Пока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в Коломне. 🙂
🔹 В музее пастилы (не фабрики, а ещё одном) снова послушали про историю этой сладости и продегустировали её под рассказы о Достоевском (sic!). Оказывается, классик очень любил чаёвничать и ему больше всего нравилась белая пастила, внешне похожая на зефир (см. фото). Но на вкус эта пастила гораздо более тягучая - кусочек не откусишь, только целиком жевать.
🔹 В краеведческом музее заинтересовал аналог фонографа "Говорящая бумага", использующий бумажную ленту в качестве носителя.
🔹 В музее пчеловодства было интересно послушать про плавучие выставки конца XIX века, знакомящие крестьян с передовыми пчеловодческими практиками.
Вы только представьте: плавучая конференция по ИБ, доступная для посещения в городах следования. 🤪 Оригинальный был бы формат, неправда ли? 😉🛳️
@avleonovrus #Коломна #дыбр #trip #offtopic #vacation #events
🔹 В музее пастилы (не фабрики, а ещё одном) снова послушали про историю этой сладости и продегустировали её под рассказы о Достоевском (sic!). Оказывается, классик очень любил чаёвничать и ему больше всего нравилась белая пастила, внешне похожая на зефир (см. фото). Но на вкус эта пастила гораздо более тягучая - кусочек не откусишь, только целиком жевать.
🔹 В краеведческом музее заинтересовал аналог фонографа "Говорящая бумага", использующий бумажную ленту в качестве носителя.
🔹 В музее пчеловодства было интересно послушать про плавучие выставки конца XIX века, знакомящие крестьян с передовыми пчеловодческими практиками.
Вы только представьте: плавучая конференция по ИБ, доступная для посещения в городах следования. 🤪 Оригинальный был бы формат, неправда ли? 😉🛳️
@avleonovrus #Коломна #дыбр #trip #offtopic #vacation #events
Ноябрьский Linux Patch Wednesday. В ноябре Linux вендоры начали устранять 516 уязвимостей, в полтора раза меньше, чем в октябре. Из них 232 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:
🔻 MemCor - Chromium (CVE-2025-13223). В CISA KEV с 19 ноября.
Ещё для 64 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:
🔸 RCE - Samba (CVE-2025-10230), Apache Tomcat (CVE-2025-55752), NVIDIA Container Toolkit (CVE-2024-0132, CVE-2025-23359), Lasso (CVE-2025-47151), QuickJS (CVE-2025-62494), Keras (CVE-2025-9905)
🔸 SQLi - Django (CVE-2025-64459)
🔸 InfDisc - Webmin (CVE-2024-44762), Squid (CVE-2025-62168), BIND (CVE-2025-31133), QuickJS (CVE-2025-62492, CVE-2025-62493)
🔸 SFB - BIND (CVE-2025-40778)
🔸 AuthBypass - Webmin (CVE-2025-61541)
🔸 MemCor - Suricata (CVE-2025-59150)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Samba #ApacheTomcat #NVIDIACTK #Lasso #QuickJS #Keras #Django #Webmin #Squid #BIND #Suricata
🔻 MemCor - Chromium (CVE-2025-13223). В CISA KEV с 19 ноября.
Ещё для 64 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:
🔸 RCE - Samba (CVE-2025-10230), Apache Tomcat (CVE-2025-55752), NVIDIA Container Toolkit (CVE-2024-0132, CVE-2025-23359), Lasso (CVE-2025-47151), QuickJS (CVE-2025-62494), Keras (CVE-2025-9905)
🔸 SQLi - Django (CVE-2025-64459)
🔸 InfDisc - Webmin (CVE-2024-44762), Squid (CVE-2025-62168), BIND (CVE-2025-31133), QuickJS (CVE-2025-62492, CVE-2025-62493)
🔸 SFB - BIND (CVE-2025-40778)
🔸 AuthBypass - Webmin (CVE-2025-61541)
🔸 MemCor - Suricata (CVE-2025-59150)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Samba #ApacheTomcat #NVIDIACTK #Lasso #QuickJS #Keras #Django #Webmin #Squid #BIND #Suricata
Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций. Тогда логично было бы определить Continuous Threat Exposure Management (CTEM) как некоторую разновидность Exposure Management с акцентом на
🔹 Непрерывность (Continuous). Безусловно, выявление, оценка и устранение экспозиций - это не то, чем можно заниматься пару раз в год в рамках аудита. Чтобы EM был эффективным, он должен быть непрерывным.
🔹 Учёт угроз (Threat). Действительно, для адекватной приоритизации экспозиции необходимо учитывать факты эксплуатации экспозиций группами злоумышленников. Отсылка к реальным кейсам сделает приоритизацию экспозиций и путей атак более убедительной и наглядной.
Поэтому термин Continuous Threat Exposure Management стоит переводить на русский как Непрерывное Управление Экспозициями с учётом Угроз. 😉
@avleonovrus #exposure #ExposureManagement #CTEM
🔹 Непрерывность (Continuous). Безусловно, выявление, оценка и устранение экспозиций - это не то, чем можно заниматься пару раз в год в рамках аудита. Чтобы EM был эффективным, он должен быть непрерывным.
🔹 Учёт угроз (Threat). Действительно, для адекватной приоритизации экспозиции необходимо учитывать факты эксплуатации экспозиций группами злоумышленников. Отсылка к реальным кейсам сделает приоритизацию экспозиций и путей атак более убедительной и наглядной.
Поэтому термин Continuous Threat Exposure Management стоит переводить на русский как Непрерывное Управление Экспозициями с учётом Угроз. 😉
@avleonovrus #exposure #ExposureManagement #CTEM
Были сегодня в Оружейной палате Московского Кремля на детской экскурсии "Здесь не счесть сокровищ царских". Кремль, конечно, абсолютно сакральное место. Во всём торжественность, строгость и мощь. 😇 Работа службы охраны, даже судя по малой видимой части, образцовая. 👍 Чувствуется, что находишься рядом с центром управления региональной сверхдержавой. 🚀
🔹 Из экспонатов Оружейной палаты (фотографировать там запрещено, фотки из рувики и официального сайта) мне больше всего понравился костяной трон. Его называют троном Ивана Грозного, но вероятнее, что он принадлежал Михаилу Романову.
🔹 Также понравилась история рязанского клада, который был скрыт в земле при нападении хана Батыя в 1238 году, был найден крестьянами Устином Ефимовым (с сыном) и Яковом Петровым в 1822 году. Клад они не утаили, а передали официальным лицам, за что получили 10 000 р. серебром (корова стоила от 5 до 20 р.). Не могу не провести здесь параллель с централизованным репортингом уязвимостей. 😉
@avleonovrus #offtopic #Kremlin #Moscow #ИНД
🔹 Из экспонатов Оружейной палаты (фотографировать там запрещено, фотки из рувики и официального сайта) мне больше всего понравился костяной трон. Его называют троном Ивана Грозного, но вероятнее, что он принадлежал Михаилу Романову.
🔹 Также понравилась история рязанского клада, который был скрыт в земле при нападении хана Батыя в 1238 году, был найден крестьянами Устином Ефимовым (с сыном) и Яковом Петровым в 1822 году. Клад они не утаили, а передали официальным лицам, за что получили 10 000 р. серебром (корова стоила от 5 до 20 р.). Не могу не провести здесь параллель с централизованным репортингом уязвимостей. 😉
@avleonovrus #offtopic #Kremlin #Moscow #ИНД
Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации. Раньше, до версии 27.4 (2.9), единственным способом получения токенов аутентификации был запрос к mpvm_url + ':3334/connect/token' с указанием логина, пароля и параметра ClientSecret из конфига /var/lib/deployer/role_instances/Core/params.yaml на сервере. Не очень удобно, но жить можно.
Начиная с версии 27.4 (2.9), в продукте появился удобный интерфейс для работы с токенами. Можно зайти в PT Management Console, в левом нижнем углу нажать на значок с человечком и вашим логином, выбрать опцию "Токены доступа". Затем "+ Создать". Указать название, описание, срок действия и необходимые привилегии. И вуаля - готовый токен. Удобно, наглядно и в конфиг на сервере лезть не требуется. 👍
Этот токен можно использовать в скрипте ровно так же, как и токен, получаемый через API по логину/паролю и ClientSecret. Например, выполнять с его помощью PDQL запросы. 😉
@avleonovrus #MaxPatrolVM #PositiveTechnologies #API #PTMC
Начиная с версии 27.4 (2.9), в продукте появился удобный интерфейс для работы с токенами. Можно зайти в PT Management Console, в левом нижнем углу нажать на значок с человечком и вашим логином, выбрать опцию "Токены доступа". Затем "+ Создать". Указать название, описание, срок действия и необходимые привилегии. И вуаля - готовый токен. Удобно, наглядно и в конфиг на сервере лезть не требуется. 👍
Этот токен можно использовать в скрипте ровно так же, как и токен, получаемый через API по логину/паролю и ClientSecret. Например, выполнять с его помощью PDQL запросы. 😉
@avleonovrus #MaxPatrolVM #PositiveTechnologies #API #PTMC
Про уязвимость SQL Injection - Django (CVE-2025-64459). Django - это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.
⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.
🛠 6 ноября для уязвимости появился публичный эксплойт.
👾 Информации об эксплуатации в атаках пока нет.
🌐 По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.
@avleonovrus #Django
⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.
🛠 6 ноября для уязвимости появился публичный эксплойт.
👾 Информации об эксплуатации в атаках пока нет.
🌐 По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.
@avleonovrus #Django
Давайте наведём статистику по личным смартфонам у дорогих подписчиков
Anonymous Poll
22%
Я ИБшник и у меня iPhone
30%
Я ИБшник и у меня не iPhone
8%
Я не ИБшник и у меня iPhone
21%
Я не ИБшник и у меня не iPhone
19%
Не хочу отвечать, хочу результаты посмотреть
Судя по предварительным результатам опроса, утверждение, что все ИБ-специалисты ходят с айфонами, не соответствует истине. 😉 Любителей смартфонов Apple ощутимо меньше половины.
Мне сложно понять, что может нравиться технически грамотным людям в iPhone. По мне, эти устройства странные и ограниченные. Переплачивать за смартфон, чтобы потом плясать с бубном для установки банковского приложения? 🤪 И всё из-за того, что где-то в Штатах ввели санкции и удалили разработчика из единственно возможного стора? 🤔 Разве не унизительно?
С другой стороны, у меня много чего популярного в массах вызывает гораздо большее недоумение: употребление алкоголя, курение/парение, татуировки, пластика без показаний... 🫣 На этом фоне, ну пользуются люди странной железячкой - на здоровье! 👌 Камера в iPhone и правда хорошая. Лучше ли, чем в Android-смартфонах за те же деньги? Не знаю, может и лучше. 🤷♂️
Лично я хожу со смартфоном на Xiaomi HyperOS за 7500 р и мне норм. 😅
@avleonovrus #offtopic #iPhone #Apple #Xiaomi #HyperOS
Мне сложно понять, что может нравиться технически грамотным людям в iPhone. По мне, эти устройства странные и ограниченные. Переплачивать за смартфон, чтобы потом плясать с бубном для установки банковского приложения? 🤪 И всё из-за того, что где-то в Штатах ввели санкции и удалили разработчика из единственно возможного стора? 🤔 Разве не унизительно?
С другой стороны, у меня много чего популярного в массах вызывает гораздо большее недоумение: употребление алкоголя, курение/парение, татуировки, пластика без показаний... 🫣 На этом фоне, ну пользуются люди странной железячкой - на здоровье! 👌 Камера в iPhone и правда хорошая. Лучше ли, чем в Android-смартфонах за те же деньги? Не знаю, может и лучше. 🤷♂️
Лично я хожу со смартфоном на Xiaomi HyperOS за 7500 р и мне норм. 😅
@avleonovrus #offtopic #iPhone #Apple #Xiaomi #HyperOS
Как решать VM-ные задачи, когда организация состоит из нескольких юрлиц с общей IT-инфраструктурой? При этом VM-щик числится в одном юрлице, а IT-шники в другом ("внутреннем IT-интеграторе" или приобретённой дочерней компании). Ведь тогда IT-шникам гораздо проще препятствовать контролю своих активов со стороны VM-щика.
VM-щику следует начать с вопроса: "Кто я такой? Какая конкретная инфраструктура находится в моей зоне ответственности?" и формально подтвердить это у общего руководства организации.
🔹 Если есть мандат на контроль всей инфраструктуры, будьте любезны, товарищи IT-шники (независимо от юрлица), подчиняться общим требованиям по учёту активов и предоставлению к ним доступа для детектирования уязвимостей. 🥕
🔹 А если мандата нет, во всех коммуникациях следует подчёркивать, какая часть организации контролируется, а где контроля нет и где, скорее всего, самое адище. 🔥😈 Эти формальные свидетельства помогут вам, когда организацию подломят через неподконтрольную часть инфры. 😉
@avleonovrus #VMprocess
VM-щику следует начать с вопроса: "Кто я такой? Какая конкретная инфраструктура находится в моей зоне ответственности?" и формально подтвердить это у общего руководства организации.
🔹 Если есть мандат на контроль всей инфраструктуры, будьте любезны, товарищи IT-шники (независимо от юрлица), подчиняться общим требованиям по учёту активов и предоставлению к ним доступа для детектирования уязвимостей. 🥕
🔹 А если мандата нет, во всех коммуникациях следует подчёркивать, какая часть организации контролируется, а где контроля нет и где, скорее всего, самое адище. 🔥😈 Эти формальные свидетельства помогут вам, когда организацию подломят через неподконтрольную часть инфры. 😉
@avleonovrus #VMprocess
Пришёл оригинальный подарочек от коммуникационного агентства PR Partner. Сейф. 🤪 Код от сейфа - ответ задачки. Пишите ваши варианты в комментарии. 😉 (upd. решение) Внутри наклейки, вкусняшки и книга "Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура". Кто, по вашему мнению, скрывается за псевдонимами авторов Гайка Митич и Бойко Двачич можете тоже в комментах написать. 😉
Является ли рассылка подарков авторам телеграм-каналов по ИБ PR-компанией по продвижению книги (обложку для которой, кстати, делала студия Лебедева)? Вне всяких сомнений! 🙂 Но я ничего не имею против. Подарок прикольный и полезный, а книжка занимательная. 👍 Спасибо, PR Partner!
@avleonovrus #present #book #PRpartner #eksmo #вирьёмоё
Является ли рассылка подарков авторам телеграм-каналов по ИБ PR-компанией по продвижению книги (обложку для которой, кстати, делала студия Лебедева)? Вне всяких сомнений! 🙂 Но я ничего не имею против. Подарок прикольный и полезный, а книжка занимательная. 👍 Спасибо, PR Partner!
@avleonovrus #present #book #PRpartner #eksmo #вирьёмоё
Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России. 👏 В первую очередь, конечно, у WhatsApp, принадлежащего экстремистской компании Meta. Доступ не блокируется одномоментно, чтобы не вызвать волну активного возмущения и распространение незаконной информации, снижающей эффективность фильтрации. 🤫 Вместо этого у западных сервисов постепенно деградирует функциональность. ⏳🤷♂️ Всё хуже работает голосовая связь, не приходят SMS, начались проблемы с фото и видео. Сервисы вроде работают, но с каждым днём становятся более "бесячими". 😏 Это мотивирует пользователей постепенно переходить на полнофункциональные альтернативы. В основном, конечно, в MAX. Очень жду, когда домовые, школьные и прочие чаты окончательно туда переедут. 🙏
Убеждён, что в РКН работают профессионалы, которые ведут Рунет в правильном направлении. Их нужно в этом поддерживать и посильно помогать. В том числе и по нашей части - в работе с перечнем уязвимостей. 😉
@avleonovrus #РКН #WhatsApp #MAXmessenger
Убеждён, что в РКН работают профессионалы, которые ведут Рунет в правильном направлении. Их нужно в этом поддерживать и посильно помогать. В том числе и по нашей части - в работе с перечнем уязвимостей. 😉
@avleonovrus #РКН #WhatsApp #MAXmessenger
This media is not supported in your browser
VIEW IN TELEGRAM
Поздравляю всех с Международным днём защиты информации! Этот день можно считать и днём VM-щика, т.к. его ввели после атаки червя Морриса, начавшейся 2 ноября 1988 года. Червь задействовал ряд уязвимостей (экспозиций) в UNIX-системах 4BSD (VAX, Sun-3), в том числе:
🔻 Уязвимость в режиме отладки программы Unix sendmail.
🔻 Переполнение буфера в сетевой службе finger.
🔻 Механизм транзитивного доверия, возникавший при настройке удалённого входа в систему без пароля через утилиты удалённого исполнения (rexec) и удалённой оболочки (rsh), известный как rexec/rsh.
🔻 Подбираемые пароли - слова из словаря проверки правописания и примитивные комбинации, основанные на имени пользователя, такие как username, emanresu или usernameusername.
⚡️ Менее чем через 12 часов после обнаружения червя группы из Беркли и Пердью разработали и распространили временные меры и патчи, включая исправления для sendmail и способы блокировки компилятора и загрузчика.
@avleonovlrus #MorrisWorm #ComputerSecurityDay #VMDay
🔻 Уязвимость в режиме отладки программы Unix sendmail.
🔻 Переполнение буфера в сетевой службе finger.
🔻 Механизм транзитивного доверия, возникавший при настройке удалённого входа в систему без пароля через утилиты удалённого исполнения (rexec) и удалённой оболочки (rsh), известный как rexec/rsh.
🔻 Подбираемые пароли - слова из словаря проверки правописания и примитивные комбинации, основанные на имени пользователя, такие как username, emanresu или usernameusername.
⚡️ Менее чем через 12 часов после обнаружения червя группы из Беркли и Пердью разработали и распространили временные меры и патчи, включая исправления для sendmail и способы блокировки компилятора и загрузчика.
@avleonovlrus #MorrisWorm #ComputerSecurityDay #VMDay