Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярном сервисе контроля акцизных марок Frontol Mark Unit.

На радарах СКИПА зафиксировано около 500 экземпляров Frontol Mark Unit, из которых более 200 подвержены данным уязвимостям. Пользователи СКИПА PentOps были уведомлены об уязвимости 9 октября 2025 года.

Неверное ограничение имени пути к каталогу
• СОК-2025-10-03 / BDU:2025-12567
• Уязвимы версии до 4.4.1.663 включительно.
• CVSS 4.0
• 9.2 — критический уровень опасности.

Уязвимость связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.

Использование криптографических алгоритмов
• СОК-2025-10-04 / BDU:2025-12568
• Уязвимы версии до 4.4.1.663 включительно.
• CVSS 4.0
• 8.3 — высокий уровень опасности.

Уязвимость связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.

Рекомендуем обновить ПО до версии 4.5.0 и выше.

Благодарим команду Frontol Mark Unit за взаимодействие при обработке информации об уязвимостях и ФСТЭК России за содействие в их регистрации.

Исследователь компании СайберОК обнаружил несколько уязвимостей в программном обеспечении «Платформа для онлайн‑обучения Skillspace», связанных с возможностью перечисления пользователей и отправки электронных писем от имени сервиса.

Пользователи сервиса СайберОК СКИПА PentOps были уведомлены об обнаруженных уязвимостях 19 декабря 2025 года.

Данные уязвимости могут использоваться злоумышленниками на этапе разведки для сбора информации о пользователях платформы и подготовки последующих атак.

Перечисление пользователей (User Enumeration)
• COK‑2025‑11‑12, COK‑2025‑11‑13
• CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
• 5.3 — средний уровень опасности

Уязвимость позволяет неавторизованному пользователю перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как атака перебором паролей (Brute Force) или массовый подбор паролей к разным учетным записям (Password Spraying).

Подмена отправителя электронных писем (Email Spoofing)
• COK‑2025‑11‑14
• CVSS 3.1 AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:L
• 7.7 — высокий уровень опасности

Уязвимость позволяет злоумышленнику отправлять электронные письма, имитируя сообщения от платформы, с частичным нарушением верстки.

В совокупности с уязвимостями COK‑2025‑11‑12 и COK‑2025‑11‑13 это может создать предпосылки для проведения целевых фишинговых атак на клиентов платформы с использованием методов социальной инженерии.

Статус устранения
Поскольку Skillspace является программным обеспечением, предоставляемым как сервис (SaaS‑решением), по информации ФСТЭК, исправления были развернуты централизованно на стороне сервиса. Пользователям платформы не требуется выполнять обновление программного обеспечения — изменения применены автоматически.

Рекомендации
• Рекомендуется внимательно проверять письма, особенно если письмо содержит приглашения к курсам или внешние ссылки.
• Провести дополнительное информирование пользователей о возможных фишинговых письмах, имитирующих уведомления от платформы Skillspace.

Исследователи СайберОК Роберт Торосян и xh4vm обнаружили несколько уязвимостей в статическом анализаторе безопасности приложений (SAST) Solar appScreener. Пользователи CyberOK СКИПА PentOps были уведомлены 10 ноября.

User Enumeration
• COK-2025-11-02 / BDU:2026-00590
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
• 5.3 — средний уровень опасности
Описание: Уязвимость позволяет неавторизованно перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как Brute Force или Password Spraying.

Blind SSRF
• COK-2025-11-04 / BDU:2026-00382
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1 AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:N / A:L
• 6.4 — средний уровень опасности
Описание: Уязвимость позволяет злоумышленнику осуществлять несанкционированные HTTP-запросы от имени уязвимой системы, что может быть использовано для сканирования внутренней инфраструктуры и анализа на предмет открытых портов веб-приложений, подбора учетных данных к другим инстансам Jira, а также для организации атак на отказ в обслуживании путем отправки запросов на подконтрольные информационные ресурсы с большим объемом возвращаемой информации.

Email Spoofing
• COK-2025-11-01 / BDU:2026-00383
• Уязвимы все версии до 3.15.7 включительно
• CVSS 3.1
AV:N / AC:L / PR:L / UI:N / S:C / C:N / I:H / A:N
• 7.7 — высокий уровень опасности
Описание: Уязвимость позволяет отправлять электронные письма от имени легитимного корпоративного адреса с произвольным текстовым содержимым.

Рекомендации
• Обновиться до актуальной версии 3.15.8 или выше
• Провести аудит на User Enumeration / SSRF / Email Spoofing в собственных системах.

Комментарий от "Солара":
«Популярные продукты всегда привлекают внимание независимых исследователей. В сотрудничестве с экспертами СайберОК были выявлены потенциальные уязвимости. Возможные риски были снижены благодаря тому, что клиенты используют on-prem-решение. По итогам дополнительного аудита уязвимости устранены, информация об этом опубликована на сайте ФСТЭК.
Рекомендуем всем пользователям, использующим версии ниже 3.15.8 обновить решение. Вы можете сделать это через Личный Кабинет».

Благодарим команду "Солар" за профессиональное взаимодействие и оперативное устранение выявленных уязвимостей.

Сергей Гордейчик, CEO СайберОК, принял участие в съёмках фильма «Как получить доступ ко всему» — научпоп-документалки о реверс-инжиниринге и людях, для которых «разобрать» — базовый принцип мышления.

Сергей комментирует:
«Я никогда не был настоящим реверсером — ни в софте, ни в железе. Но принять участие в съёмках взрослого фильма — очень интересный опыт.
У реверса много граней. Моя первая серьёзная работа — миграция железнодорожной АСУ с мейнфреймов, чтобы спасти систему от «проблемы 2000». Поверьте, там было много реверса: сети, процессов, алгоритмов и людей, которые когда-то писали этого монстра.
Сейчас с большим интересом погружаюсь в «Мысли Ксеноса», разбирая ИИ и агентов».

Про что фильм?
В фильме мы с интересом и любовью рассказываем о развитии реверса за последние 100 лет — от промышленности после Первой мировой и больших ЭВМ до ИИ и «киберпанка, который мы заслужили» в ближайшем будущем. Для нас это попытка простым языком объяснить, чем мы на самом деле занимаемся, и дать почувствовать себя частью чего-то большого.

«Как получить доступ ко всему: реверс-инжиниринг»
Премьерные показы в Москве пройдут 27 и 28 февраля.

Трейлер

В поддержку релиза вышел альбом HUMAN–MACHINE INTERLEAVE: SIGNAL BLEED проекта In Dependence (тот самый, который уже делал «хакерскую» музыку для PHDays).

Билеты
Разыгрывают 30 пар (не больше двух в одни руки). Нужно нажать «Участвую!» под постом, победителей объявят 19 февраля в 17:00.

Всем гостям показов обещают экскурсии по фиджитал-пространству Кибердома: Музей истории реверса и «Лаборатория реверсеров».
Удачного реверса!

Исследователь СайберОК обнаружил несколько уязвимостей в Secure-T Awareness Platform — платформе для повышения осведомленности сотрудников в области информационной безопасности.

Мы благодарим команду Secure-T Awareness Platform за оперативное устранение выявленных недочетов.

Данное ПО зачастую используется внутри корпоративных сетей, однако, по данным СКИПА, встречается в российском сегменте Интернет.
Клиенты СКИПА PentOps были уведомлены 24 ноября 2025 года.

User Enumeration через функционал восстановления пароля
• COK-2025-11-06 / BDU:2025-14446
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
• 5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.

User Enumeration через функционал аутентификации
• COK-2025-11-07 / BDU:2025-14447
• CVSS 3.1
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
5.3 — средний уровень опасности
Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе.

Уязвимые версии
• до 4.4.6.

Риски
• Сбор списка «живых» пользователей.
• Повышение эффективности brute-force и credential stuffing атак.
• Использование уязвимости как разведывательного этапа перед целенаправленными атаками.

В настоящее время уязвимость устранена в SaaS, выпущено обновление безопасности. Пользователям on-prem решений рекомендуется обновится до последней версии.

Компенсирующие меры
1. Ограничение возможности подключения к ПО путем внедрения механизма «белых» списков.
2. Ограничение доступа к ПО из внешних сетей (Интернет).
3. Ограничить вход в ПО исключительно через предварительную предаутентификацией сторонним провайдером (SSO).
4. Обновление ПО до версии 4.4.6. и выше.

Море Рунета обманчиво спокойно. Поверхность его гладка, сервисы идут ровным курсом, сигнальные огни мигают исправно. Но стоит лишь опустить взгляд глубже и становится ясно, что на глубине обитают монстры, о существовании которых предпочитают молчать.
В декабре и январе судно «СайберОК» совершило очередную экспедицию по отлову уязвимостей.

Из бортового журнала СКИПА:
• 16554 угрозы были зарегистрированы за 2 месяца — новые и те, что вновь дали о себе знать.
• 15718 из них — абсолютно новые уникальные уязвимости.
• 4364 угроз имели хотя бы одно уникальное упоминание за период.
• 5310 из них — HIGH / CRITICAL.
• 3657 не требуют ни ключей, ни разрешений.
• 37 — KEV.
• 170 уязвимостей взяты в работу.

В этом перечне — монстры разного рода:
одни действительно способны потопить судно,
другие же пугают лишь обликом, не представляя опасности.

Однако опыт мореплавателя учит: недооценённая уязвимость нередко бывает страшнее очевидного врага.

Читать «Левиафаны Рунета — ТОП / АНТИТОП уязвимостей декабря и января»