CYBEROK - открытые решения по кибербезопасности

Что делать, если классический фаззинг со статическими словарями часто шумный и малоэффективный?

В новой статье Станислав Савченко — ведущий специалист базы знаний Vulnum — показывает, как при помощи краулинга, детекта технологий и LLM сделать фаззинг точнее, умнее и реально полезнее для поиска уязвимостей. В статье описаны практические приёмы из опыта PentOps.

Читать полный материал тут или на сайте.

За сентябрь СКИПА зарегистрировала:
всего 7 415 дырок → 3 352 (High/Critical)
из них 422 — без привилегий и кликов, 84 — из KEV
→ 1 572 посмотрели эксперты
→ 136 разобрали детально
= в статье показываем ТОП/АНТИТОП-10 знаковых уязвимостей.

Эксперты CyberOK прошерстили сентябрьский массив в СКИПА и базе знаний Vulnum: искали, коррелировали и приоритизировали. Верифицировали PoC, проверяли распространённость и собрали для вас рабочие приоритеты — что действительно угрожает российским сервисам, а что просто хайп.

Читать полный материал на Хабре или на сайте.

Бюллетень в формате json

СКИПА фиксирует >30 000 устройств с SNMP v1/v2c в Рунете. Из них ≈1 700 выглядят потенциально уязвимыми к CVE-2025-20352.

Кратко об уязвимости CVE-2025-20352
— переполнение стека в подсистеме SNMP Cisco IOS/IOS XE. Нужны валидные SNMP-учётные данные:
• при низких правах возможен DoS (перезагрузка);
• на IOS XE при повышенных правах — RCE через специально сформированные SNMP-пакеты;
• уязвимость 0-day, т.е. уже используется злоумышленниками.

Что это значит по данным СКИПА
• Много устройств всё ещё отвечают по v1/v2c и/или на дефолтные сообщества public/private.
• ≈1 700 — версии и платформы, требующие проверки в Cisco Software Checker; наличие фикса зависит от релизной ветки (train) и конкретной платформы.

Признаки в логах/метриках
• Всплески SNMP auth failure, noSuchName, аномально частые запросы.
• Падение sysUpTime, повторные перезагрузки, записи в crashinfo.
• Нетипичные источники трафика UDP/161.

Рекомендации
1. Ограничить SNMP по ACL/CoPP (только менеджмент-хосты).
2. По возможности отключить v1/v2c, перейти на SNMPv3 (authPriv); сменить сообщества, если вынуждены оставить v1/2.
3. Обновить IOS/IOS XE до исправленных билдов по результатам Cisco Software Checker.
4. Мониторить sysDescr/sysUpTime и аномалии по UDP/161.

Быстрый самоаудит
Эксперты СайберОК опубликовали скрипт для экспресс-проверки.

В сентябре 2025 года в релизе GitLab 18.3.2 была устранена уязвимость CVE-2025-6454, затрагивающая GitLab CE и EE. Уязвимость позволяет аутентифицированному пользователю инициировать непреднамеренные внутренние запросы через прокси-среды, путём внедрения специально сформированных последовательностей в заголовки вебхуков.

Масштаб
СКИПА фиксирует 30 000 активных инстансов GitLab в Рунете — около 37% из них потенциально подвержены CVE-2025-6454. Пользователи СКИПА PentOps были своевременно уведомлены.

Об уязвимости
• Затронутые версии GitLab: c 16.11 до 18.1.6, c 18.2 до 18.2.6, с 18.3 до 18.3.2.
• Требуется действительная учётная запись, но не нужны повышенные права, предположительно, эксплуатация возможна, начиная с роли «Developer».
• Не требуется взаимодействие с пользователем.

* Согласно открытым данным на момент публикации публичный PoC отсутствует.

Что видно в логах — индикаторы
• Запросы, устанавливаются нестандартные HTTP-заголовки.
• Внутренние вызовы от GitLab к ресурсам прокси/метаданных/локальных API.

Рекомендации к защите
1. Обновите GitLab до версий 18.1.6, 18.2.6 или 18.3.2 или выше.
2. Проверьте настройки вебхуков: удалите/ограничьте возможность нестандартных HTTP-заголовков, особенно если они могут быть контролируемы пользователем.
3. Если GitLab развёрнут за обратным прокси-сервером или в сложной сетевой инфраструктуре, ограничьте внутренние ресурсы, к которым GitLab может обращаться.

В августе 2025 года в едином реестре ФСТЭК были зарегистрированы три уязвимости в TrueConf Server — сервере видеоконференцсвязи — BDU-2025-10114, BDU-2025-10115 и BDU-2025-10116. Все три подтверждены производителем и исправлены.

1. BDU-2025-10114
Уязвимость связана с обходом процедуры аутентификации (CWE-228) через альтернативный путь/канал. Эксплуатация может позволить удалённому нарушителю выполнять отдельные запросы к API сервера.
Уязвимые версии: до 5.3.7, до 5.5.1, до 5.4.6, до 5.5.1.10180.

2. BDU-2025-10115
Ошибка обработки относительных путей (CWE-23) к каталогу позволяет получить несанкционированный доступ к защищаемой информации.
Уязвимые версии: до 5.3.7, до 5.5.1, до 5.4.6, до 5.5.1.10180. 3. BDU-2025-10116
Уязвимость из-за отсутствия фильтрации спецсимволов позволяет удалённому нарушителю выполнить произвольный код (CWE-78).
Оценка критичности — 9.8.
Уязвимые версии: до 5.3.7, до 5.5.1, до 5.4.6, до 5.5.1.10180.

Масштаб
TrueConf является одной из самых популярных платформ ВКС в РФ.
Согласно данным СКИПА, в Интернете доступно несколько тысяч исталяций. Более 80% из них потенциально уязвимо*. Пользователи СКИПА PentOps получают данные о рисках раньше, чем уязвимости становятся массово эксплуатируемыми.
* Один хост может быть подвержен трём уязвимостям одновременно.

Активная эксплуатация / статус PoC
На момент публикации в открытом доступе отсутствуют рабочие PoC или эксплойты. Это снижает вероятность массовой эксплуатации, однако появление публичного PoC'a в ближайшее время исключать нельзя.

Что видно в логах — на что смотреть
• Повторяющиеся или нетиповые вызовы API.
• Резкий рост числа 4xx/5xx-ответов на API и всплески трафика вне рабочих часов.
• Попытки доступа к файлам через относительные пути (..), длинные/закодированные пути.
• Неожиданные POST/PUT-запросы, появление новых нетиповых файлов на хосте.
• Создание новых учётных записей.

Рекомендации
1. Обновите TrueConf Server до исправленных версий: 5.5.1 / 5.4.6 / 5.3.7.
2. Изолируйте уязвимые инстансы от публичного доступа, если обновление откладывается.
3. Ограничьте доступ к API: внедрите rate-limit и базовые WAF-правила.
4. Проверьте права сервисных аккаунтов и смените пароли после патча при подозрении на компрометацию.
5. Информируйте подрядчиков и клиентов: коротко уведомите их о риске и планах по устранению (если система поддерживается третьими лицами).

На форуме Москва 2030 на площадке нового корпуса МГТУ им. Баумана прошёл живой подкаст «Смени пароль! Нейросеть для программиста: помощь или угроза?»

CEO СайберОК Сергей Гордейчик вместе с экспертами из ИТ-индустрии обсудил, чем реально помогают нейросети разработчикам, какие риски стоит учитывать и делают ли они программиста быстрее… или же уязвимее.

Запись можно посмотреть тут.

В сентябре 2025 года SAP выпустила обновления безопасности для двух критических уязвимостей в SAP NetWeaver Application Server Java — CVE-2025-42922 и CVE-2025-42944. Обе уязвимости при определённых условиях позволяют выполнить удалённый код (RCE) и полностью скомпрометировать сервер.

1. CVE-2025-42922 — уязвимость в механизме загрузки файлов через Deploy Web Service: аутентифицированный пользователь с низкими привилегиями может загрузить произвольный файл, что при определённой конфигурации приводит к исполнению кода.

2. CVE-2025-42944 — уязвимость в модуле RMI-P4: неаутентифицированный удалённый атакующий может отправить специально сформированную полезную нагрузку на открытый порт и выполнить произвольную команду.

Масштаб
На радарах СКИПА обнаружено более 140 активных инстансов SAP NetWeaver в Рунете. Из них ≈10% потенциально подвержены уязвимостям.
*Один и тот же хост может быть подвержен обеим уязвимостям одновременно.

Почему это важно
Уязвимости опасны тем, что позволяют получить контроль над сервером — от утечки конфиденциальных данных до установки бэкдоров и последующего продвижения во внутренней сети. CVE-2025-42944 особенно критична, поскольку не требует аутентификации в классическом сценарии.

Что смотреть в логах — быстрые индикаторы
• Необычные обращения к Deploy Web Service;
• Необычные входящие соединения на RMI-порты;
• Рост числа ошибок, сбросов сессий или всплески трафика в нерабочее время.

Рекомендации
1. Патчить немедленно. Установите официальные обновления SAP на NetWeaver.
2. Ограничить доступ. Закрыть внешние интерфейсы NetWeaver по IP-фильтрам, VPN или ACL, особенно порты RMI и сервисы управления.
3. Проверить загрузки/артефакты. Просканировать каталоги на предмет нетипичных/недавно загруженных файлов.
4. Ревизия прав и учётных записей. Сменить пароли/ключи для сервисных аккаунтов.

Исследовательница СайберОК Марина Удодова обнаружила XSS-уязвимость в модуле для Bitrix «Система бонусов. Программы лояльности» от разработчика АКРИТ.

Данная уязвимость позволяет выполнить вредоносный JavaScript код в контексте браузера жертвы, что может привести к краже сессионных кук или выполнению действий от имени атакованного пользователя.

На радарах СКИПА мы наблюдаем более 1.400 сервисов, на которых установлен данный модуль. Пользователи СКИПА PentOps были уведомлены об уязвимости 26 августа.

Идентификаторы:
• СOK-2025-08-03
• BDU:2025-10275

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N (6.1) — средний уровень опасности
Уязвимы все версии до 3.4.9

Рекомендации
Обновиться до актуальной версии >= 3.4.9

В августе 2025 года обнаружена уязвимость CVE-2025-7775 (CVSS 9.2) в устройствах NetScaler ADC / NetScaler Gateway. Уязвимость — переполнение памяти, которое может привести к удалённому выполнению кода (RCE) и/или отказу в обслуживании (DoS) при определённой конфигурации устройства.

СКИПА отслеживает около 600 предположительно уязвимых экземпляров NetScaler Gateway/ADC в Рунете. Пользователи СКИПА PentOps были своевременно уведомлены.

Уязвимость возможна при ряде дополнительных условий — в частности, когда NetScaler настроен как Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) или как AAA virtual server, либо когда в конфигурации используются LB-виртуальные серверы типа HTTP / SSL / HTTP_QUIC, связанные со службами или группами служб, привязанными к IPv6 (включая DBS IPv6) — а также в ряде конфигураций CR/HDX. В таких условиях специально сформированный пакет может вызвать переполнение памяти и дать атакующему возможность выполнить код или вызвать сбой (DoS).

Затронутые версии: NetScaler ADC / NetScaler Gateway (включая ветки 13.1, 14.1; также 13.1-FIPS и NDcPP-сборки в зависимости от конфигурации).

Активная эксплуатация
Citrix и сторонние исследователи подтверждают: эксплуатация CVE-2025-7775 зафиксирована в дикой природе — уязвимость отмечена как активно используемая. CISA добавила CVE-2025-7775 в каталог известных эксплуатируемых уязвимостей (KEV). Установка патча критически важна!

Признаки эксплуатации
• Необычные запросы на виртуальные серверы Gateway / AAA / HTTP / SSL / HTTP_QUIC.
• Внезапные перезагрузки / отключение службы NetScaler.
• Необычные привилегированные сессии или несвязанные с авторизацией команды в management-логах.

Рекомендации к защите
1. Установите официальные обновления / патчи Citrix для NetScaler ADC / Gateway.
2. Изолировать управление. Закройте доступ к NSIP / административным IP и интерфейсам управления из интернета (ограничьте доступ только с доверенных IP через VPN / management-сеть).
3. Индикаторы компрометации. Проверяйте на наличие неизвестных слушателей, неожиданных cron / скриптов, изменённых конфигураций и новых учётных записей.
4. Следить за уведомлениями CyberOK / Citrix / CISA и других поставщиков — ситуация развивается и могут появиться публичные эксплойты / IOCs.

В июле 2025 года зарегистрирована уязвимость BDU:2025-08683 (CVSS 9.1) в системе управления сайтом UMI CMS. Проблема связана с отсутствием корректной валидации содержимого веб-страниц, что позволяет злоумышленнику выполнить XSS-атаку через специально подготовленный файл и получить доступ к сессии администратора. Уязвимость подтверждена разработчиком и устранена в релизе UMI CMS 24 (92519).

Масштаб
По данным СКИПА, в Рунете работает около 20 000 активных инстансов UMI CMS, из них примерно 2 000 уязвимы. Уязвимы все версии до 24 (92519).

Возможные последствия
• Кража сессии администратора;
• Внедрение произвольного JS-кода;
• Массовые дефейсы и компрометация сайтов.
• PoC в открытом доступе на данный момент не опубликован.

Рекомендации
1. Обновить UMI CMS до версии 24 (92519) или выше (changelog (https://www.umi-cms.ru/product/changelog/#change_24_92519)).
2. Ограничить доступ к административной панели (ACL, VPN).
3. Использовать WAF для фильтрации XSS-инъекций.

В марте 2025 года обнаружена уязвимость CVE‑2025‑1661 (CVSS 9.8) в плагине HUSKY – Products Filter Professional for WooCommerce. Уязвимость позволяет неаутентифицированным злоумышленникам через AJAX‑action woof_text_search с параметром template включать произвольные файлы на сервере (Local File Inclusion), что может привести к удалённому выполнению PHP‑кода.

СКИПА отслеживает около 5500 предположительно уязвимых экземпляров HUSKY в Рунете. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

Уязвимые версии
Все версии до 1.3.6.5 (включительно).

Активная эксплуатация
Существует публичный PoC. Зафиксированы массовые сканирования сайтов на наличие уязвимости.

В логах веб‑серверов фиксируются:
• GET-запросы к /wp-admin/admin-ajax.php?action=woof_text_search&template=../../../../etc/passwd-
• Аналогичные попытки прочитать wp-config.php и другие файлы.

Рекомендации к защите
1. Обновить плагин до версии 1.3.6.6 или выше.
2. Отключить плагин или заблокировать AJAX‑action woof_text_search.
3. Внедрить правила WAF для блокировки LFI‑паттернов (template=../…).
4. Провести аудит логов и файловой системы на признаки несанкционированного доступа.

В результате регулярного сканирования и верификации обнаружены массовые проявления как старых, так и новых уязвимостей в инстансах ThinkPHP. Эксперты CyberOK подтверждают, что ряд достаточно старых уязвимостей всё ещё активно встречается в 2025-м году.

СКИПА наблюдает более 400 доступных инстансов в Рунете.

TOP-5 уязвимостей
CVE-2022-47945 — ≈28%
CVE-2024-34467 — ≈27%
CVE-2019-9082 — ≈15%
CVE-2022-25481 — ≈12%
CVE-2022-45982 — ≈5%

Эксперты CyberOK наблюдают значительную часть инстансов с устаревшими версиями. Особенно показательно, что в топе лидирует уязвимость 2022 года. Для атакующих такие сервисы — лёгкая добыча: уязвимости подробно описаны, для некоторых есть публичный PoC.

Это заметно увеличивает шанс автоматизированных сканирований и массовой эксплуатации. При этом достаточно даже одного уязвимого сервиса, чтобы он стал «точкой входа» в инфраструктуру. И неважно, свежая это CVE или старая — цепочка атак может начаться именно с таких забытых и незащищённых систем.

Рекомендации к защите
1. Обновить ThinkPHP и связанные модули — применить официальные патчи.
2. Изолировать уязвимые хосты от внешнего доступа (ACL, firewall, VPN) до устранения проблемы.
3. Аудит логов — проверить логи за последние 30–90 дней на предмет сканирований и подозрительных запросов.

Исследователь Сайбер ОК обнаружил две взаимосвязанные уязвимости в системе управления содержимым сайта PARTS SOFT CMS. Эти уязвимости в совокупности представляют серьезную угрозу для безопасности данных и целостности системы.

На радарах СКИПА мы наблюдаем более 5000 сервисов с данным ПО, доступных в Интернет. Так как патч отсутствует, все эти сервисы уязвимы.
Пользователи СКИПА PentOps были уведомлены об уязвимостях 20 мая.

1. Уязвимость перебора пользователей
Идентификаторы:
• COK-2025-04-08
• BDU:2025-05287

CVSS 3.0: 7.5 - Высокий уровень опасности (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Отличие в ответах сервера позволяет злоумышленнику осуществлять перебор существующих пользователей, что раскрывает конфиденциальную информацию и упрощает атаки типа password spraying и фишинг.

2. Уязвимость межсайтовой подделки запросов (CSRF)
Идентификаторы:
• COK-2025-04-09
• BDU:2025-05286

CVSS 3.0: 6.1 - Средний уровень опасности (AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N)

Уязвимость системы управления содержимым сайта PARTS SOFT СMS связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку путём отправки специально сформированного POST-запроса. Эта уязвимость классифицируется как Межсайтовая фальсификация запросов (CWE-352).

Взаимосвязь уязвимостей и статус
Уязвимость BDU:2025-05286 (CSRF) может быть успешно эксплуатирована после получения идентификаторов пользователей с помощью уязвимости BDU:2025-05287 (перебор ID).

Патча для данных уязвимостей на данный момент нет.

Компенсирующие меры
1. Защитить конечную точку перебора пользователей /users с помощью WAF.

2. Ограничить и контролировать обращения к конечным точкам аутентификации:
• внедрить рейт-лимиты (на уровне WAF или веб-сервера);
• логировать срабатывания лимитов для выявления подозрительной активности;
• блокировать аномальные запросы (например, массовые попытки входа с одного IP).

3. Обратиться к вендору за информацией о планах исправления и настаивать на выпуске патча.

Исследователь СайберОК обнаружил критическую уязвимость в платформе Бинго-софт «Акцент» - системе для быстрой разработки бизнес-приложений (например, для автоматизации процессов, CRM или ERP-систем) с минимальным написанием кода. Данная система зарегистрирована в реестре отечественного ПО.

На радарах СКИПА мы наблюдаем более 150 экземпляров данного ПО, доступных в Интернет. Около 10 подвержены данной уязвимости.
Пользователи СКИПА PentOps были уведомлены об уязвимости 11 июля.

Подвержены все версии до 2.3.18 (версия ApiQL)

Уязвимости присвоен идентификатор BDU:2025-08261
Идентификатор CyberOK: COK-2025-07-01

CVSS 3.1: 9.3 – критический уровень опасности (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L)

Рекомендации – обновиться до актуальной версии.

В начале августа 2025 года была раскрыта крайне опасная уязвимость CVE-2025-54574 с базовым CVSS 3.1 = 9.3 (Critical). Проблема затрагивает широко используемый прокси-сервер Squid версий 6.3 и ниже, задействованных для кэширования и фильтрации HTTP/HTTPS/FTP трафика.

СКИПА фиксирует более 100 тысяч экземпляров данного ПО в Рунете – свыше 27% из них потенциально уязвимы.

Описание уязвимости
Уязвимость представляет собой heap-based buffer overflow при обработке URN (Uniform Resource Name) запросов. Ошибка возникает из-за некорректной работы с памятью в момент обработки ответов формата Trivial-HTTP, что позволяет злоумышленнику отправить специально составленный URN и вызвать переполнение кучи.
При этом возможно:
• удалённое выполнение произвольного кода без авторизации (RCE);
• утечка до 4 КБ данных из кучи (heap memory leak), включая конфиденциальную информацию (сессионные токены, ключи и пр.).

Атака не требует участия пользователя.

Распространённость и риск
Squid установлен в огромном числе корпоративных, провайдерских и академических инфраструктур по всему миру. Уязвимость затрагивает версии вплоть до Squid 4.x (до 4.17), 5.x (до 5.9) и 6.x (до 6.3), старые ветки считаются потенциально уязвимыми даже без тестирования.
CVSS 9.3 и открытые условия эксплуатации делают CVE-2025-54574 одним из наиболее серьёзных инцидентов текущего года.

Условия эксплуатации
• Доступ к Squid-серверу из сети (прямое или через веб-интерфейс прокси).
• Обработка URN-запросов (чаще применяется в специфичных конфигурациях).
• Возможность отправки Trivial-HTTP ответа с поддельным URN заголовком, что и запускает ошибку.

Рекомендации по защите
Обновление:
• Обновите Squid до версии 6.4 или выше, где эта ошибка исправлена официальным релизом.

Временные меры, если обновление невозможно:
• Отключите поддержку URN, добавив в конфигурацию:
acl URN proto URN
http_access deny URN

Это блокирует атаки через URN-обработку.
Дополнительные меры
• Ограничьте доступ к Squid из непроверенных сетей.
• Внедрите мониторинг HTTP-трафика на подозрительные URL или нестандартные URN-запросы.
• Проверьте журналы на предмет необычных или ошибочных Trivial-HTTP ответов.

Исследователь СайберОК Роман Малов обнаружил уязвимость произвольной записи файлов (Arbitrary File Write) в MITRE Caldera — популярной платформе для эмуляции действий злоумышленников. Данная уязвимость потенциально может привести к удаленному выполнению кода.

• COK-2025-06-01 / BDU:2025-08715
• CVSS 3.1: 8.8 — высокий уровень опасности
• Уведомление ФСТЭК
На радарах СКИПА на момент публикации MITRE Caldera не фиксируется в Рунете, однако по миру насчитывается более 150 публичных инстансов.

Дополнительно: при развёртывании не в контейнере Caldera использует конфигурационный файл с учётными данными по умолчанию, что может стать дополнительным вектором риска при открытом доступе.

Исследователи «СайберОК» уведомили MITRE в соответствии с Vulnerability Disclosure Policy в github-репозитории проекта.

Рекомендации
• использовать Docker для развёртывания;
• изменять учётные данные по умолчанию;
• не публиковать Caldera в Интернет.

Исследователь CyberOK обнаружил несколько уязвимостей в AutoGRAPH Web – программной платформе для мониторинга транспорта, персонала и объектов инфраструктуры.

СКИПА фиксирует более 650 экземпляров данного ПО в Рунете – свыше 75% из них уязвимы. отслеживает около 30.000 инсталляций SOGo в Рунете, из которых 98% предположительно уязвимы.
Пользователи СКИПА PentOps были уведомлены 3 февраля.

1. XSS в модуле аутентификации
Уязвимость позволяет выполнить вредоносный JavaScript в браузере жертвы через скомпрометированный URL. Возможна кража сессионных куки или подмена действий пользователя.
• COK‑2024‑11‑02 / BDU:2025‑09193
• CVSS 3.0: 5.9 — средний уровень опасносии
• Уязвимы все версии до 2025.1.1.4
• Уведомление ФСТЭК

2. Уязвимость перебора пользователей
Уязвимость позволяет раскрывать существующие учетные записи, упрощая последующие атаки, такие как распыление пароля или фишинг. • COK‑2024‑11‑03 / BDU:2025‑09195
• CVSS 3.0: 5.3 — средний уровень опасности
• Уязвимы все версии до 2025.1.1.4

3. Недостаточный срок действия сессии
Пользовательская сессия не истекает после выхода из учетной записи, что позволяет злоумышленнику использовать идентификаторы сеансов повторно, что может привести к несанкционированному доступу и вызвать нарушение конфиденциальности и целостности информации.
• COK‑2024‑11‑04 / BDU:2025‑09196
• CVSS 3.0: 6.8 — средний уровень опасности
• Уязвимы все версии до 2025.1.1.4

Рекомендации
Обновиться до актуальной версии ≥ 2025.1.1.4 как можно скорее.

Уязвимости в AutoGRAPH Web могут быть использованы в цепочке для полного компрометирования системы.

1. Злоумышленник осуществляет enumeration пользователей (перечисление учетных записей), подтверждая существование потенциальных имен пользователей на основе различий в ответах системы.
Эта уязвимость позволяет злоумышленнику собрать точный список активных учетных записей в системе AutoGRAPH Web.

2. Получив список пользователей, злоумышленник может создать вредоносную страницу, эксплуатирующую XSS-уязвимость в системе.
Атакующий отправляет персонализированные фишинговые ссылки конкретным пользователям из полученного списка с целью кражи их сессионных токенов.

3. Критичным фактором является уязвимость в управлении сессиями: злоумышленник может использовать украденные токены даже после выхода пользователя из системы — сессии не инвалидируются.

Это означает, что атакующий может бесконечно использовать украденные сессии для доступа к системе, так как система не обеспечивает надлежащее управление сессиями и не предотвращает hijacking сессий.

AutoGraph Web представляет собой критически важную систему мониторинга автобусов, спецтехники, охранных объектов и других важных активов на карте, последствия такой атаки могут быть катастрофическими:
• отслеживание злоумышленником перемещение транспорта и персонала в реальном времени;
• подмена геолокационных данных;
• сокрытие реальных перемещений;
• создание ложных тревог.

Это может привести к серьезным инцидентам на дорогах, утечкам грузов, нарушению безопасности охраняемых объектов и другим критическим последствиям для операционной деятельности организации.

Цепочка из данных уязвимостей создает высокорисковый сценарий атаки, так как каждая последующая уязвимость усиливает воздействие предыдущей, создавая комплексную угрозу безопасности системы.

В июле 2025 была обнаружена уязвимость высокого уровня (CVSS: 7.5) в популярном почтово‑календарном решении Alinto SOPE SOGo, которое используется корпоративных и образовательных сетях.

Уязвимость позволяет злоумышленнику нарушить доступность почтового сервиса и привести к массовым сбоям в работе и коммуникациям.

СКИПА отслеживает около 30.000 инсталляций SOGo в Рунете, из которых 98% предположительно уязвимы.
Пользователи СКИПА PentOps уже получили уведомления о рисках.

Уязвимые версии:
• SOGo от 2.0.2 до 5.12.2

Активная эксплуатация:
• Массовые атаки еще не были зафиксированы. Однако эксплуатация уязвимости не требует предварительной авторизации и может быть проведена удалённо, что повышает риск целевых DoS-атак.

Рекомендации:
1. Обновить SOGo до версии ≥ 5.12.3, где уязвимость устранена.
2. Перезапустить сервис для сброса активных сессий.

В июле 2025 обнаружены критические уязвимости (CVSS 9.1–9.8) в плагине The HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builde.

Уязвимости позволяют атакующему без аутентификации выполнять произвольный код, а также удалять или перемещать системные файлы — например, wp-config.php. Уязвимости приводят к полной компрометации хоста.

СКИПА отслеживает ~500 предположительно уязвимых экземпляров плагина в Рунете.
Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

Уязвимые версии:
• The HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builde: все версии ≤ 2.2.1

Активная эксплуатация:
• 20–22 июля 2025: массовые атаки через автосканеры.

В логах веб-серверов фиксируются:
• POST-запросы к /wp-admin/admin-ajax.php с передачей вредоносных файлов (CVE-2025-7340).
• GET-запросы с параметрами для перемещения/удаления файлов. Например, ?action=temp_file_delete&file=../../../wp-config.php

Рекомендации:
1. Обновить плагин до версии > 2.2.1
2. Удалить неиспользуемые экземпляры плагина

В июле 2025 обнаружена критическая RCE‑уязвимость (CVSS: 9.8) в SharePoint, реализуемая через цепочку уязвимостей ToolShell: CVE‑2025‑49706 → CVE‑2025‑49704 → CVE‑2025‑53770 — позволяет атакующему полностью скомпрометировать хост.

Все три уязвимости из цепочки уже активно используются злоумышленниками.

СКИПА отслеживает ~1 800 экземпляров SharePoint в Рунете. По оценкам экспертов CyberOK, более 20% могут быть уязвимы для атак с использованием CVE‑2025‑53770. Пользователи СКИПА PentOps были своевременно уведомлены.

Уязвимые версии:
• Subscription Edition и Server 2019: билды ≥ 16.0.0.0 и < 16.0.10417.20027
• Enterprise Server 2016: билды ≥ 16.0.0.0 и < 16.0.5508.1000
• SharePoint Online / Microsoft 365 — не подвержены

Активная эксплуатация:
• 18 июля — атаки с IP 107.191.58.76
• 19 июля — вторая волна, IP 104.238.159.149

В логах IIS зафиксированы:
• POST‑запросы к /_layouts/15/ToolPane.aspx?DisplayMode=Edit без авторизации, а также Referer: /_layouts/SignOut.aspx
• Следом — GET /_layouts/15/spinstall0.aspx, который извлекал внутренние ключи сервера.

Что делать:
1. Обновиться до актуальной версии
2. Применить рекомендации от Microsoft
3. Изолировать хост, не публиковать в глобальной сети
4. Включить Microsoft Defender + AMSI
5. Отслеживать характерные запросы в логах

Как быть, если Касперский упрямо кладёт в карантин IP-адрес фронта, когда СКИПА PentOps мониторит сетевой периметр госзаказчика?
В новой статье Сергей Гордейчик, CEO СайберОК, рассказывает, как из этой задачки родился Nuk-Nuke — мини-сервер, который сам парсит шаблоны и подсовывает нуклее-кидди «успешный взлом».

Читать на Хабре

В новой статье Максима Пушкина, эксперта компании СайберОК, речь пойдет о простом вопросе, который исследовался в течение года: сколько дней/недель/месяцев в среднем живёт уязвимость в реальном мире? Посмотрим живые цифры и обсудим, какие категории ПО остаются наиболее уязвимыми.

Читать на Хабре

Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярных сторонних плагинах компаний Маяк и Esolutions, размещенных в каталоге решений 1С-Битрикс: Управление сайтом.

По данным СКИПА, до 50 000 сайтов в российском сегменте интернета могут быть подвержены хотя бы одной из уязвимостей, описанных ниже. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

Межсайтовый скриптинг (XSS) представляет серьёзную угрозу безопасности, позволяя злоумышленникам внедрять вредоносный JavaScript-код в веб-страницы. Это может привести к краже пользовательских данных, сессий, выполнению действий от имени пользователей и компрометации системы.

Для предотвращения XSS-атак необходимо обеспечивать строгую валидацию и экранирование всех пользовательских данных перед их выводом.

1. Плагин «Импорт из XML и YML»
(esol.importxml, разработчик: esolution)
• COK-2025-05-07 / BDU:2025-06217
• Уязвимы все версии до 1.5.2
• CVSS: 5.3 — средний уровень опасности
• Уведомление ФСТЭК

2. Плагин «Экспорт в Excel»
(kda.exportexcel, разработчик: mayakit.ru)
• COK-2025-05-08 / BDU:2025-06219
• Уязвимы все версии 1.5.1
• CVSS: 5.3 — средний уровень опасности

3. Плагин «Импорт из Excel»
(kda.importexcel, разработчик: mayakit.ru)
• COK-2025-05-09 / BDU:2025-06218
• Уязвимы все версии 3.2.2
• CVSS: 5.3 — средний уровень опасности

4. Плагин «Экспорт/Импорт товаров в Excel»
(esol.importexportexcel, разработчик: esolution)
• COK-2025-05-07 / BDU:2025-06220
• Уязвимы все версии до 1.5.2
• CVSS: 5.3 — средний уровень опасности
• Уведомление ФСТЭК

Рекомендуется установить обновления и провести аудит на предмет XSS в собственных плагинах и расширениях.

Экспертом СайберОК была обнаружена уязвимость в Websoft HCM — популярной платформе для автоматизации HR-процессов. В ней выявлена уязвимость, связанная с возможностью перебора пользователей (CWE-204).

На радарах СКИПА зафиксировано более 1 700 экземпляров Websoft HCM, из которых более 340 подвержены данной уязвимости.
Пользователи СКИПА PentOps были уведомлены об уязвимости 27 мая.

Отличие в ответах сервера позволяет злоумышленнику осуществлять перебор существующих пользователей, что раскрывает конфиденциальную информацию и упрощает атаки типа password spraying и фишинг.

• СОК-2025-05-06 / BDU:2025-06206
• CVSS – 5.3 (средний уровень опасности)
• Уязвимы версии до: 2025.1.1206 / 2025.2.1206

Рекомендуем обновить ПО до одной из версий с фиксом.

Ссылки:
• BDU:2025-06206
• Информация об устранении уязвимости в версии 2025.1.1206
• Информация об устранении уязвимости в версии 2025.2.1206
• Реестр Минцифры

Исследователем СайберОК были обнаружены множественные уязвимости в Segnetics SMConfig – данное ПО предназначено для удалённой конфигурации системных настроек контроллеров Segnetics, входящих в состав АСУ ТП и обеспечивает гибкую настройку функций ПЛК. Системы такого типа не рекомендуется публиковать в Интернет. Тем не менее, на радарах СКИПА мы наблюдаем более 200 сервисов Segnetics SMConfig.

1. Использование учетных данных по умолчанию (CWE-798)
• COK-2025-05-01 / BDU:2025-05278
• CVSS: 9.8 — критический уровень опасности

Использование широко известных учетных данных по умолчанию крайне опасно, так как может привести к массовой компрометации систем. Крайне рекомендуется требовать смену пароля при инициализации приложения, чтобы исключить риск использования слабых или предсказуемых учетных данных.

• Уязвимы все версии до 250701-163453.
• Рекомендуем обновиться до исправленной версии и не использовать широко известные или предустановленные учетные данные.
• На радарах СКИПА мы наблюдаем около 50 уязвимых инстансов.
• Оповещение ФСТЭК

2. Передача конфиденциальной информации в открытом виде (CWE-319)
• COK-2025-05-02 / BDU:2025-05279
• CVSS: 5.9 — средний уровень опасности
• Уязвимы все версии до 250701-163453

3. Хранение пароля в открытом виде (CWE-256)
• COK-2025-05-04 / BDU:2025-06204
• CVSS: 6.5 — средний уровень опасности
• Уязвимы все версии до 250701-163453

4. Подделка межсайтовых запросов (CSRF, CWE-352)
• COK-2025-05-05 / BDU:2025-06205
• CVSS: 6.8 — средний уровень опасности
• Уязвимы все версии до 250701-163453

В июне 2025 года в FileBrowser была раскрыта критическая уязвимость CVE-2025-52904 с базовым баллом CVSS 8.1, позволяющая выполнять произвольные команды на сервере.

СКИПА отслеживает около 3300 экземпляров FileBrowser в Рунете. По оценкам экспертов CyberOK более 71% из них могут быть уязвимы для атак с использованием CVE-2025-52904. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

Описание уязвимости:
Уязвимость возникает из-за недостаточной изоляции выполнения команд, что позволяет злоумышленникам запускать произвольные команды. В сочетании с другими уязвимостями это может привести к компрометации базы данных сервера, извлечению хэшей паролей или подмене пользователей.

Условия эксплуатации:
• Уязвимые версии: <= 1.11.0 и <= 2.35.0.
• Учетная запись с высокими привилегиями (например, учетная запись администратора).
• Отсутствие изоляции команд.
• Слабые настройки разрешений для файлов и базы данных.

Активная эксплуатация:
Подробная информация об уязвимости опубликована 25 июня 2025 года. В тот же день была выпущена версия с исправлением, в котором отключили уязвимую функцию execute commands и добавили предупреждения, если она будет включена вручную.

Однако уязвимость все еще не исправлена. Отслеживание исправления ведется в задаче filebrowser/filebrowser#5199.

Массовых атак не зафиксировано, но высокий уровень серьезности создает значительный риск.

Рекомендации:
• Проверьте версию FileBrowser и убедитесь, что она не входит в уязвимый диапазон.
• Отключите функцию execute commands, если она активна.
• Ограничьте процесс FileBrowser при его запуске, например, с помощью пользовательских пространств имён и инструмента Bubblewrap.
• Настройте строгие разрешения для файлов и базы данных.
• Организациям, которым не требуется выполнение команд, следует использовать Filebrowser из образа контейнера без дистрибутива.

Заключение:
CVE-2025-52904 представляет серьезную угрозу для систем на базе FileBrowser из-за возможности выполнения произвольных команд. Несмотря на высокую сложность атаки и необходимость привилегий, отсутствие патча требует срочных мер защиты.

Исследователь СайберОК Алексей Седой совместно с коллегой KurandX из комьюнити выявил уязвимость в vBulletin — коммерческой платформе для создания форумов и онлайн-сообществ.

СКИПА отслеживает около 1700 живых инстансов vBulletin, из которых более 1300 были уязвимы на момент выявления. В текущее время количество уязвимых снизилось до 200+.
Клиенты СайберОК СКИПА PentOps были уведомлены об уязвимости 15 апреля.

Уязвимость затрагивает старые версии vBulletin (3.x – 4.2.x) и связана с устаревшим модулем /forumrunner/, который часто остаётся активным даже после обновлений — особенно в случае использования лицензионной версии с автоматическим апдейтом через скрипт.

CVSS 3.1: 6.4 — средний* уровень опасности.

*Формально риск средний, но фактически приближается к High — эксплойт позволяет обойти HttpOnly и получить все cookie в контексте *.domain.com.

Проблемный скрипт:
/forumrunner/image.php?url=

Параметр url подвержен SSRF-атаке, а также может быть использован для перехвата cookie-файлов пользователей. Важно: выполнение происходит со стороны PHP, без участия клиента.

Ранее в рамках bug bounty мы подтвердили эксплуатацию уязвимости на реальном ресурсе: при модерации сообщения с внедрённым внешним изображением происходила отправка всех сессионных cookie на домен злоумышленника, включая авторизационные токены.

Идентификаторы:
• BDU:2025-04734
• COK-2025-04-04

Мы подготовили фикс (сделано для версии 4.2.3) — можно скачать у нас в телеге.

В июне 2025 года в Wing FTP Server (все версии до 7.4.3) обнаружены две серьёзные уязвимости удалённого выполнения кода — CVE-2025-47812 (CVSS 10.0) и CVE-2025-5196 (CVSS 7.5). Обе исправлены в обновлении 7.4.4.

СКИПА отслеживает около 900 экземпляров Wing FTP Server в Рунете. По оценкам экспертов CyberOK более 15% из них могут быть уязвимы для атак с использованием CVE-2025-47812 и CVE-2025-5196. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

• CVE-2025-47812 (CVSS 10.0, RCE без авторизации) — NULL-байт инъекция в поле username на /loginok.html. При создании сессии вредоносный Lua-код сохраняется в файл и затем выполняется с правами root/SYSTEM, что даёт полный контроль над сервером.

• CVE-2025-5196 (CVSS 7.5, привилегированное RCE) — в консоли администратора на базе Lua не реализована должная изоляция кода: авторизованный админ может запустить произвольный код с завышенными правами.

Условия эксплуатации:
• Wing FTP ≤ 7.4.3, доступ по HTTP/HTTPS.
• CVE-2025-47812: любой пользователь (POST /loginok.html).
• CVE-2025-5196: требуется учётная запись администратора (доступ к Lua Console).

Активная эксплуатация:
• PoC для CVE-2025-47812 уже в Exploit-DB и Metasploit.
• PoC для CVE-2025-5196 опубликован, но массовых атак пока не зафиксировано.

Рекомендации:
• Срочно обновить до 7.4.4.
• Запускать службу под непривилегированным пользователем, а не root/SYSTEM.
• Ограничить доступ к веб-интерфейсу (брандмауэр, VPN).
• Мониторить POST-запросы на /loginok.html и необычную активность Lua.

В июне 2025 года в популярном плагине Forminator Forms – Contact Form, Payment Form & Custom Form Builder обнаружена уязвимость CVE‑2025‑6463 с базовым баллом CVSS 8.8 (HIGH).

На радарах СКИПА мы наблюдаем более 8 тысяч уникальных инсталляций WordPress с Forminator на просторах Рунета, потенциально уязвимых к CVE‑2025‑6463. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

Проблема позволяет без авторизации удалять произвольные файлы на сервере, включая критические конфигурационные файлы WordPress, что может привести к удаленному выполнению кода (RCE).

Уязвимость кроется в функции entry_delete_upload_files. При удалении заявки плагин принимает на вход путь к файлу из параметров формы и без проверок удаляет указанный файл. Злоумышленник может передать путь к wp-config.php или любому другому ресурсу и вывести сайт из строя или перехватить управление.

Условия эксплуатации:
• Любой посетитель может отправить запрос на удаление формы с параметром пути к файлу.
• Процесс удаления срабатывает как вручную, так и через встроенные антиспам‑механизмы.
• Отсутствие валидации и ограничения каталога удаления.

Активная эксплуатация по всему миру:
• Плагин установлен на более чем 600 000 сайтов WordPress по всему миру.
• По оценкам экспертов, из них около 400 000 ресурсов потенциально под угрозой.
• Фиксируются кейсы массового удаления wp-config.php и последующего захвата сайта.

Рекомендации:
• Немедленно обновите Forminator до версии 1.44.3 или выше.
• Проверьте логи на запросы удаления файлов за пределами /wp-content/uploads/.
• Временно отключите автоматическое удаление форм или ограничьте права.
• Внедрите WAF‑правила, блокирующие HTTP‑запросы с параметром пути к файлам.
• По возможности используйте дополнительные плагины безопасности (например, Wordfence) для проактивного мониторинга.

Исследователь СайберОК — Алексей Седой — обнаружил XSS-уязвимость в Типографе текста HostCMS. Для проведения атаки требуются активные действия пользователя — однако, XSS можно эскалировать до RCE, внедрив вредоносный код в шаблон системы.

На радарах СКИПА мы видим около 11 000 живых сервисов в РУ сегменте, 98% из которых могут быть подвержены уязвимости.

• CVSS 3.1: 1.1 (/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N) — низкий уровень опасности.
• Уязвимы все версии, включая 7.1.0 и ниже, где присутствует модуль Типограф.
• Идентификатор CyberOK: COK-2025-04-03

Вендор выпустил исправление без официального уведомления и CVE — уязвимость была устранена в коммите.

Как измерить защищенность целого региона?
Рассказали в новой статье о том, как компания СайберОК принимала участие в проекте «Киберустойчивый регион», запущенный на масштабах целого региона РФ.

Читать на Хабре

Исследователь СайберОК, Станислав Савченко, выявил 0-day уязвимость в OLAP-хранилище Apache Pinot (версии до 1.2.0). Уязвимость связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию путем отправки специально сформированного GET-запроса.

Уязвимость подтверждена производителем и устранена в версии 1.2.0. Существует эксплойт.

• Класс: CWE-22 (Path Traversal)
• CVSS 3.1: 8.6 | CVSS 2.0: 7.8 — высокий уровень опасности

В российском сегменте мы видим несколько активных уязвимых сервисов. В глобальном Интернет СКИПА отслеживает более 700 экземпляров ПО, всё ещё доступных из внешней сети.

Рекомендуется обновление до версии Apache Pinot 1.2.0. В качестве временной меры — ограничить доступ к системе извне и использовать WAF.

Полезные ссылки:
• https://github.com/apache/pinot/pull/13124
• https://github.com/apache/pinot/releases/tag/release-1.2.0

Исследователь СайберОК обнаружил 0-day уязвимость в SCADA-системе Пульт.онлайн.

Уязвимость связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом брутфорса.

Несмотря на то, что SCADA-системы по своей природе не должны торчать в Интернет, мы регулярно встречаем компоненты АСУ ТП при сканировании — включая Пульт.онлайн.

Затронутые версии: все до 3230
Исправлено в версии: 3230 и выше

Уязвимости присвоен идентификатор BDU:2025-01130

Рекомендации:
• Немедленно обновить систему до версии 3230.

В популярной веб-почте Roundcube Webmail обнаружена критическая уязвимость CVE-2025-49113 с базовым баллом CVSS 9.9 из 10.0.

Эксплуатация уязвимости тривиальна, и мы уверены, что боевой эксплойт не заставит себя долго ждать.

На радарах СКИПА мы наблюдаем более 78 тысяч уникальных инсталляций с Roundcube Webmail на просторах Рунета, из которых около 85% оказались потенциально уязвимыми к CVE-2025-49113.

Уязвимость позволяет аутентифицированным пользователям выполнять произвольный код через PHP Object Deserialization.

Проблема заключается в отсутствии валидации параметра _from в URL-адресах, что происходит в файле program/actions/settings/upload.php. Это приводит к небезопасной десериализации PHP-объектов, позволяя злоумышленникам с действующими учетными данными выполнять удаленный код на сервере.

Затронутые версии:
• Все версии Roundcube Webmail до 1.5.10
• Версии 1.6.x до 1.6.11

Особенности уязвимости:
Уязвимость была обнаружена исследователем Kirill Firsov из компании FearsOff, которая планирует опубликовать технические детали и proof-of-concept после предоставления пользователям достаточного времени для применения патчей.

Несмотря на то, что для эксплуатации требуется аутентификация, критический CVSS-балл обусловлен возможностью полной компрометации системы при успешной атаке.

Рекомендации:
• Немедленно обновите Roundcube Webmail до версий 1.6.11 или 1.5.10 LTS
• Проверьте логи веб-сервера на подозрительные запросы к /program/actions/settings/upload.php
• Ограничьте права загрузки файлов только доверенным пользователям
• Рассмотрите возможность временного отключения функций загрузки до обновления
• Проведите аудит всех установленных плагинов и расширений Roundcube

Roundcube Webmail широко используется хостинг-провайдерами и корпоративными инфраструктурами для предоставления веб-интерфейса электронной почты.

В апреле 2025 года в популярном PHP-фреймворке Yii 2 была раскрыта критическая уязвимость CVE-2024-58136 с базовым баллом CVSS 9.0, активно используемая в реальных атаках начиная с февраля 2025 года.

Уязвимость представляет собой регрессию ранее исправленной CVE-2024-4990 и затрагивает механизм прикрепления поведений (behaviors) к компонентам через обработку class array key.

Проблема возникает в магическом методе set() класса yii\base\Component при обработке свойств, начинающихся с префикса "as ". Злоумышленник может обойти патч CVE-2024-4990, добавив свойство "class" с ссылкой на легитимный Behavior класс, что позволяет инстанцировать произвольные объекты и достичь удаленного выполнения кода (RCE).

Условия эксплуатации:
• Приложение должно принимать пользовательский ввод в формате JSON.
• Наличие эндпоинтов, обрабатывающих параметры с префиксом "as ".
• Доступность классов для инстанцирования в контексте приложения.

Активная эксплуатация:
Уязвимость активно эксплуатируется в реальных атаках с февраля 2025 года, особенно в связке с CVE-2025-32432 для компрометации CraftCMS-инсталляций, о чем ранее сообщали специалисты СайберОК.

Рекомендации:
• Немедленно обновите Yii 2 до версии 2.0.52 или более поздней.
• Проверьте логи приложения на подозрительные запросы с параметрами "as ".
• Реализуйте дополнительную валидацию входных данных JSON.
• Ограничьте доступные для инстанцирования классы в конфигурации приложения.
• Рассмотрите временное отключение динамического прикрепления поведений.

Фреймворк Yii 2 широко используется в корпоративных веб-приложениях. В подтверждение этому, на просторах Рунета СКИПА фиксирует около 5 тысяч уникальных инсталляций этого ПО.

Несмотря на то, что потенциально уязвимые версии ПО обнаружены на 45% хостов, в связи с дополнительными условиями, которые необходимы для успешной эксплуатации, мы оцениваем, что реально уязвимых сервисов существенно меньше.

Спешим поделиться итогами участия CyberOK в международном киберфестивале PHDays!

Наши эксперты выступили с тремя докладами — делились опытом, свежими находками и практическими подходами.

Смотрите записи и листайте презентации у нас в телеграм:
• Опыт участия в создании индекса киберустойчивости
• А был ли патчик? Или как долго живут уязвимости в Рунете
• Предсказуемывай это! Анализируем интернет быстро, качественно, дешево

А также, эксперты СайберОК приняли участие в кибербитве Standoff 15 в составе команды Dataeli&only_f4st и вошли в первую тройку, разделив с другими игроками призовой фонд в $50 000. Гордимся.

До скорых встреч на следующих фестивалях!

Специалист компании СайберОК обнаружил уязвимость в Mozilla Thunderbird, связанную с некорректной обработкой заголовков электронной почты, используемого для указания отправителя.

Эксплуатация уязвимости позволяет злоумышленнику, действующему удалённо, проводить спуфинг атаки, что может привести к подмене отправителя в письмах.

Уязвимость затрагивает версии Thunderbird < 128.10.1 и Thunderbird < 138.0.1.

Уязвимости присвоены идентификаторы:
• CVE-2025-3875
• BDU:2025-04709

Вендор рекомендует немедленно обновить Thunderbird до версии 138.0.1, чтобы обеспечить защиту от данной уязвимости.

Полезные ссылки:
• GitHub
• NIST

Исследователь СайберОК – Алексей Седой – выявил уязвимость типа IDOR (Insecure Direct Object Reference) в механизмах интеграции чат-центра компании edna.

Уязвимость позволяет неаутентифицированному пользователю получить несанкционированный доступ к любым чатам, содержащим конфиденциальные данные.

По данным системы мониторинга СКИПА, в Рунете насчитывается около 100 ресурсов, подверженных данной проблеме.

Клиенты СайберОК СКИПА PentOps были уведомлены об уязвимости 15 января.

Рекомендации:
Рекомендуем связаться с производителем для устранения проблемы.

Полезные ссылки:
• Интеграция виджета Чата
• Настройка Android
• Настройка ios

Эксперты СайберОК зафиксировали масштабную кибератаку с использованием критических уязвимостей CVE-2024-58136 (CVSS: 9,0) и CVE-2025-32432 (CVSS: 10,0) в системе управления контентом CraftCMS. Эти уязвимости позволяют злоумышленникам получать доступ к конфиденциальным данным (API-ключи, пароли) и выполнять произвольный код, что ведет к полной компрометации сайтов и инфраструктуры.

Что известно:
• CVE-2024-58136 — уязвимость в фреймворке Yii PHP, связанная с ненадежной защитой альтернативных путей (регрессия CVE-2024-4990).
• CVE-2025-32432 — уязвимость удаленного выполнения кода (RCE), исправленная в версиях CraftCMS 3.9.15, 4.14.15 и 5.6.17.

Система мониторинга СайберОК СКИПА отслеживает более 10 000 уязвимых экземпляров CraftCMS по миру. В России выявлено менее 200 таких систем — это снижает риски, но не отменяет необходимость действий.

Рекомендации:
• Немедленно обновите CraftCMS до последних версий.
• Проверьте системы на наличие несанкционированного доступа.
• Используйте инструменты защиты, такие как СайберОК СКИПА PentOps для мониторинга угроз.

Напоминаем, что промедление с обновлениями может привести к последствиям, аналогичным массовым атакам на CMS 1C-Bitrix в 2023 году, когда были скомпрометированы тысячи систем.

Специалист компании СайберОК обнаружил уязвимость, связанную с использованием жёстко закодированного криптографического ключа для SSL-сертификата.

Эксплуатация уязвимости может позволить злоумышленнику, действующему удаленно, получить несанкционированный доступ к защищаемой информации, нарушив её конфиденциальность и целостность.

Для успешного проведения атаки злоумышленнику необходимо получить приватный ключ, общий для всех систем.

Уязвимости присвоен идентификатор BDU:2025-04708.

Вендор рекомендует обновить программное обеспечение SCADA-системы КРОН-ТМ до версии 3.0 или выше.

СайберОК продолжает системную работу по выявлению и анализу уязвимостей в критически важных ИТ-системах.

В новой статье рассказали, как на Кибериспытаниях на Standoff365 наша команда нашла открытую Grafana у заказчика и добилась недопустимого события — всё на этапе начального рекона и без особых сложностей.

В статье:
• Как провести рекон Grafana и собрать инфу о сети.
• Использование плагинов для SSRF, портскана и брутфорса.
• Потенциал SQL-инъекций и проксирования через Grafana.
• Чеклисты для Red Team и Blue Team.

Читать на Хабре или на сайте.

Согласно информации CyberNews, анонимных хакерам удалось получить получить доступ к настройкам устройств, включая пароли Wi-Fi и логины пользователей, что создает угрозу безопасности домашних сетей.

«Это далеко не первый случай, когда уязвимости в CPE-устройствах ставят под удар пользователей», — отмечают в СайберОК. Ранее в нашем исследовании о безопасности IoT мы уже поднимали тему хрупкости роутеров и других IoT-устройств. Особенно рискованно, когда через CPE публикуются корпоративные приложения (например, онлайн-бухгалтерии) или IoT-компоненты (киоски, кассовые системы) . Их уязвимости становятся «точками входа» для атак, ведущих к краже данных или дистанционному контролю инфраструктуры.

Что делает СайберОК?
Наша система мониторинга СКИПА уже отслеживает интерфейсы управления более чем 300 000 устройств Keenetic в России и других странах. Это позволяет выявлять аномалии или попытки, что позволяет оперативно предупреждать пользователей и устранять угрозы.

Рекомендации для пользователей
• Обновите прошивку роутера до последней версии через официальный сайт Keenetic.
• Измените заводские пароли для админки устройства и Wi-Fi-сети.
• Не используйте облачные системы хранения конфигураций и не публикуйте интерфейсы управления роутеров в интернете без серьезной необходимости.

Рекомендации от Keenetic
Вендор Keenetic официально рекомендует пользователям мобильного приложения изменить следующие пароли и ключи для защиты от утечек:
• Пароли учетных записей устройств Keenetic.
• Wi-Fi пароли.
• VPN-клиентские пароли/предустановленные ключи для PPTP/L2TP, L2TP/IPSec, IPSec Site-to-Site, SSTP.

Ссылки
• Подробности утечки: CyberNews
• Страница Keenetic по безопасности: Keenetic Security

Осторожность — лучший щит!

Специалисты компании СайберОК обнаружили и помогли устранить критическую уязвимость BDU:2025-02780 (COK-2024-12-06) в корпоративном мессенджере РОСЧАТ, которая могла быть использована злоумышленниками для несанкционированного доступа к данным.

Эксплуатация уязвимости позволяла нарушителю удалённо читать, изменять или удалять информацию посредством отправки специально сформированного GET-запроса.

Уровень опасности уязвимости оценен как критический с максимальной базовой оценкой CVSS 10. Уязвимость была подтверждена в ходе исследований, а эксплойт уже существует. Для её устранения разработчик ПО — компания ООО «ИТСОФТ» — выпустила обновление до версии 5.3.2091 и выше.

По данным системы мониторинга СКИПА, подавляющее большинство найденных в Рунете экземпляров ПО подвержены данной уязвимости. В связи с этим эксперты настоятельно рекомендуют срочно обновить ПО, чтобы избежать рисков компрометации данных.

Клиенты сервиса СайберОК PentOps были своевременно проинформированы об этой уязвимости и получили рекомендации по её устранению уже в декабре 2024 года.

«Тенденция к импортозамещению приводит к тому, что процесс контроля поверхности атак в корпоративных сетях должен учитывать широкую распространённость отечественных информационных систем, — комментирует Сергей Гордейчик, генеральный директор СайберОК, — если для этой задачи используются зарубежные продукты или решения на их основе, велика вероятность того, что критические уязвимости останутся в слепой зоне и не будут выявлены своевременно. Мы призываем организации уделять особое внимание мониторингу безопасности как импортного, так и отечественного программного обеспечения».

СайберОК продолжает активно работать над выявлением и устранением уязвимостей, обеспечивая безопасность своих клиентов и всего ИТ-ландшафта России.

Дополнительная информация:
• Уязвимость BDU:2025-02780 (COK-2024-12-06) была выявлена 24 декабря 2024 года.
• Рекомендуется обновить ПО до версии 5.3.2091 или выше.

Мы продолжаем бесплатные пилоты СКИПА PentOps для корпоративных заказчиков. Для получения дополнительной информации обращайтесь: info@cyberok.ru

В продуктах GitLab Community Edition (CE) и Enterprise Edition (EE) обнаружена критическая уязвимость CVE-2024-7102 с базовым баллом CVSS 9.6.

Уязвимость позволяет злоумышленнику запускать пайплайны (pipelines) от имени другого пользователя при определенных условиях. Проблема затрагивает все версии, начиная с 16.4 и до 17.4.x включительно. Неавторизованный запуск пайплайнов может привести к выполнению нежелательных операций, изменению или удалению данных, а также к компрометации системы.

Рекомендации:
• Немедленно обновите GitLab CE/EE до версии 17.5.0 или более поздней.
• Проверьте журналы активности пайплайнов на наличие подозрительных действий.
• Ограничьте доступ к функциям пайплайнов и настройте строгие политики управления доступом.
• Рассмотрите возможность временного отключения автоматического запуска пайплайнов до обновления системы.

На радарах СКИПА мы наблюдаем более 20 тысяч уникальных инсталляций с GitLab на просторах Рунета, из которых около 20% оказались потенциально уязвимыми к CVE-2024-7102.

Команда CyberOK предупреждает о критической уязвимости BDU:2025-01331 в популярном почтовом сервере CommuniGate Pro, затрагивающей версии от 6.3.0 до 6.3.39. Данная уязвимость представляет серьезную угрозу для безопасности ваших систем.

Читать подробнее в Telegram

Эксперт Базы знаний СайберОК – Александр Черненьков – обнаружил опасную мисконфигурацию в платформе Клеверенс Mobile SMARTS. Суть проблемы в возможности неаутентифицированного доступа к SOAP и REST API, при отсутствии настроенной, внимание, аутентификации. Это позволяет получать доступ к множеству критичных Set/Get-операций на стороне серверной части платформы.

Читать подробнее на Хабре или в Telegram

Сĸрытые угрозы в MS Exchange: почему перебор пользователей — это больше, чем просто ошибĸа.

В новой статье рассказали подробности про обнаруженную экспертами СайберОК уязвимость перебора пользователей в модуле Autodiscover продуĸта Microsoft Exchange Server.

В статье:
• техничесĸие детали уязвимости;
• почему она заслуживает вашего внимания;
• методы минимизации риска.

Читать статью Хабре или на сайте.

В программном обеспечении для серверов IBM Power Systems была выявлена уязвимость – скрытая учетная запись с предустановленными данными в сервисе FSP, которая позволяет удаленно получить доступ к управлению сервером.

Сергей Гордейчик, генеральный директор CyberOK, прокомментировал для TAdviser:

“На текущий момент в Рунете практически нет публично доступных интерфейсов служб IBM Flexible Service Processor. Это связано с тем, что, во-первых, эти серверы мало распространены и, во-вторых, с тем, что интерфейсы удалённого управления физическими серверами нечасто доступны из сети Интернет.

Мы приводили статистику, актуальную на май 2024, по наиболее распространённым в Рунете критическим уязвимостям, которые связаны с таким классом продуктов, и в неё не попали продукты компании IBM.

Исходя из этого, можно сделать вывод, что выявленная уязвимость BDU:2024-08777 несмотря на критичность потенциального ущерба и простоту эксплуатации, не должна иметь существенного влияния на безопасность ресурсов Рунета. Однако непрекращающийся рост количества выявляемых уязвимостей в компонентах OOB/LOM является серьезным вызовом для всей индустрии”.

Экспертом СайберОК была обнаружена уязвимость типа “User Enumeration” в модуле Autodiscover программного обеспечения Microsoft Exchange Server, которая позволяет неаутентифицированному субъекту установить наличие пользователя в системе.

Microsoft Exchange Server – программный продукт для обмена сообщениями и совместной работы.

Модуль Autodiscover в Microsoft Exchange Server – это служба, предназначенная для упрощения настройки клиентских приложений.

Уязвимость может использоваться злоумышленником при подготовке целенаправленных атак, таких как перебор паролей и фишинг.

Уязвимости подвержены последние поддерживаемые версии ПО:
• Microsoft Exchange Server 2019 CU 14.
• Microsoft Exchange Server 2016 CU 23.

В качестве компенсирующих мер необходимо: обеспечить доступ к служебным директориям сервера только для доверенных пользователей.

СКИПА отслеживает более 10.000 Microsoft Exchange в Рунете. По оценкам экспертов CyberOK более 10% из них может быть уязвимо для атак с использованием BDU:2024-08516.

Новый выпуск подкаста «Рынок уязвимостей» уже доступен к просмотру! Эпизод посвящен портрету багхантера — кто они такие и как их работа помогает предотвращать хакерские атаки на компании.

Один из экспертов-участников — Дмитрий Прохоров, пентестер из команды CyberOK. Вместе с коллегами Дмитрий поделится инсайдерской информацией о том, где искать уязвимости, в чем главная боль багхантера, как не выгореть на работе и в чем кроются профессиональные вызовы.

Поздравляем Дмитрия c интересным выступлением, а также с четвертым местом в рейтинге исследователей БДУ ФСТЭК.

Смотреть выпуск

Исследователи из Akamai еще раз обратили внимание на недавно раскрытую CVE-2024-47176 в сервисе CUPS.Дело в возможности проведения L7 DDoS Amplification с использованием уязвимых хостов как усилителей атаки.

Напомним, что уязвимость позволяет атакующему стриггерить уязвимый CUPS на отправку POST-запроса на любой URL на выбор атакующего. В таком поведении и кроется потенциал для DDoS Amplification, так как контролируемые атакующим данные дважды появляются в запросе от жертвы – в HTTP POST-запросе и в самом IPP-запросе.

Ранее, СайберОК СКИПА зафиксировала около 5000 потенциально уязвимых систем в Рунете.

Мы подтверждаем возможность проведения атаки DDoS с усилением и еще раз рекомендуем обратить внимание на бюллетень, обновиться и не становиться инструментом в руках любителей по-DDoS'ить.

Уязвимости в сервисах печати OpenPrinting (cups-browsed, libppd, libcupsfilters and cups-filters) были внезапно раскрыты исследователем Simone Margaritelli (evilsocket), который и обнаружил баги, отслеживаемые как CVE-2024-47176, CVE-2024-47175, CVE-2024-47177.

Баги позволяют через неаутентифицированный пакет на 631/UDP заставить Linux систему подключиться к внешнему «принтеру» и дальше выполнить код на целевой системе. Для локальных сетей возможна массовая эксплуатация через mDNS / DNS-SD, учитывая гуляющие в локалке бродкасты. Если Вам еще не страшно, значит Вы не лазерный принтер.

Система СайберОК СКИПА отслеживает около 5000 потенциально уязвимых систем в Рунете. Мы очень рекомендуем проверить доступность CUPS/LPD (631/UDP/TCP) на внешнем периметре и заблокировать доступ в случае наличия. Да и просто делать default deny даже в случае отсутствия.

Уязвимы все версии до 2.0.1 включительно. Эксплуатация не тривиальна, но понятна. Учитывая, что технические детали утекли без ожидаемой координации, сообщество немножко забурлило. Даже сам Solar Designer открыл отдельный тред в рассылке Open Source Security.

Спасайте свои принтеры!

В компоненте обработки почты postjournal серверов Zimbra Collaboration выявлена критическая уязвимость CVE-2024-45519, позволяющая неаутентифицированным пользователям проводить атаки через протокол SMTP. Хотя уязвимость была зарегистрирована 1 сентября, а 4 сентября вендор выпустил патчи, угроза остается актуальной.

Коллеги из PT SWARM продемонстрировали успешную эксплуатацию уязвимости, что повышает риск появления в открытом доступе инструментов для массовых атак.

На радарах СКИПА мы наблюдаем более 3 тыс. уязвимых серверов Zimbra в Рунете.

Читать подробнее на Хабре

В новой статье обсудили изменения в Nuclei за последний год и поделились личным опытом взаимодействия с инструментом, который также активно применяем в СКИПА.

В статье:
• Крупные обновления в Nuclei: кодовая вставка, использование javascript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр.
• Возможные клиентские атаки на Nuclei, которые стали доступны благодаря этим нововведениям.

Читать на Хабре

13 сентября эксперты CyberOK – Андрей Сикорский и Станислав Савченко – выступили с докладом Nuclei Fu на самой масштабной хакерской конференции в Центральной Азии KazHackStan.

Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества. В рамках доклада спикеры обсудят самые важные изменения в Nuclei за последний год и поделятся своим опытом использования инструмента в промышленных масштабах.

Смотреть доклад

Эксперты СайберОК – Александр Черненьков и Сергей Гордейчик – помогли выявить уязвимость в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169).

Webmin — популярная система управления серверами с более чем 1 000 000 установок по всему миру.

Webmin/Virtualmin используют обнаружение сервисов UDP, обычно работающее на порту UDP/10000. Эта служба отвечает на любой запрос UDP IP-адресом и портом, на котором доступна панель управления.

Такое поведение может использоваться для реализации атаки Loop DoS (CVE-2024-2169 и т. д.) путем отправки пакетов UDP с поддельным исходным ip-портом с использованием другого IP-адреса экземпляра Webmin, что может привести к бесконечному обмену трафиком между хостами, отказу в обслуживании (DOS) и/или злоупотреблению ресурсами.

Рекомендуется немедленно обновить Webmin до версии 2.202, Virtualmin до 7.20.2, которые устраняют эту проблему.

Обходной путь: заблокировать доступ к порту UDP/10000 из Интернета.

СКИПА зарегистрировала около 1500 экземпляров в РФ и 80000 по миру.

В ходе наших проектов по пентесту и программ Bug Bounty мы часто сталкиваемся с GitLab. Но не только специалисты по ИБ замечают эти GitLab-ы — злоумышленники тоже не упускают возможности завладеть секретами репозиториев или даже исполнить код на сервере.

  • Как злоумышленники используют функционал Explore в GitLab для поиска секретов.
  • Рассмотрим наш реальный кейс из Bug Bounty и пентестов с примерами атак на GitLab.
  • Обсудим последствия небольших мисконфигураций, приводящих к тяжелым последствиям.

Читать на Хабре

23 августа на международной конференции по практической кибербезопасности OFFZONE с докладом выступил Руслан Трифонов, младший разработчик СайберОК.

В своем докладе Руслан рассказал про cokmap – новый инструмент пентестера и отличную тулу сетевого сканирования для супербыстрого фингерпринта систем «также как у nmap», но немного больше.

Смотреть доклад

2 августа прошло вручение первой в России ежегодной премии для этичных хакеров – Pentest Award 2024.

Дмитрий Прохоров, эксперт компании СайберОК, попал в шорт-лист в категории «Пробив инфраструктуры: за проникновение и эксплуатацию уязвимостей сетевой инфраструктуры, включая сетевые устройства, сетевые сервисы и IoT-устройства».

И все это за багу и баунти в одном из крупнейших онлайн приложений России – VK. Поздравляем!

Кружковое движение (Национальной технологической инициативы (НТИ) совместно с лидирующими IT-компаниями страны запускает всероссийскую программу стажировок «Код для всех». CyberOK открывает двери для талантливых студентов, молодых разработчиков и специалистов ИБ, приглашая их на стажировку в проекты open source с гарантированной оплатой 120 000 рублей за весь период стажировки.

Подробнее

Уязвимость CVE-2024-24919 позволяет злоумышленникам читать произвольные файлы на устройствах Check Point. Критичность: CVSSv3 — 7.5.

Мы в СайберОК считаем её максимально критичной («шторм»), так как эксплойты уже появились на общедоступных ресурсах.

Эксперты СайберОК отслеживают около 5000 устройств Check Point в Рунете, более половина из них потенциально уязвима для атак.

Подробности в нашем канале.

Для систем класса анализа внешней поверхности атак (External Attack Surface Management, EASM), непрерывно перелопачивающих обширное пространство Интернета, способность эффективно выявлять повторяющийся или тесно связанный контент имеет важное значение.

Для решения этой задачи мы интегрировали в СКИПА различные механизмы от тривиальных регэкспов до больших языковых моделей (LLM, Large Language Model).

В новой статье мы рассмотрели один из подобных трюков – использование нечеткого хеширования (fuzzy-hashing aka similarity hashing).

Читать на Хабре

Друзья, рады поделиться итогами нашего участия в международном киберфестивале PHDays 2!
Это уникальное событие вновь объединило под одной крышей Лужников тысячи влюбленных в кибербез, а наша команда внесла свой существенный вклад в программу фестиваля.

Наши эксперты выступили с пятью докладами, делясь своим опытом, знаниями и свежими релизами:
  • Маленькие большие коробочки;
  • Немного интеллекта для грубой силы;
  • Тонкости импортозамещения CMS. Собираем Bug Bounty и БДУ по реестру отечественного ПО;
  • Как бы я взломал…Рунет;
  • Из хакера в гендиректора.

Подробности и слайды в нашем канале.

25 апреля мы провели запуск нашего флагманского продукта – Система Контроля и Информирования о Поверхности Атак, СКИПА на площадке Кибердом.

Обсудили с гостями и экспертами:
  • Мы строили, строили и наконец построили – Сергей Гордейчик, Сайбер ОК;
  • Как взломать Рунет – Игорь Первушин, Сайбер ОК;
  • Зачем вам непрерывный пентест – Андрей Сикорский, Сайбер ОК;
  • Опыт взаимодействия со СКИПА – Алексей Оробец, ФГБУ НИИ «Интеграл»;
  • Дискуссия о тенденциях развития ASM (Attack Surface Management) – Сергей Гордейчик, Сайбер ОК; Владимир Бенгин, ГК Солар; Антон Лопаницын, PassLeak;

Подробности в нашем канале.

Эксперты CyberOK помогли устранить 13 уязвимостей в Netcat CMS. Большинство из них относятся к административному интерфейсу и могут быть использованы злоумышленниками для удаленных атак на системы. 10 уязвимостей получили высокий уровень опасности, в то время как баги с БДУ ФСТЭК BDU:2024-02962, BDU:2024-02961 и BDU:2024-02564 был присвоен критический уровень опасности. Netcat CMS рекомендует немедленно обновиться до версии 6.4.

Подробности на Хабре.

На форуме разработчиков Битрикс была опубликована запись о злоумышленниках, которые добавляют вредоносные скрипты на страницы сайтов. Экстренный анализ поверхности атак скомпрометированных сайтов, проведенный экспертами СайберОК с помощью технологии СКИПА и разработчиками CMS показали, что для компрометации использовался сервис memcached, опубликованный в Интернете без авторизации.

Подробности на Хабре.

5 сентября 2023 года Система Контроля и Информирования о Поверхности Атак (СКИПА), разработки компании «Сайбер ОК», была внесена в реестр российского ПО.

По приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, СКИПА были присвоены следующие классы ПО:

• Средства обнаружения угроз и расследования сетевых инцидентов.
• Средства обнаружения и предотвращения утечек информации.
• Средства автоматизации процессов информационной безопасности.

СКИПА относится к решениям класса контроля поверхности атак внешнего периметра (External Attack Surface Management, EASM) и включает элементы технологии приоритезации уязвимостей (Vulnerability Prioritization Technology).

«Включение нашего флагманского продукта в Реестр российского ПО свидетельствует о том, что компания в своем развитии перешла от стадии стартапа в стадию молодого, перспективного разработчика ПО», - отмечает Александр Сараев, операционный директор Сайбер ОК.

Кроме того, внесение ПО в реестр является большим преимуществом для заказчиков, которые теперь смогут получить отечественный продукт, аналоги которого ушли с российского рынка.

Мы в CyberOK проводим пентесты каждый день и, естественно, ищем способы как автоматизировать этот процесс. Мы перепробовали самые разные инструменты – коммерческие, открытые, да всякие. В статье "Символьный SAST из опенсорсных компонентов" Андрей Погребной рассказывает как мы делали свой анализатор кода (Static Application Security Testing, SAST).

Мы в CyberOK в ходе пентестов очень любим “взламывать” разнообразные инновационные и необычные вещи. Смарт-контракты на блокчейне давно появились на наших радарах, так как они не только предлагают прозрачность, надежность и автоматизацию, но и легко могут стать объектом атак и уязвимостей. В новой публикации Лукьянов Артур рассказывает как мы проводили Blockchain CTF в рамках кибербитвы Standoff.

В 2023 году мы продолжаем участвовать в всероссийской программе стажировок для молодых разработчиков «Код для всех» в качестве партнера конкурса.

В этом году мы вновь отобрали лучших молодых IT-специалистов из числа школьников, студентов и выпускников для участия в наших open source проектах. Под руководством менторов, стажеры, прошедшие отбор на нашу программу, занимаются повышением безопасности открытых проектов и популяризацией использования открытых решений в области кибербезопасности.

Для молодежи данная стажировка – это не только возможность принять участие в реальном проекте по кибербезопасности на основе открытого кода, но и шанс получить опыт от практикующих экспертов CyberOK, развить собственные навыки и стать на шаг ближе к карьере мечты.

В конце мая был проведен массовый дефейс веб-серверов национального сегмента РФ сети интернет. В качестве цели атаки выступала CMS Bitrix. В ходе расследование было установлено, что массовые взломы были проведены загодя, начиная с 2022 года через известные уязвимости, включая CVE-2022-27228. Злоумышленниками был установлен бэкдор, позволяющий создавать произвольные файлы и вызывать команды ОС.

Зачастую взломанные сайты восстанавливаются из резервной копии, но это не решает проблему, поскольку восстанавливается и бэкдор, что дает возможность злоумышленникам повторить атаку. Кроме того, если уязвимость не была устранена, злоумышленники могут снова взломать сервер и установить модификацию бэкдора, что наблюдается в настоящий момент.

Эксперты CyberOK подготовили рекомендации, которые помогут в расследовании инцидента и предотвращение подобных атак в будущем.

Скачать рекомендации

19го мая на фестивале Positive Hack Days эксперты СайберОК Даниил Садырин и Андрей Сикорский расскажут о том "Как защититься от «бестелесных» веб-шеллов". Тему "наступательной безопасности" поддержат Александр Гурин и Сергей Гордейчик в докладе "Интернет-картография в 2023 году. Чего не может Shodan". Во второй день фестиваля, 20го мая, Андрей Сикорский продемонстрирует фреймворк ERM&CK: открытый инструмент реагирования на инциденты.

Эксперты СайберОК примут участие в дискуссиях "Киберсуверенитет: вклад открытого кода", "Иоганн vs ИИганн: музыка будущего сейчас", "Экспертная открытость в ИБ, или Зачем делиться знаниями с сообществом", войдут в состав в жюри финала Всероссийского конкурса open-source проектов школьников и студентов (FOSS Kruzhok) по направлению «Кибербезопасность».

Ждем вас на PHDays!

Компания СайберОК открывает постоянный офис в Санкт-Петербурге и запускает спецкурс на Факультете математики и компьютерных наук СПбГУ. Занятия и практики по спецкурсу МКН СПбГУ "Анализ кода и безопасная разработка" проводят эксперты CyberOK Алексей Москвин и Екатерина Шеметова.

В рамках курса студенты познакомятся с современными подходами к анализу кода и выявлению уязвимостей, получат практические навыки использования формальной верификации, SMT-решателей, символьного выполнения и нейросетей.

Финал Всероссийского конкурса open-source-проектов школьников и студентов (FOSS Kruzhok) по направлению «Кибербезопасность» пройдет на фестивале Positive Hack Days в мае. Мероприятие проводится Кружковым движением Национальной технологической инициативы (НТИ) при поддержке Минобрнауки, Минпросвещения, Минцифры России, СайберОК и других IT-компаний страны. Прием работ открыт до 24 марта на сайте foss.kruzhok.org.

Направление «Кибербезопасность» запустили партнеры Всероссийского конкурса СайберОК и Positive Technologie. Проекты, заявленные школьниками и студентами, должны быть направлены на выявление и предотвращение атак, разведку киберугроз, повышение защищенности популярных FOSS-решений, включая защиту от внедрения вредоносного кода. На экспертную оценку принимаются новые приложения, вклад в существующие системы, в базы знаний и технологии детектирования, а также анализ защищенности (багбаунти) популярных open-source-продуктов. В рамках основных треков «Внедрение» и «Контрибьюторы» отдельно рассматриваются проекты на основе SOLDR.

«Финал Всероссийского конкурса open-source-проектов школьников и студентов по направлению „Кибербезопасность“ проходит на PHDays второй раз. В этом году добавились новые треки, увеличилось количество участников. Уверен, что мероприятие придаст мощный импульс использованию открытого кода в области кибербезопасности», — отметил генеральный директор «СайберОК» Сергей Гордейчик.

Оценивать работы будет жюри из представителей сферы образования, индустрии IT и ИБ. Авторы лучших проектов получат по два билета на международный форум по практической кибербезопасности Positive Hack Days 12, который пройдет в Москве 19 и 20 мая, и возможность выступить на нем.

Первый в России Межвузовский студенческий провайдер услуг кибербезопасности (MSSP SOC) создается на базе Консорциума опорных вузов Республики Татарстан. Поддержку проекту, не имеющему аналогов в России, оказывает ГК Innostage, CyberOK и Positive Technologies.
Межвузовский SOC будет защищать российские вузы федерального и регионального уровней. Студенты учебных заведений будут отвечать за оперативное реагирование центра на инциденты, а преподаватели — контролировать их деятельность. В рамках подготовки SOC к запуску эксперты CyberOK провели лекции по кибербезопасности для будущих сотрудников организации.

«Плотное взаимодействие между ВУЗами и индустрией кибербезопасности это взаимовыигрышная стратегия. Студенты и преподаватели получают доступ к современным технологиям и знаниям экспертов, повышают защищенности инфраструктуры университетов, а компании индустрии расширяют пул заинтересованных молодых специалистов, имеющих решения практических задач», — отметил Сергей Гордейчик, генеральный директор CyberOK.

На первом этапе университетский SOC создаётся на базе трех вузов, среди которых Казанский Национальный Исследовательский Технический Университет имени А.Н. Туполева (КАИ), Казанский Федеральный Университет (КФУ) и Казанский Государственный Энергетический Университет (КГЭУ).

Компания СайберОК получила лицензии ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации (СКЗИ) и деятельность по технической защите конфиденциальной информации (ТЗКИ).

Получение лицензий позволяет расширить перечень предоставляемых компанией услуг, включая тесты на проникновение (pentest), анализ безопасности приложений (application security) и расследование компьютерных инцидентов. Выписки из реестра лицензий доступны по ссылке.

Компания СайберОК представила на конференции YaTalks систему SOLDR — открытую EDR-платформу выявления атак и реагирования на киберинциденты, разрабатываемую совместно с Positive Technologies.

SOLDR позволяет обеспечить безопасность оконечных устройств, рабочих станций и серверов. В состав решения входит веб-интерфейс, базовый коррелятор, набор правил для обнаружения атак и реагирования на них и YARA-сканнер для большинства статических проверок. Система опубликована под лицензией MIT License, открыта для использования и совместного развития. Дополнительную информацию о решении можно найти на сайте.

Конференция YaTalks главная конференция Яндекса для ИТ-сообщества, прошла 3 и 4 декабря на площадках в Москве и Белграде. В этом году на мероприятии была организованна Оpen-source трибуна, в рамках которой были представлены наиболее интересные открытые проекты. Ознакомиться с выступлениями можно на сайте мероприятия или YouTube.

В рамках юбилейной кибербитвы Standoff 10 эксперты СайберОК провели конкурс по взлому смарт-контрактов, а также приняли участие в технической и деловой программе.

Генеральный директор СайберОК Сергей Гордейчик вместе с Юлией Вороновой, директором по консалтингу Positive Technologies, и Омаром Ганиевым, основателем DeteAct, обсудили текущее состояние и перспективы развития услуг по анализу защищенности и тестирования на проникновение в ходе круглого стола «Куда идет пентест (и причем здесь 250-й указ)». Совместно с Ниной Шипковой из ГК Innostage была представлена инициатива о создании межвузовского Security Operation Center для университетов Республики Татарстан.

Куда идет пентест
Единственный способ выжить

Кибербитва Standoff прошла в Москве 22-24 ноября. В соревнованиях приняло участие 10 команд со всего мира.

Команда CyberOK опубликовала запрос комментариев на проект метрики оценки защищенности внешнего периметра в рамках задачи External Attack Surface Management (EASM).

Наша загоризонтная цель:

сравнивать защищенность периметра компаний и государств;
отслеживать динамику защищенности периметра;
выработать оценку, одинаково воспринимаемую менеджментом и специалистами "красных" и "синих" команд;
сделать ее максимально прозрачной и не манипулируемой.

Будем благодарны за обратную связь!

Канал проекта. Git.

CyberOK, Postgres Pro, Яндекc и БЕЛЛСОФТ примут лучших школьников, студентов и начинающих специалистов в области разработки и кибербезопасности в свои open source проекты.

«Ведущие игроки рынка, следуя принципам и философии открытого кода, объединились вокруг Кружкового движения НТИ и запускают совместную программу стажировок для молодых IT-специалистов. «Код для всех» – это важная история для развития индустрии, призванная вовлечь молодежь в open source проекты, дать шанс талантливым школьникам, студентам, выпускникам попасть в команду мечты, проявить себя и, возможно, сделать один из ключевых шагов в будущей карьере. В 2022 году мы проводим «Код для всех» в пилотном режиме с прицелом на то, что программа станет ежегодной и будет привлекать все больше участников – как компаний, так и молодых разработчиков», – подчеркнул проректор НИУ ВШЭ, лидер рабочей группы НТИ «Кружковое движение» Дмитрий Земцов.

Заявки на программу принимаются до 10 июля на сайте . Участники, которые получат приглашения на стажировку, будут работать над проектами компаний под руководством менторов. Каждый стажер сможет работать дистанционно и будет ежемесячно получать стипендию или итоговое вознаграждение от партнеров программы.

«Недавние события показали, насколько уязвим открытый код, и в какой степени от его безопасности зависит устойчивость инфраструктуры интернета, корпоративных сетей. Команда CyberOK предлагает начинающим пентестерам, разработчикам и специалистам в области кибербезопасности внести свой вклад в повышение защищенности открытых решений», – добавил генеральный директор CyberOK Сергей Гордейчик.
Подробнее о направлении кибербезопасности программы https://www.cyberok.ru/code4all.html.

Команда CyberOK растет и мы приглашаем экспертов к сотрудничеству.

Нам очень не хватает директора по сервисам, исследователей в области ИБ (Vulnerability Researcher), пентестеров (Penetration Testing Specialist), руководителя команды безопасной разработки (DevSecOps Team Lead).

С полным перечнем вакансий можно ознакомится здесь.

Мы предлагаем:
Строить будущее самим. CyberOK - это энергичный стартап, не обросший бюрократией и открытый к любым идеям по развитию компании.
Работу из любой точки мира. Мы поддерживаем 100% удаленную работу, компенсации локальных хакспейсов и коворкингов.
Достойную компенсацию за достойную работу.

Команда CyberOK примет активное участие в работе международного форума по практической безопасности Positive Hack Days.

В рамках круглого стола «Открытая безопасность» эксперты из Минцифры, Яндекс, Озон и Positive Technologies обсудят вопросы развития применения открытого ПО в корпоративном секторе в России: насколько возможно создавать, развивать и поддерживать решения с использованием открытого исходного кода для крупных предприятий; чем сегмент кибербезопасности отличается от других сегментов технологического рынка; может ли широкое применение открытых решений подстегнуть индустрию и помочь закрыть существующие лакуны в продуктовом и сервисном портфолио; может ли решение на открытом коде конкурировать с «закрытыми» системами.

Эксперты CyberOK войдут в жюри финала первого Всероссийского конкурса Open Source проектов школьников и студентов по направлению «Кибербезопасность». Мероприятие организовано Кружковым движением Национальной технологической инициативы при поддержке Минцифры, Минобрнауки, CyberOK и других IT-компаний России. Авторы лучших заявок получили возможность рассказать о своих проектах 19 мая в 15:00. Авторитетное жюри из представителей сферы образования, индустрии IT и ИБ определит победителей и вручит ценные призы.

«Со времени своего основания в 2011 году PHDays является уникальной площадкой для обсуждения наиболее актуальных вопросов ИТ и кибербезопасности. Уверен, в этом году нам удастся сформировать сплав «пиджаков» и «футболок» и найти общие точки между открытым кодом и проприетарными продуктами», комментирует генеральный директор CyberOK Сергей Гордейчик.

28-29 апреля в Казани прошёл Russia Open Source IT Summit 2022 – новая деловая площадка, на которой в рамках круглых столов и дискуссий крупный бизнес, государство, IT-компании, разработчики отечественного софта и компании по кибербезопасности, встретились чтобы обсудить настоящее и будущее IT-индустрии и OSS-решений. Сергей Гордейчик, генеральный директор «СайберОК», принял участие в секциях «Как монетизировать open source-решения: разбор кейсов» и «Устойчивость бизнеса в условиях интенсивных кибератак: поможет ли открытый код?».

Возрастающее количество кибератак вызывает обеспокоенность у бизнеса и государства, особенно в условиях непростой геополитической ситуации. Все больше возникает вопросов, как глобально обеспечить безопасность систем. Чтобы найти выход из кризисной ситуации, индустрии требуется переход к новому типу взаимодействия, когда государство, бизнес и специалисты по информационной безопасности будут вместе преодолевать возникающие трудности. Как это устроить и могут ли решения с открытым кодом повысить устойчивость бизнеса в условиях интенсивных кибератак обсудили эксперты на круглом столе по open sourse решениям в кибербезопасности Russia Open Source IT Summit. В сессии приняли участие представители Беллсофт, Ак Барс Банка, Группа компаний Innostage (CyberART), «Лаборатории Касперского»Т, CyberOK, а также Центр информационных технологий РТ.

По мнению экспертов открытый код имеет ряд плюсов и минусов для использования и адаптации в рамках собственных разработок. Всё сходятся во мнении, что «сотни глаз» могут обеспечить прозрачность и отсутствие встроенных вредоносных закладок, использование таких решений требует наличия экспертных команд и что открытость не означает бесплатность.

«В свете ухода иностранных вендоров и острой необходимости усиленной киберзащиты перспективным вариантом является внедрение открытых решений по сервисной модели «безопасность как сервис», когда вопросы повседневного обслуживания систем ложатся на сервис-партнёров. В ходе создания платформы кибербезопасности на открытом коде, ключевой задачей станет обеспечение гарантии её жизненного цикла, соответствия регуляторным нормам, развитие и необходимая поддержка для использующих её компаний», – подвел нацеленный на будущее итог СЕО Cyberok Сергей Гордейчик.

Russia Open Source IT Summit в Казани — новая деловая площадка, где встретятся крупный бизнес, государство, IT-компании и разработчики отечественного софта, чтобы обсудить настоящее и будущее IT-индустрии в целом и OS-решений в частности. Мероприятие организовывается АНО «Цифровые трансформации», Российским фондом развития информационных технологий и площадкой Russia Open Source Hub.

Сергей Гордейчик, генеральный директор «СайберОК», выступит в рамках сессии «Как монетизировать open source-решения: разбор кейсов» и примет участие в работе круглого стола «Устойчивость бизнеса в условиях интенсивных кибератак: поможет ли открытый код?».

Саммит пройдет 29–30 апреля на площадке «ИТ-парк» г. Казань.

В этом году «СайберОК» выступит партнером Всероссийского конкурса open-source проектов школьников и студентов по направлению «Кибербезопасность». Мероприятие организовано Кружковым движением Национальной технологической инициативы при поддержке Минцифры, Минобрнауки, ряда IT-компаний России. Конкурс уже запущен, регистрация открыта, а работы принимаются до 10 мая на сайте https://foss.kruzhok.org/.

Культура open source позволяет создавать свои проекты, участвовать в доработке чужих, а также дает возможность начинающим IT-специалистам сотрудничать и получать обратную связь от опытных разработчиков.

«Открытый код широко используется в кибербезопасности. Лозунг „Информация хочет быть свободной“ одинаково используется как создателями открытого софта, так и хакерами, носящими шляпы всех оттенков. В этом году площадка PHDays традиционно дает возможность объединить разных людей, чтобы помочь каждому внести свой вклад в развитие открытого кода и сделать мир немного безопасней», — уверен Сергей Гордейчик, генеральный директор СайберОК.

Финал этапа конкурса по направлению «Кибербезопасность» пройдет 19 мая на площадке Positive Hack Days. Авторитетное жюри из представителей сферы образования, индустрии IT и ИБ определит победителей и вручит ценные призы.

Вакансии