❗️JetBrains TeamCity CVE-2024-27198 - Authentication bypass и CVE-2024-27199 - path traversal ❗️
В последнем релизе обнаружены новые уязвимости в JetBrains TeamCity, которые следует принять к сведению.
⚡️CVE-2024-27198 (Критикал): до версии 2023.11.4 JetBrains TeamCity подвержен обходу аутентификации, что позволяет злоумышленнику выполнять действия администратора.
⚡️CVE-2024-27199 (Медиум): в версии до 2023.11.4 существует возможность обхода путей, что дает возможность злоумышленнику выполнять ограниченные действия администратора.
Эти уязвимости повторяют тему обхода аутентификации и обхода путей, которая была замечена в предыдущих релизах.
♻️Рекомендуем обновить вашу систему до последней версии 2023.11.4, чтобы устранить эти уязвимости и обеспечить безопасность ресурса.
В последнем релизе обнаружены новые уязвимости в JetBrains TeamCity, которые следует принять к сведению.
⚡️CVE-2024-27198 (Критикал): до версии 2023.11.4 JetBrains TeamCity подвержен обходу аутентификации, что позволяет злоумышленнику выполнять действия администратора.
⚡️CVE-2024-27199 (Медиум): в версии до 2023.11.4 существует возможность обхода путей, что дает возможность злоумышленнику выполнять ограниченные действия администратора.
Эти уязвимости повторяют тему обхода аутентификации и обхода путей, которая была замечена в предыдущих релизах.
♻️Рекомендуем обновить вашу систему до последней версии 2023.11.4, чтобы устранить эти уязвимости и обеспечить безопасность ресурса.
🔥5👍2
👀А вы следите за обновлениями плагинов в вашей CMS?
Поддержание актуальности плагинов в вашей CMS имеет большое значение для безопасности и производительности вашего веб-сайта. Не забывайте следить за обновлениями и своевременно устанавливать их, чтобы обеспечить безопасность и эффективную работу вашего сайта.
Подборка последних и интересных CVE
❗CVE-2024-25909 NIST|CVE.ORG [9.9] Joomla "JoomUnited WP Media folder" plugin - Несанкционированная загрузка файлов.
❗CVE-2024-25100 NIST|CVE.ORG [10.0] Wordpress "WP Swings Coupon Referral Program" plugin - Небезопасная десериализация ведущая к исполнению вредоносного кода.
❗CVE-2024-24311 NIST|CVE.ORG [7.5] PrestaShop "Multilingual and Multistore Sitemap Pro" module - Неавторизованный пользователь может получить персональную информацию за счет Path Traversal.
❗CVE-2024-23507 NIST|CVE.ORG [8.5] Wordpress InstaWP Connect plugin - Неверная фильтрация ввода, ведущая к SQL injection.
❗CVE-2024-23049 NIST|CVE.ORG [9.8] Symphony - Исполнение кода через log4j компонент.
Поддержание актуальности плагинов в вашей CMS имеет большое значение для безопасности и производительности вашего веб-сайта. Не забывайте следить за обновлениями и своевременно устанавливать их, чтобы обеспечить безопасность и эффективную работу вашего сайта.
Подборка последних и интересных CVE
❗CVE-2024-25909 NIST|CVE.ORG [9.9] Joomla "JoomUnited WP Media folder" plugin - Несанкционированная загрузка файлов.
❗CVE-2024-25100 NIST|CVE.ORG [10.0] Wordpress "WP Swings Coupon Referral Program" plugin - Небезопасная десериализация ведущая к исполнению вредоносного кода.
❗CVE-2024-24311 NIST|CVE.ORG [7.5] PrestaShop "Multilingual and Multistore Sitemap Pro" module - Неавторизованный пользователь может получить персональную информацию за счет Path Traversal.
❗CVE-2024-23507 NIST|CVE.ORG [8.5] Wordpress InstaWP Connect plugin - Неверная фильтрация ввода, ведущая к SQL injection.
❗CVE-2024-23049 NIST|CVE.ORG [9.8] Symphony - Исполнение кода через log4j компонент.
🔥4❤2😱1
🔥Обновление модуля исследования структуры API платформы «Вембониторэкс»🔥
В марте мы добавили новую функцию сравнения спецификаций (OAS) в модуль «Структура API».
Теперь можно удобно и просто:
✔️Сравнить спецификацию, генерируемую на этапе разработки API с тем, что вы видите в трафике.
✔️Выделить те параметры и роуты, которые нужно ограничить или скорректировать.
✔️Обнаружить теневые (shadow) API, неспользуемые (orphan) API, призрачные (zombie) API.
API FIRST ближе, чем вы думаете!
Для действующих пользователей модуля «Структура API» эта функциональность уже доступна.
Если вы еще не используете модуль «Структура API», но хотите его протестировать, обращайтесь на: sales@webmonitorx.ru.
В марте мы добавили новую функцию сравнения спецификаций (OAS) в модуль «Структура API».
Теперь можно удобно и просто:
✔️Сравнить спецификацию, генерируемую на этапе разработки API с тем, что вы видите в трафике.
✔️Выделить те параметры и роуты, которые нужно ограничить или скорректировать.
✔️Обнаружить теневые (shadow) API, неспользуемые (orphan) API, призрачные (zombie) API.
API FIRST ближе, чем вы думаете!
Для действующих пользователей модуля «Структура API» эта функциональность уже доступна.
Если вы еще не используете модуль «Структура API», но хотите его протестировать, обращайтесь на: sales@webmonitorx.ru.
🔥5❤1🌚1
❗️ Linux CVE-2024-1086 Local Privilege Escalation❗️
⚡️ В компоненте netfilter: nf_tables в ядре Linux обнаружена уязвимость, которая может быть использована для локального повышения привилегий. Уязвимость затрагивает версии Linux от 3.15 и выше. Она позволяет вызвать отказ в обслуживании (сбой системы) или выполнить произвольный код.
👍 Не забудьте обеспечить обновление операционной системы Linux на ваших устройствах в ближайшее время!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4😱3❤1
Этот продукт решит одну из важнейших задач в управлении API – формирование актуальной и полной структуры API на основании реального трафика. Результат будет представляен в привычном swagger виде.
Благодаря построенной структуре можно понять, через какие API передается чувствительная информация, например, персональные данные и многое другое.
А что же такое прозрачные, неиспользуемые и теневые API?
Скорее читай нашу новую статью и погружайся в мир API вместе с командой Вебмониторэкс
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👏2
Forwarded from Cyber Media
От каких угроз чаще страдают владельцы веб-приложений? Как оценить возможный ущерб от атак на API? Мнением с читателями Cyber Media поделился Лев Палей, директор по информационной безопасности «Вебмониторэкс».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👏4
❗️ Apache CloudStack CVE-2024-29006 / CVE-2024-29007 / CVE-2024-29008 ❗️
Эти уязвимости могут позволить злоумышленникам обойти аутентификацию, перенаправлять трафик и потенциально получить контроль над базовой инфраструктурой.
⚡️ CVE-2024-29006 (Медиум): Синтаксический анализ HTTP-заголовка x-forwarded-for на сервере управления CloudStack может приводить к тому, что он регистрируется в качестве IP-адреса источника запроса API. Это может вызвать обход механизмов аутентификации и другие проблемы в работе.
⚡️ CVE-2024-29007 (Медиум): Во время загрузки шаблона или ISO, сервер управления CloudStack и виртуальная машина вторичного хранилища (SSVM) могут быть перенаправлены на выполнение запросов к ограниченным или случайным ресурсам из-за вредоносных HTTP-перенаправлений, предоставленных внешними серверами.
⚡️ CVE-2024-29008 (Критикал): Уязвимость в функции extraconfig виртуальных машин CloudStack, которой может злоупотреблять пользователь с привилегиями на развертывание экземпляра виртуальной машины или настройку параметров уже развернутого экземпляра. В среде CloudStack на основе KVM злоумышленник сможет подключиться к хост-устройствам виртуальной машины, таких как диски хранения, а также устройствам PCI и USB. Это может привести к получению доступа к сети и ресурсам инфраструктуры хранения.
✅ Рекомендуем обновить CloudStack до версии 4.18.1.1 или 4.19.0.1.
Эти уязвимости могут позволить злоумышленникам обойти аутентификацию, перенаправлять трафик и потенциально получить контроль над базовой инфраструктурой.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
Эта уязвимость может привести к возможности чтения файлов в операционной системе из-за недостаточного экранирования сообщений об ошибках, содержащих пользовательский ввод.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🙉3🥱1
Подробно рассмотрим обеспечение безопасности веб-приложений в наиболее атакуемых отраслях (телекоммуникационные компании и интернет платформы).
Покажем, как платформа «Вебмониторэкс» решает задачи по защите веб-приложений и API.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5⚡1❤1
Скорее читай об изменениях, произошедших в OWASP API Security Top 10 и рекомендациях по минимизации новых рисков.
Тему обеспечения безопасности API в современных условиях мы подробно раскроем на нашем вебинаре 17 апреля в 12:00 (мск).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2
Эксплоит работает без авторизации и этот API-метод не выключается. Патча со стороны вендора еще нет. В логах искать /api внутри тела запроса XML <ping command тэги.
Уязвимость настолько критична для некоторых компаний, что GitHub отслеживает добавление POC и своевременно удаляет информацию о них.
Детали от вендора:
https://security.paloaltonetworks.com/CVE-2024-3400
Детали от CISA: https://www.cisa.gov/news-events/alerts/2024/04/12/palo-alto-networks-releases-guidance-vulnerability-pan-os-cve-2024-3400
Please open Telegram to view this post
VIEW IN TELEGRAM
Palo Alto Networks Product Security Assurance
CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect
A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurat...
⚡6🔥1😢1💩1
17 апреля в 12:00 (МСК)
Тема: Защита API. Аналитика атак за 2023 год и практика защиты от современных угроз.
Расскажем об изменении ландшафта угроз и отражении этих изменений в OWASP API Security.
Подробно рассмотрим обеспечение безопасности веб-приложений в наиболее атакуемых отраслях (телекоммуникационные компании и интернет платформы).
Покажем, как платформа «Вебмониторэкс» решает задачи по защите веб-приложений и API.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2
Forwarded from Вебмониторэкс 🦾
В новом выпуск журнала «Information Security» Андрей Усенюк, руководитель по информационной безопасности Авито, рассказал, как выстроить эффективную инфраструктуру безопасности и при чем тут Web Application Firewall, а также о том, как выбрать и “приручить” свой WAF, чтобы снизить риски атак и утечек данных.
Андрей так же поделился опытом выбора подходящего вендора:
Из всех продуктов, которые мы посмотрели, у компании Вебмониторэкс показатель ложных срабатываний был на минимальном уровне, потому что в их платформе используется хитрая интеллектуальная система постаналитики, которая позволяет отсеивать большую часть ложных срабатываний.
WAF, входящий в состав платформы "Вебмониторэкс", оказался оптимальным решением и с точки зрения функциональности, и с точки зрения нефункциональных требований производительности, и с точки зрения минимального количества ложных срабатываний, и с точки зрения стоимости.
С WAF компании Вебмониторэкс у нас порядка всего лишь 5–6 фолзов в неделю при трафике 9 млн запросов в минуту – это очень хороший результат. По данной причине это одно из немногих решений такого класса, которое вообще можем позволить себе использовать. И я лично, и ребята из моей команды довольны поддержкой компании Вебмониторэкс, которая всегда оперативно реагирует на вопросы, учитывает пожелания и погружает нас в собственные планы, чтобы мы как клиенты понимали, куда они планируют развивать свою платформу, в какие сроки и как в этих планах учитываются наши потребности.
Читай интервью по ссылке (стр. 16)
#Вебмониторэкс #Авито
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👏3❤2
На данный момент в платформе «Вебмониторэкс» реализована поддержка авторизации SAML SSO. Мы рассматриваем варианты расширения опций авторизации SSO для оптимизации доступа к управлению платформой. Поэтому приглашаем наших подписчиков принять участие в коротком опросе о предпочтительных технологиях. Ответ займет всего 1 минуту и будет принят до 30 апреля включительно.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🆒4
В плагине контактных форм Forminator для WordPress обнаружен ряд уязвимостей, позволяющий злоумышленникам загружать файлы на сервер без ограничений, компрометировать конфиденциальные данные и вызывать сбои в работе веб-сервисов. Более 500 000 веб-сайтов могут быть подвержены вредоносным атакам.
👉
👉
👉
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5🔥5👍3👨💻3
API есть?.. А если найду?
Найти все API — важная задача в процессе выстраивания их успешной защиты. Поэтому, имея сведения о структуре своих API, вы уже окажетесь на шаг впереди злоумышленников. А что делать с этой информацией?
Компания Вебмониторэкс ответит на этот и другие вопросы на своем вебинаре 16 мая. Теорию подкрепит практический кейс заказчика.
Начало в 12:00.
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы по защите API. От зрелости к эффективности: Знать. Защищать. Не допускать.
- Реализация на платформе «Вебмониторэкс»: компоненты для защиты и управления API.
Ведущий вебинара — Лев Палей, CISO Вебмониторэкс.
Специальный гость — Кирилл Ильин, CISO «СберАвто».
Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Кому полезно:
- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security
Почему полезно:
- Узнаете о современной концепции управления API
- Увидите пример ее реализации на платформе «Вебмониторэкс»
- Услышите от CISO об успешном опыте защиты и управления API на примере компании «СберАвто»
Регистрируйтесь по ссылке. Вебинар про защиту API 16 мая в 12:00
Найти все API — важная задача в процессе выстраивания их успешной защиты. Поэтому, имея сведения о структуре своих API, вы уже окажетесь на шаг впереди злоумышленников. А что делать с этой информацией?
Компания Вебмониторэкс ответит на этот и другие вопросы на своем вебинаре 16 мая. Теорию подкрепит практический кейс заказчика.
Начало в 12:00.
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы по защите API. От зрелости к эффективности: Знать. Защищать. Не допускать.
- Реализация на платформе «Вебмониторэкс»: компоненты для защиты и управления API.
Ведущий вебинара — Лев Палей, CISO Вебмониторэкс.
Специальный гость — Кирилл Ильин, CISO «СберАвто».
Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Кому полезно:
- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security
Почему полезно:
- Узнаете о современной концепции управления API
- Увидите пример ее реализации на платформе «Вебмониторэкс»
- Услышите от CISO об успешном опыте защиты и управления API на примере компании «СберАвто»
Регистрируйтесь по ссылке. Вебинар про защиту API 16 мая в 12:00
🔥8👍2
Специальный гость — Кирилл Ильин, CISO «СберАвто». Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Присоединяйтесь к нам, чтобы узнать о последних тенденциях в этой области и обсудить лучшие практики.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Управление API или API Security? Что это такое?
В сфере кибербезопасности существует постоянная гонка между атакующими и защитниками. Этот процесс можно сравнить с визуальным процессом гонки, где основная цель - это скорость. Начинается все с фазы...
🔥7👍3❤1
Продукт от компании Вебмониторэкс обеспечил гибкое и эффективное удовлетворение потребностей компании «СберАвто» в защите её основного бизнеса, без изменения существующей инфраструктуры публикации приложений и процессов её поддержки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3❤2
Атаки на веб-приложения в 2023 году ⚡️
Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. В статье на Anti-Malware рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей платформы «Вебмониторэкс» в 2023 году, по типам, а также о способах защиты от них.
➡️ Читайте статью по ссылке.
Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. В статье на Anti-Malware рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей платформы «Вебмониторэкс» в 2023 году, по типам, а также о способах защиты от них.
Please open Telegram to view this post
VIEW IN TELEGRAM
Anti-Malware
Атаки на веб-приложения в 2023 году: анализ действий злоумышленников
Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. Рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей
⚡4👍2❤1
Специальный гость — Кирилл Ильин, CISO «СберАвто». Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Присоединяйтесь к нам, чтобы узнать о последних тенденциях в этой области и обсудить лучшие практики.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mts-link.ru
Управление API. Кейс реализации на платформе «Вебмониторэкс»
Ведущий вебинара - Лев Палей, CISO Вебмониторэкс.
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы…
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы…
🔥3❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс»
Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших...
🔥7👍2❤1