Исследователи СайберОК Роберт Торосян и xh4vm обнаружили несколько уязвимостей в статическом анализаторе безопасности приложений (SAST) Solar appScreener. Пользователи CyberOK СКИПА PentOps были уведомлены 10 ноября.

User Enumeration
• COK-2025-11-02 / BDU:2026-00590
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
• 5.3 — средний уровень опасности
Описание: Уязвимость позволяет неавторизованно перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как Brute Force или Password Spraying.

Blind SSRF
• COK-2025-11-04 / BDU:2026-00382
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1 AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:N / A:L
• 6.4 — средний уровень опасности
Описание: Уязвимость позволяет злоумышленнику осуществлять несанкционированные HTTP-запросы от имени уязвимой системы, что может быть использовано для сканирования внутренней инфраструктуры и анализа на предмет открытых портов веб-приложений, подбора учетных данных к другим инстансам Jira, а также для организации атак на отказ в обслуживании путем отправки запросов на подконтрольные информационные ресурсы с большим объемом возвращаемой информации.

Email Spoofing
• COK-2025-11-01 / BDU:2026-00383
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N / AC:L / PR:L / UI:N / S:C / C:N / I:H / A:N
• 7.7 — высокий уровень опасности
Описание: Уязвимость позволяет отправлять электронные письма от имени легитимного корпоративного адреса с произвольным текстовым содержимым.

Рекомендации
• Обновиться до актуальной версии 3.15.8 или выше
• Провести аудит на User Enumeration / SSRF / Email Spoofing в собственных системах.

Комментарий от "Солара":
«Популярные продукты всегда привлекают внимание независимых исследователей. В сотрудничестве с экспертами СайберОК были выявлены потенциальные уязвимости. Возможные риски были снижены благодаря тому, что клиенты используют on-prem-решение. По итогам дополнительного аудита уязвимости устранены, информация об этом опубликована на сайте ФСТЭК.
Рекомендуем всем пользователям, использующим версии ниже 3.15.8 обновить решение. Вы можете сделать это через Личный Кабинет».

Благодарим команду "Солар" за профессиональное взаимодействие и оперативное устранение выявленных уязвимостей.

Сергей Гордейчик, CEO СайберОК, принял участие в съёмках фильма «Как получить доступ ко всему» — научпоп-документалки о реверс-инжиниринге и людях, для которых «разобрать» — базовый принцип мышления.

Сергей комментирует:
«Я никогда не был настоящим реверсером — ни в софте, ни в железе. Но принять участие в съёмках взрослого фильма — очень интересный опыт.
У реверса много граней. Моя первая серьёзная работа — миграция железнодорожной АСУ с мейнфреймов, чтобы спасти систему от «проблемы 2000». Поверьте, там было много реверса: сети, процессов, алгоритмов и людей, которые когда-то писали этого монстра.
Сейчас с большим интересом погружаюсь в «Мысли Ксеноса», разбирая ИИ и агентов».

Про что фильм?
В фильме мы с интересом и любовью рассказываем о развитии реверса за последние 100 лет — от промышленности после Первой мировой и больших ЭВМ до ИИ и «киберпанка, который мы заслужили» в ближайшем будущем. Для нас это попытка простым языком объяснить, чем мы на самом деле занимаемся, и дать почувствовать себя частью чего-то большого.

«Как получить доступ ко всему: реверс-инжиниринг»
Премьерные показы в Москве пройдут 27 и 28 февраля.

Трейлер

В поддержку релиза вышел альбом HUMAN–MACHINE INTERLEAVE: SIGNAL BLEED проекта In Dependence (тот самый, который уже делал «хакерскую» музыку для PHDays).

Билеты
Разыгрывают 30 пар (не больше двух в одни руки). Нужно нажать «Участвую!» под постом, победителей объявят 19 февраля в 17:00.

Всем гостям показов обещают экскурсии по фиджитал-пространству Кибердома: Музей истории реверса и «Лаборатория реверсеров».
Удачного реверса!

Исследователь СайберОК обнаружил несколько уязвимостей в Secure-T Awareness Platform — платформе для повышения осведомленности сотрудников в области информационной безопасности.

Мы благодарим команду Secure-T Awareness Platform за оперативное устранение выявленных недочетов.

Данное ПО зачастую используется внутри корпоративных сетей, однако, по данным СКИПА, встречается в российском сегменте Интернет.
Клиенты СКИПА PentOps были уведомлены 24 ноября 2025 года.

User Enumeration через функционал восстановления пароля
• COK-2025-11-06 / BDU:2025-14446
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
• 5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.

User Enumeration через функционал аутентификации
• COK-2025-11-07 / BDU:2025-14447
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.

Уязвимые версии
• до 4.4.6.

Риски
• Сбор списка «живых» пользователей.
• Повышение эффективности brute-force и credential stuffing атак.
• Использование уязвимости как разведывательного этапа перед целенаправленными атаками.

В настоящее время уязвимость устранена в SaaS, выпущено обновление безопасности. Пользователям on-prem решений рекомендуется обновится до последней версии.

Компенсирующие меры
1. Ограничение возможности подключения к ПО путем внедрения механизма «белых» списков.
2. Ограничение доступа к ПО из внешних сетей (Интернет).
3. Ограничить вход в ПО исключительно через предварительную предаутентификацией сторонним провайдером (SSO).
4. Обновление ПО до версии 4.4.6. и выше.

Море Рунета обманчиво спокойно. Поверхность его гладка, сервисы идут ровным курсом, сигнальные огни мигают исправно. Но стоит лишь опустить взгляд глубже и становится ясно, что на глубине обитают монстры, о существовании которых предпочитают молчать.
В декабре и январе судно «СайберОК» совершило очередную экспедицию по отлову уязвимостей.

Из бортового журнала СКИПА:
• 16554 угрозы были зарегистрированы за 2 месяца — новые и те, что вновь дали о себе знать.
• 15718 из них — абсолютно новые уникальные уязвимости.
• 4364 угроз имели хотя бы одно уникальное упоминание за период.
• 5310 из них — HIGH / CRITICAL.
• 3657 не требуют ни ключей, ни разрешений.
• 37 — KEV.
• 170 уязвимостей взяты в работу.

В этом перечне — монстры разного рода:
одни действительно способны потопить судно,
другие же пугают лишь обликом, не представляя опасности.

Однако опыт мореплавателя учит: недооценённая уязвимость нередко бывает страшнее очевидного врага.

Читать «Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января»

Исследователь СайберОК обнаружил уязвимость в системе электронного документооборота DIRECTUM.

На радарах СКИПА мы наблюдаем более 400 сервисов с данным ПО, из которых около 8% уязвимы. Пользователи СКИПА PentOps были уведомлены об уязвимости 18 сентября 2025 года.

Об уязвимости
• СОК-2025-08-04 / BDU:2025-11477
• CVSS 3.1: 5.3 — средний уровень опасности
AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:N
Уязвимость позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.
Уязвимая версия: 5.7.3.9006

Риски
• Сбор списка «живых» пользователей.
• Рост эффективности brute-force и credential stuffing.
• Использование как разведывательного этапа перед целенаправленными атаками.

Компенсирующие меры
• Ограничить доступ путем внедрения механизма «белых» списков.
• Закрыть доступ из внешних сетей (Интернет).
• Разрешить вход только через SSO (предаутентификация).
• Отключить веб-интерфейс DIRECTUM.

Казалось, после громкой RCE ( CVE-2025-55182) в React Server Components (RSC) можно выдохнуть, но нет.
Исследователи из Winfunc, Flatt Security и Tencent нашли новую уязвимость — CVE-2026-23864, которая бьет не по конфиденциальности, а по доступности: любой RSC-сервер можно отправить в нокаут тривиальным запросом, минуя любые формы авторизации.

На радарах СКИПА:
• ~26 000 хостов, использующих уязвимую цепочку React / Next.js
• 8 500+ доступных извне, потенциально уязвимы.
• Что происходит внутри корпоративных сетей — остается за кадром. Клиенты PentOps были своевременно уведомлены.

Суть уязвимости
В парсере react-server-dom, который обрабатывает Server Actions, есть фундаментальная асимметрия:
крошечный POST-запрос от атакующего → неконтролируемая рекурсия / аллокация памяти на сервере.

Результат:
• 100% CPU
• Memory spike
• Node.js падает с OOM или зависает
• Сервис перестаёт отвечать

Уязвимость детектируется как на уровне библиотек React, так и в готовой инфраструктуре Next.js, поэтому под удар попадает не отдельная реализация, а вся экосистема RSC.

Активная эксплуатация
Фиксируются сигналы In-the-Wild.
После публикации PoC для предыдущих уязвимостей, злоумышленники начали активно фаззить RSC-эндпоинты.
Для атаки достаточно знать, что сайт написан на Next.js App Router. Это увеличивает вероятность автоматизированных атак.

Уязвимые версии и цепочка зависимостей
Здесь важно понимать: вы уязвимы, если используете затронутую версию React напрямую ИЛИ транзитивно через фреймворк.

• React: ветки 19.0.0 – 19.2.3.
• Next.js: версии 13.x – 16.x (включает зависимости react-server-dom-webpack).
• Экосистема: react-router, waku, @parcel/rsc – все, кто внедрил экспериментальные RSC.

Индикаторы атаки (IoC)
• L7-аномалии: POST-запросы к эндпоинтам с заголовками RSC или Next-Router-State-Tree, содержащие аномально глубокую вложенность JSON (рекурсивные массивы) или флаги командной строки (-f, --).

• Ресурсный паттерн: Синхронный всплеск CPU до 100% и резкий рост потребления RAM (Memory Spike) при обработке единичного входящего POST-пакета.

• Runtime-логи: Задержки Event Loop более 500 мс и циклические перезапуски процессов Node.js с кодом 137 (OOM Killer).

Рекомендации по защите
1. Срочное обновиться до актуальных версий!
• React: Переход на версии 19.0.4, 19.1.5, 19.2.4 и выше.
• Next.js: Обновление до 15.0.8, 15.5.10 или 16.1.5+.

Важно: Если вы используете Next.js 13 или 14, вы находитесь в зоне максимального риска – официальных исправлений для этих веток не будет.

2. Настройте WAF на детектирование аномально глубокой вложенности или специфических цепочек объектов в POST-запросах к RSC-эндпоинтам (обычно содержат заголовок Next-Router-State-Tree или RSC). Ограничьте количество POST-запросов к API-роутам с одного IP.

3. В контейнеризованных средах жестко ограничьте лимиты памяти. Это позволит перезагрузить конкретный упавший под, не затрагивая соседние сервисы.

В январе 2026 года была вскрыта настоящая «капсула времени»: критическая уязвимость в реализации telnetd из пакета GNU Inetutils (CVE-2026-24061).
СКИПА видит в Рунете около 500 потенциально подверженных хостов, доступных извне, а что происходит внутри закрытых корпоративных сетей — можно только догадываться.

Суть уязвимости
В GNU Inetutils telnetd (до 2.7) удалённый атакующий может авторизоваться в системе, полностью минуя ввод пароля — для захвата контроля достаточно знать имя существующей учетной записи (например, root).

Через Telnet NEW-ENVIRON можно передать USER="-f root", и telnetd пробросит это в /usr/bin/login, где флаг -f включает autologin и обходит проверку пароля.

В мае 2025 года уязвимости исполнилось 10 лет!

Активная эксплуатация
В сети уже опубликован детальный технический анализ и полностью рабочий пример эксплуатации. Риск массового сканирования высок.
GNU InetUtils Security Advisory: remote authentication by-pass in telnetd

Таймлайн сигналов • 20 янв 2026 — Advisory + фикс от апстрима
• 21 янв 2026 — Публикация в NVD, CVSS 9.8
• 21 янв 2026 — Вторичное подтверждение через GHSA
• 21 янв 2026 — ITW-сигнал (есть упоминания эксплуатации)
• 22 янв 2026 — Технический разбор + PoC

Индикаторы атаки (IoC)
• Успешные login-сессии для root без предшествующей проверки пароля.
• В сетевом дампе встречаются параметры среды с флагами командной строки (например, -f, --)

Рекомендации по защите
1. Обновиться до GNU Inetutils 2.8 или применить официальные патчи, ограничивающие передачу спецсимволов в PATH_LOGIN.
2. Лучше вообще отключить telnetd (в 2026 это уже токсичное наследие) и перейти на SSH.
3. Закрыть 23 порт и оставить доступ только из доверенных сегментов (OOB/Management VLAN).
4. Провести инвентаризацию telnet-сервисов и проверить, что переменные окружения не могут влиять на login.

Дежавю из эпохи Solaris
Если кажется, что это сюжет из 90-х — не кажется. В старых UNIX/Solaris уже всплывали похожие истории вокруг telnet/rlogin, где «служебные флаги» для доверенного входа превращались в удалённый обход аутентификации. Ну кто из «старичков» не помнит CVE-2007-0882?
CVE-2026-24061 — это тот же архетип «legacy-протокол + доверенная логика autologin», который возвращается, когда Telnet всё ещё жив в инфраструктуре.