», - комментирует генеральный директор Вебмониторэкс Анастасия Афонина.
🔥Подробнее о выявленных нами трендах веб-атак на госсектор можете прочитать тут и тут ;)

Хакеры активно эксплуатируют уязвимость в Microsoft SharePoint Server CVE-2025-53770 (обход патча более ранней уязвимости CVE-2025-49704)

⭐Чтобы защитить веб-ресурсы, советуем своим клиентам:

1️⃣Оперативно обновить ПО SharePoint;

2️⃣Если это невозможно, установить виртуальный патч (vpatch) (виртуальные патчи для блокировки эксплуатации CVE-2025-53770 есть в решении ПроWAF).

⚡️Что за уязвимость и чем она опасна?

Критическая RCE-уязвимость CVE-2025-53770 обнаружена на локальных серверах Microsoft SharePoint. Через нее неавторизованный злоумышленник может запускать произвольный код в серверной части веб-приложения. В случае успеха, хакер получает полный контроль над сервером и может развить атаку дальше по инфраструктуре жертвы. Уязвимость крайне опасна, поэтому получила оценку в 9,8 балла по шкале CVSS.

👤Кто в опасности ?

SharePoint – это платформа для организации совместной работы, управления документами и автоматизации бизнес-процессов, разработанная компанией Microsoft. Описанная угроза актуальна для организаций, которые используют SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subnoscription Edition.

Новые угрозы 2025: как атакуют веб-приложения и как защититься

ИИ, API, токены, WAF — кажется, вы уже всё слышали? А если мы скажем, что методы атаки на веб-приложения меняются быстрее, чем появляются обновления?

В рамках IT IS CONF’25 в Екатеринбурге Лев Палей, директор по информационной безопасности «Вебмониторэкс», рассказывает, что происходит с веб-безопасностью прямо сейчас:

— Какие уязвимости становятся критичными в 2025 году
— Как злоумышленники используют искусственный интеллект
— Почему ошибки в конфигурации WAF и незаметные "дыры" обходят даже профессиональные системы защиты

🎙 Интервью ведёт Илья Шабанов, генеральный директор AM Медиа.

Смотрите и внедряйте — чтобы защищать, а не устранять последствия.

📺 ВК Видео

📺 YouTube

📺 RuTube

⚠️С какими веб-угрозами столкнулись российские компании в 1 половине 2025 года

Делимся с вами отчетом о веб-атаках, которые зафиксировали эксперты Вебмониторэкс с января по июнь 2025 года. Полный отчет можно найти здесь

А вот ключевые выводы:
✅Более 600 млн веб-атак зафиксировано с января по июнь 2025 года
✅Финансы – самая атакуемая отрасль, на одну финорганизацию в среднем пришлось 4, 1 млн атак
✅На втором месте ИТ – в среднем на одну компанию было совершено 2,6 млн веб-атак
✅Четверть всех атак с января по июнь – это XSS (межсайтовый скриптинг)
✅CVE-2021-44228 (Log4Shell) все еще в топе. С ее эксплуатацией связано 60% атак
✅В большинстве атак злоумышленники стараются найти старые веб-уязвимости, возраст которых составляет 10-15 лет

🗃Прочитали на днях интересную статью про протокол HTTP. Если кратко, то автор – директор исследований компании PortSwigger Джеймс Кеттелл – считает, что HTTP/1 морально устарел, тотально небезопасен и «must die».

➡️В чем проблема?
Основная «боль» HTTP/1 – десинхронизация между узлами (frontend/backend) приложения. Она возникает из-за разных имплементаций парсеров запросов. То есть фронтенд и бэкенд по-разному обрабатывают одни и те же данные, из-за чего возникает ошибка или неожиданное поведение приложения. В итоге у хакера появляется возможность реализовать атаку типа Request Smuggling.

➡️Как атаку используют злоумышленники?
Злоумышленник прячет вредоносный запрос внутрь легального (например, добавляет вредоносный префикс). Первый узел приложения видит только 1 запрос, считает его легальным и пересылает следующему узлу в сети. Тот, в свою очередь, в том же месте обнаруживает 2 запроса. Произошла десинхронизация между узлами и теперь атакующий может получать ответы, которые предназначались для обычного пользователя. Уязвимость позволяет получать запросы пользователей, обходить аутентификацию, красть сессии и куки.

➡️Это еще не все...
HTTP/1 неэффективный и медленный: поскольку каждый ресурс требует отдельного TCP-соединения, браузер вынужден открывать несколько одновременных соединений, чтобы ускорить загрузку.

Исследователь напоминает, что многие компании применяют более современный HTTP/2 лишь для клиентских соединений, а внутри инфраструктуры сохраняют HTTP/1, а значит, уязвимости остаются.

➡️Что делать?
🟠При сохранении HTTP/1 в любой части инфраструктуры сохраняется и риск полной компрометации приложений. Поэтому необходимо внедрять поддержку HTTP/2 на всех узлах сети, считает исследователь.

🟠Поскольку уязвим сам веб-сервер, стоит уделять внимание его поддержке и обновлениям.

🟠Если бизнес сфокусирован на взаимодействии в сети, то стоит обращать внимание на тенденции в ИБ и развитие технологий.

📌Линейка ПроAPI вошла в перечень совместимых с РЕД ОС продуктов

Вебмониторэкс подтвердил совместимость своих продуктов из линейки ПроAPI с операционной системой РЕД ОС. Ранее аналогичный сертификат совместимости получил межсетевой экран уровня приложений ПроWAF.

«Крупные компании и предприятия все активнее переходят на отечественный софт и им нужны ИБ-решения, которые легко интегрируются с уже внедренными технологиями. Совместимость с РЕД ОС расширяет возможности применения и упрощает интеграцию продуктов Вебмониторэкс как на объектах КИИ, так и в других организаций, которые придерживаются высоких стандартов кибербезопасности», — отметила генеральный директор компании Вебмониторэкс Анастасия Афонина.

«Партнерские программы, безусловно, являются для нас крайне важным направлением. Мы активно развиваем экосистему совместных решений с РЕД ОС, особенно в части кибербезопасности, чтобы гарантировать заказчикам не только технологичную, но и защищенную ИТ-среду. Мы уже сотрудничаем с Вебмониторэкс и уверены, что продукты компании помогут эффективно защищать бизнес от кибератак, взломов и утечек данных через веб-приложения», — прокомментировал заместитель генерального директора «РЕД СОФТ» Рустам Рустамов.

😎Приглашаем принять участие в вебинаре «ПроWAF: реальная защита веб-приложений, а не обещания»

Дата: 21 августа
Время (очно): 10:30
Время (трансляция): 11:00
Место: PROWAY Innovation Lab
(ул. Обручева 30/1 стр.1, 2 этаж)

📢 О чём поговорим:
Практика, а не обещания: где WAF действительно решает задачи, как быстро внедрить ПроWAF в продакшен и чем ПроWAF от Вебмониторэкс выигрывает у конкурентов. Разберём реальные кейсы, метрики эффективности и шаги интеграции без боли.

🎙 Спикеры и программа:

11:00 — 11:30 Дмитрий Конюк, продуктовый менеджер WAF
🟠Задачи, в которых применяется WAF
🟠Преимущества ПроWAF от Вебмониторэкс
🟠Простота внедрения и интеграции ПроWAF

11:30 — 11:50 Антон Майоров, менеджер по работе с партнерами и дистрибьюторами
🟠Портрет клиента: кто и для чего покупает решения
🟠Как решения Вебмониторэкс помогают клиенту: реализованные проекты и истории успеха
🟠Партнерская программа: условия, скидки, совместные маркетинговые активности
🟠Преимущества партнера, добавившего ПроWAF в свой портфель

11:50 – 12:10 Блок ответов на вопросы

Для кого:
➖Партнёры и дистрибьюторы, развивающие портфель защиты веб-приложений и API

🔗 Для участия онлайн регистрируйтесь по ссылке
Продолжительность: 70 минут

🔗 Регистрация для очного участия в PROWAY Innovation Lab (количество мест ограничено)
Продолжительность: 100 минут

📈Мы много говорим о применении разных ИБ-решений в теории. Но как оно выглядит на практике?

В новой статье на Хабре мы описали практические кейсы использования API Firewall на примере нашего ПроAPI Защита.

Разобрали кейсы, когда API Firewall блокирует:

✅неавторизованные запросы к API
✅запросы с неопределенными параметрами
✅ответы от Shadow API

▶️Приглашаем вас почитать подробнее здесь

📢Компании Angara Security и Вебмониторэкс объединяют экспертизу и технологии для прогрессивной защиты российских компаний от веб-атак. Теперь клиенты Центра киберустойчивости Angara SOC смогут подключить сервис защиты веб-приложений на базе решения ПроWAF от Вебмониторэкс.

✅Так как услуга предоставляется в формате сервиса, настройку и поддержку решения обеспечивает провайдер совместно с вендором. Это освободит клиента от рутинных задач и дополнительной нагрузки, связанной с обслуживанием WAF, а также от закупки и сопровождения оборудования.

«Выстраивание собственных ИБ-процессов, закупка и сопровождение соответствующего ПО требуют значительных финансовых и экспертных ресурсов. Поэтому многие компании передают эти задачи внешнему провайдеру. Для нас крайне важно обеспечить высокий уровень предоставляемых услуг, поэтому в качестве технологических партнеров для нашего SOC мы выбираем только проверенные компании. Мы доверяем компетенциям коллег из Вебмониторэкс и уверены, что наше совместное предложение будет востребовано у бизнеса», — рассказал директор Angara SOC Артем Грибков.

«Мультивендорный подход в построении ИБ-защиты может быть крайне выгоден для заказчика. Он позволяет выбрать самые прогрессивные технологии, представленные на рынке, и не замыкаться на единственном поставщике для всех классов решений (vendor lock-in). А возможность комбинировать экспертизу разных вендоров приводит к более комплексной и адаптивной защите. Angara SOC полностью построен на стеке отечественных решений, и мы рады присоединиться к этой экосистеме нашим решением ПроWAF», — заключила генеральный директор Вебмониторэкс Анастасия Афонина.

📢📢📢Обучающие вебинары от Вебмониторэкс возвращаются!

Сентябрь подкрался незаметно! Вот-вот стартует деловой сезон, а вместе с ним и новая серия наших ежеквартальных вебинаров для партнеров и заказчиков. Начнем с обучения по продукту ПроWAF.

Подключайтесь 4 и 5 сентября к двухдневному онлайн-курсу «Платформа адаптивной защиты веб-приложений и API Вебмониторэкс».

О чем расскажем:
🔘Архитектурные особенности платформы Вебмониторэкс
🔘Тонкая настройка платформы и ее компонентов
🔘Лайфхаки работы в личном кабинете
🔘Принципы выявления атак и поиска уязвимостей
🔘Детали работы с NGINX
И это еще не все!

Кому полезен курс:
🔘администраторам
🔘DevOps-специалистам
🔘инженерам и пресейл-инженерам

⏰Длительность курса: 2 дня по 5,5 часов

В конце обучения после успешного прохождения тестирования участникам будет выдан сертификат.

➡️Ссылки для регистрации:
4 сентября 10:00-15:30 — https://my.mts-link.ru/j/webmonitorx/webmonitorx-04-09-25
5 сентября 10:00-15:30 — https://my.mts-link.ru/j/webmonitorx/webmonitorx-05-09-25

⚠️Пожалуйста, зарегистрируйтесь на оба дня, ссылки на подключение будут разными!

Чтобы избежать проблем с подключением, рекомендуем использовать последнюю версию браузера Google Chrome, Microsoft Edge или приложения Webinar.

✅ПроAPI Защита для Kubernetes

ПроAPI Защиту можно безболезненно встроить в Kubernetes, обеспечив безопасность для ваших API-сервисов. Вебмониторэкс успешно протестировал два варианта подключения ПроAPI Защита в Kubernetes:

1️⃣За Ingress-контроллером

[Внешний трафик] ➡️ [Ingress Controller] ➡️ [ПроAPI Защита] ➡️[ API-Cервис]

•Ingress-контроллер принимает весь внешний трафик, выполняя маршрутизацию;
•Далее трафик направляется на ПроAPI Защита, где происходит фильтрация запросов на основе спецификации API;
•Разрешенные запросы ПроAPI Защита передает в кластер, а провалидированные (корректные) ответы – пользователю.

Это дает:
•Простую реализацию без смены логики приложения.

2️⃣В рамках Istio Service Mesh

[Внешний трафик] ➡️ [Istio Ingress Gateway] ➡️ [Envoy Sidecar + API Firewall] ➡️ [API-Сервис]

•Istio принимает внешний трафик, направляя его на конкретный сервис внутри кластера;
•Каждый сервис защищён связкой из Envoy Sidecar и выделенного API Firewall, работающих в одном поде. Совместно они проверяют и блокируют нежелательные запросы.

Это дает:
•Контроль как над внешним, так и над межсервисным трафиком;
•Возможность централизованного управления ИБ.

🗃Итого:
🟠Ingress — это простой и подходящий инструмент для маршрутизации трафика к публичным API.
🟠Istio — полноценный Service Mesh, который позволяет более гибко управлять трафиком (в том числе межсервисным), но его внедрение требует глубокого понимания архитектуры.


Выбирайте подходящий вам вариант, а мы обеспечим защиту.

✉️А если ваша компания использует другие варианты «входа» в Kubernetes – мы можем протестировать и их.

✅Доработанная on-premise версия платформы «Вебмониторэкс» одобрена ФСТЭК России

On-premise платформа «Вебмониторэкс» версии 2025-06.0 успешно прошла испытания в системе сертификации ФСТЭК России. Это значит, что обновления сертифицированного продукта соответствуют требованиям безопасности информации, установленным регулятором.

Ключевые обновления:
1️⃣Замена пакетных версий ноды на Меганоду
Меганода - универсальный установщик, который автоматически определяет версии вашей операционной системы и NGINX/Angie и устанавливает все необходимые зависимости. Это значительно оптимизирует и упрощает установку решения в различных средах.

2️⃣ Добавлены новые модули:
-для создания прокси-сервера между клиентами и s3-хранилищем;
-для агрегирования и периодической отправки сообщений адресатам;
-для управления очередями задач.

3️⃣ Подтверждено соответствие требованиям ФСТЭК России всех компонентов, используемых в актуальной версии решения.

On-premise платформа «Вебмониторэкс» получила сертификат ФСТЭК России в декабре 2024 года. Документ свидетельствует, что платформа соответствует четвертому уровню доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, а также требованиям к межсетевым экранам и профилю защиты межсетевых экранов типа «Г» четвертого класса защиты.

Обновленная версия платформы может использоваться для защиты:
✔️значимых объектов критической информационной инфраструктуры (ЗО КИИ)
✔️государственных информационных систем (ГИС)
✔️информационных систем персональных данных (ИСПДн)
✔️автоматизированных систем управления технологическими процессами (АСУ ТП) в рамках требований по импортозамещению

📢📢📢Мы снова с обучающими вебинарами от Вебмониторэкс!

Приглашаем вас на онлайн-курс, посвященный линейке продуктов ПроAPI. Мы расскажем о трендах в управлении и защите API, современных практиках и основанном на них комплексном подходе Вебмониторэкс.

Кому будет полезен курс?
🟠пользователям продуктов линейки ПроAPI
🟠DevOps-специалистам
🟠пресейл-инженерам

Длительность курса: 7 часов

Участники вебинаров получат сертификат: для этого в конце курса необходимо будет успешно пройти тестирование.

🗓Даты проведения и ссылки на страницы регистрации:

18 сентября 10:00-13:00 — https://my.mts-link.ru/j/82717479/webmonitorx-18-09-25

19 сентября 10:00-14:00 — https://my.mts-link.ru/j/82717479/webmonitorx-19-09-25

Пожалуйста, регистрируйтесь на оба дня, ссылки на подключение будут разными!

❗️Чтобы избежать проблем с подключением, рекомендуется использовать последнюю версию браузера Google Chrome, Microsoft Edge или приложения Webinar.

📌Медицина – в фокусе внимания киберпреступников!

По данным Вебмониторэкс, с начала года каждая организация здравоохранения (включая аптеки и медклиники) могла столкнуться в среднем с 3 млн попыток компрометации своих веб-приложений!

📈Пик хакерской активности пришелся на апрель, а после традиционного спада в июле динамка веб-атак набирает обороты. В августе число попыток компрометации медицинских онлайн-ресурсов выросло на 60%, и нарастающий тренд сохраняется.

Серьезная угроза — поведенческие веб-атаки. За август их число выросло на треть. Такие атаки стараются «запутать» веб-приложение и его защиту, используя легитимные функции в злонамеренных целях. Например, это брутфорс, BOLA, dirbust.

В чем опасность таких атак:
🔘их относительно легко организовать (особенно, если использовать ботов и другие автоматизированные средства)
🔘для их обнаружения нужен продвинутый анализ веб-угроз (атаки направлены на логику приложения и не содержать вредоносных паттернов)

Подробности можно прочитать в новости агентства Прайм по ссылке

📢Компании «Лаборатория Касперского» и Вебмониторэкс настроили бесшовную интеграцию своих решений: ПроWAF и KUMA

В рамках интеграции были написаны правила нормализации для событий, передаваемых с ПроWAF, разработанного Вебмониторэкс, в SIEM «Лаборатории Касперского» — KUMA.

Что такое «нормализация»❓
Это процесс приведения данных из разных источников к единому формату, чтобы SIEM могла их корректно анализировать.

Что это дает❓
Это значительно ускоряет взаимодействие ИБ-решений, повышает качество детектирования угроз и создает дополнительный контекст при реагировании на инцидент.

«Интеграция различных ИБ-инструментов позволяет создать общий контекст безопасности. С учетом специфичности атак на веб и API дополнение корреляционной логики KUMA событиями ПроWAF позволит точнее реагировать на события такого класса, а при наличии реальной угрозы для веб-приложений заказчика ускорить время реагирования SOC. И мы уверены, что партнерство с «Лабораторией Касперского» значительно повысит безопасность клиентов и еще раз продемонстрирует, что за мультивендорностью и объединением экспертиз – будущее", – отметил директор по информационной безопасности Вебмониторэкс Лев Палей.

«Работа любой SIEM-системы требует постоянной эволюции детектирующей логики, чтобы гарантировать полноценность ИБ-мониторинга и надежную защиту от атак. Такие системы должны быть готовы к работе с разнообразными источниками событий, которые находятся в инфраструктуре заказчика. Поэтому мы постоянно добавляем в KUMA новые нормализаторы и правила корреляции. В частности, интеграция с ПроWAF позволит оперативно реагировать на веб-угрозы и эффективно приоритизировать их», - сказал руководитель направления развития единой корпоративной платформы «Лаборатории Касперского» Илья Маркелов.

📈Металлургическая компания ЕВРАЗ расширяет защиту веб-ресурсов с помощью межсетевого экрана уровня приложений ПроWAF

Решение дополнит технологический стек, используемый ЕВРАЗом для многоуровневого противодействия киберугрозам. В сочетании с системами защиты от DDoS-атак и блокировки ботов WAF создает надежный многоуровневый барьер веб-безопасности.

«Любому бизнесу, который активно осваивает веб-форматы, нужно оценивать возможные угрозы. ЕВРАЗ демонстрирует высокий уровень знания киберландшафта, а также зрелый и ответственный подход к оценке рисков информационной безопасности», — отметила коммерческий директор Вебмониторэкс Ольга Мурзина.

«Защита от веб-угроз для нас крайне важна. Именно поэтому мы выстроили многоуровневую систему безопасности, частью которой стал ПроWAF. Наряду с безопасностью ключевым требованием была доступность ресурсов для клиентов и партнеров. Мы выбрали межсетевой экран, который не замедляет трафик и не влияет на скорость работы сайтов», — сказал начальник отдела обеспечения безопасности информационных систем ЕВРАЗа Андрей Нуйкин.

⚡️⚡️⚡️Иногда обновления нужны не только продуктам, но и самим компаниям. Сегодня у нас довольно заметный апдейт: Вебмониторэкс превращается в WMX. 

Новое имя короче и динамичнее, а стиль — легче и прозрачнее. Точно так же и наши решения: невесомые и гибкие, современные и технологичные. Именно так мы видим суть кибербеза: защита, которая не ломает процессы и не замедляет трафик, а делает их чище и надёжнее.

Нам хотелось упростить, но не потерять смысл, сохранив преемственность 12-летнего опыта. Остался неизменным основной корпоративный цвет и наша фирменная волна. А новое название WMX родилось в живом общении — именно так нас называют между собой партнёры и клиенты.

🗂И главное, осталось неизменным то, что Web Monitoring eXperts по-прежнему на защите вашего веба!

🗂Представим ситуацию: накануне черной пятницы онлайн-магазин отключает свой WAF, чтобы решение случайно не заблокировало легитимных пользователей. Итог – в потоке покупателей оказывается хакер, который беспрепятственно получает доступ к приложению.

Проблема ложноположительных срабатываний знакома всем ИБшникам. Фолзы на любом СЗИ – это не просто досадная мелочь. Они забивают алерты, раздражают аналитиков и в итоге снижают эффективность защиты.

Именно поэтому команда WMX постоянно работает над качеством детекта, чтобы число ложноположительных срабатываний на нашем WAF для клиента было на самом минимальном уровне. Это и регулярное обновление базы актуальных угроз, и глубокий бессигнатурный анализ трафика, позволяющий заглянуть в детали каждого запроса, и гибкость настроек WAF под особенности инфраструктуры и потребности каждого клиента.

В новой статье для Cyber Media наш руководитель продуктового развития Динко Димитров разбирает, почему ИБ-решения кричат «Волки!», как ложные срабатывания превращаются в операционную боль для ИБ-команд и как найти WAF, который не будет фолзить.

➡️Когда WAF кричит «Волки!»: чем опасны фолзы для кибербезопасности и как их сократить