Октябрьский «В тренде VM»: уязвимости в Cisco ASA/FTD и sudo
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Топ самых интересных CVE за сентябрь 2025 года
Всем привет! Разбираем ключевые CVE ушедшего месяца. В сентябре звездой стала раскрытая уязвимость в Azure Entra ID: токены от бэкенда плюс легаси API с отсутствием их валидации позволяли злоумышленнику получить доступ к любому аккаунту с Entra ID. Конечно, ни месяца без критических уязвимостей от...
ТОП/АНТИ-ТОП «страшилок» сентября. Какие уязвимости реально опасны для Рунета
Привет, Хабр! Представляю вам список самых громких CVE сентября — в нем и реально опасные штуки, и те, кто просто громко лает, но не кусает. Читать далее...
Анализ CVE-2024-38107 в Power Dependency Coordinator
В данной статье будет рассмотрена еще одна известная уязвимость в Power Dependency Coordinator (pdc.sys) - CVE-2024-38107 По информации производителя, она эксплуатировалась in-the-wild, исправление для нее было выпущено в августе 2024 https://nvd.nist.gov/vuln/detail/cve-2024-38107...
Сентябрьский «В тренде VM»: уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server
Привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
OWASP Top Ten 2021 через простые примеры на Java. И немного про SAST
В этой статье мы расскажем про категории OWASP Top Ten 2021 через призму срабатываний Java анализатора PVS-Studio. Так что, если у вас есть желание посмотреть на возможные паттерны уязвимостей в Java коде или узнать, что из себя представляют категории OWASP Top Ten, приятного чтения! Читать далее...
Новости кибербезопасности за неделю с 1 по 7 сентября 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про не совсем суверенный цифровой суверенитет, Минцифры хочет легализовать DDOS, но не для всех, почему стоит держать web-камеру закрытой и про то, что можно стать учёным, просто делая инструменты для...
Как черные шляпы пользуются открытостью open source ПО
ПО с открытым кодом (и особенно со свободными лицензиями) стало фундаментом многих (или даже большинства) информационных систем. Однако открытость кода, баг-трекера, списков рассылок и публичный способ передачи патчей/PR используются злоумышленниками. Читать далее...
Топ самых интересных CVE за август 2025 года
Всем привет! Время для нашей ежемесячной подборки ключевых CVE. В августе десяточкой по CVSS отметилась, конечно же, Cisco — в аутентификации через RADIUS в Secure FMC забыли санитизировать пользовательский ввод. В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через...
Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании
Установить злоумышленников удалось в результате исследования, которое провели аналитики F6. Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat...
[Перевод] Бесплатный инструмент Autoswagger находит уязвимости API, которые злоумышленники надеются, что вы пропустите
API-интерфейсы — основа современных приложений и одна из самых уязвимых частей инфраструктуры организации. Это делает их излюбленной целью злоумышленников. Тревожно, что подобные уязвимости настолько легко эксплуатировать, что этому можно научить человека без технического образования за один день....
Топ самых интересных CVE за июль 2025 года
Всем привет! Разбираем ключевые уязвимости июля. В прошлом месяце тон задала контора замечательных людей Cisco: компания отметилась очередным забытым тестовым аккаунтом в Unified CM и SME, а также дырявым API в ISE и ISE-PIC под RCE — обе CVE на 10 из 10. Десяточку под RCE без авторизации также...
Новости кибербезопасности за неделю с 14 по 20 июля 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про очень спорные поправки в закон о передачи Sim, рекламе VPN и поиске экстремистских материалов, про новый способ передачи вредоносов в DNS, про возможный запрет WhatsApp в России, про то, что...
Как я зарегистрировал CVE и разозлил вендора
Статьи про багхантинг часто говорят о пользе для резюме, багбаунти, повышении безопасности продуктов, доступе на закрытые мероприятия. Информация о проблемах во взаимодействии с разработчиками в процессе багхантинга упоминается лишь изредка (и часто - вскользь). Но, это тоже важная часть...
Анализ уязвимости CVE-2025-27736 в Power Dependency Coordinator
Данная статья посвящена багу в Power Dependency Coordinator (CVE-2025-27736), запатченному Microsoft в апреле этого года. В описании CVE сказано, что баг связан с раскрытием информации (адресов ядра). Exposure of sensitive information to an unauthorized actor in Windows Power Dependency Coordinator...
Новости кибербезопасности за неделю с 30 июня по 6 июля 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про то, почему теперь свой телефон лучше вообще никому не давать, про критическую уязвимость в sudo, про молодой талант, который работает на Microsoft, про планируемые нововведения в IOS и другие только...
Топ самых интересных CVE за июнь 2025 года
Всем привет! Время для разбора ключевых CVE июня. В прошлом месяце прогремела уязвимость в Linux на получение root-прав через UDisks. Также засветилась критическая уязвимость под RCE в Secure Boot. Критическими CVE отметились Cisco ISE, HPE StoreOnce Software, драйверы GPU Adreno от Qualcomm и...
Новости кибербезопасности за неделю с 16 по 22 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. Новости этой недели про то, как государство закручивает гайки и приближает нас к 1984, новые уязвимости, позволяющие получит root в linux, фейковая новость про утечку в 16 млрд. записей и другие только самые интересные и...