🚨 Критическая уязвимость: MongoBleed (CVE-2025-14847)

Что произошло:

— Уязвимость в MongoDB Server, связанная с обработкой zlib-сжатых сообщений

— Позволяет неаутентифицированному удалённому атакующему читать память сервера

— Уязвимость уже эксплуатируется в дикой природе (exploit in the wild)

Почему это серьёзно:

— Под угрозой десятки тысяч MongoDB-инстансов, доступных из интернета

— Возможна утечка:

• чувствительных данных
• фрагментов запросов
• токенов / ключей
• служебной информации, полезной для дальнейших атак
— Атака происходит до аутентификации

Что делать срочно:

✅ Обновиться до исправленных версий: 8.2.3, 8.0.17, 7.0.28 (и новее)

⚠️ Если обновление невозможно — временно отключить zlib-сжатие как mitigation-меру.

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cve_bulletin

❔ Где защита чаще всего ломается на практике

🔥 — Firewall (правила есть, модель угроз — нет)
🥰 — SIEM (шум есть, алертов нет)
😁 — VPN (split tunnel, reuse паролей, no MFA)
👍 — Email Gateway (фишинг проходит → initial access)
👾 — Backup (есть, но restore никто не делал)

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ask_the_community

🦾 Nihilist — аудит Cisco IOS

Инструмент для аудита безопасности Cisco маршрутизаторов и коммутаторов, рассчитанный на ИБ-специалистов и хакеров, а не на формальные отчёты.

Работает просто и жёстко: подключается по SSH, забирает конфигурацию и анализирует её регулярками, проверяя не только включены ли защиты, а насколько они корректны и уместны.

🔤 Что анализирует:

— Cisco IOS security (ACL, control-plane, management access)
— L2: STP, port-security, trunk’и
— L3: routing, filtering, сервисы
— Management: SSH, SNMP, privilege levels, banners

Примеры типовых находок:

— ACL есть, но не защищает нужный трафик

— SSH включён, но слабо настроен

— Control-plane protection ломает маршрутизацию

— Защита есть, но не соответствует топологии

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#tool_of_the_week

📌 OSINT-шпаргалка по разведке организаций

Карта того, где и что искать при OSINT-разведке компании: домены, сабдомены, технологии, архивы, утечки и базы уязвимостей. Помогает быстро собрать внешний контур цели без шума и активных атак.

🔴 Подходит для пентеста, bug bounty и threat intelligence.

🐸 Библиотека хакера

#cheat_sheet

🔥 База для пентестера

Ключевые уязвимости, пэйлоады, эксплойты и рабочие инструменты для пентеста. Плюс обучающие материалы для новичков — от основ к практике, без лишнего.

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🎄 Новогодняя задачка для сильных котят

Компания ушла на праздники. Дежурный админ один. Обновления — «после НГ». У вас есть только внешний доступ.

Известно:

 • VPN включён
 • OWA доступен извне
 • GitLab тоже
 • Бэкапы есть, но «никто их не проверял»

❓ Какой вектор атаки вы проверите в первую очередь:

👍 — VPN (пароли, split-tunnel, legacy-клиенты)
🔥 — OWA / ADFS (SSO, pre-auth, proxy)
🤩 — GitLab (tokens, runners, CI secrets)
🌚 — Бэкапы / storage (misconfig, публичный доступ)

💬 В комментариях — первый конкретный шаг, который вы бы сделали.

🐸 Библиотека хакера

#ctf_challenge

Двое из самых опасных хакеров на планете 🎅

🐸 Библиотека хакера

#hack_humor