Управление Уязвимостями и прочее

Смотрю подкаст коллег из R-Vision Андрея Селиванова (руководитель продукта R-Vision VM) и Антона Исаева (лидер продуктовой практики R-Vision SIEM/VM) "10 неудобных вопросов Project Manager-у по VM". Естественно, обсуждение шло в контексте решения R-Vision VM. Интересный формат и подборка вопросов. 🔥 Собираюсь их постепенно разобрать и добавить свои комментарии. 😉 Вопрос 1: Класс Vulnerability Management решений - это маркетинговая обёртка сканеров уязвимостей или за этим есть какие-то дополнительные технологии? 💬 Андрей Селиванов ответил в духе, что VM-решения - эволюционное развитие сканеров уязвимостей, потребность в которых возникла с увеличением количества активов (сказал, что у них есть клиент с 300 000 конечных точек и сотней миллионов уязвимостей) и увеличением разнообразия типов активов. Все уязвимости на этих активах необходимо эффективно детектировать, приоритизировать и ставить задачи на устранение. С простым сканером уязвимостей с таким объёмом справляться сложно, требуется более функциональное решение. "Но сканер - это то, по чему встречают решение в любом пилоте и у любого клиента". Важно, насколько качественно выявляются уязвимости, насколько широкое покрытие. "Если у тебя не будет нормального сканера, называться полноценным VM-решением - ну такое себе". #️⃣ В целом, согласен со сказанным. Особенно в части качества детектирования. 👍 Единственное я бы выделил такие формальные признаки сканера уязвимостей и VM-решения: если средство анализа защищённости (САЗ) работает в парадигме отдельных сканов - это сканер уязвимостей. Классический пример - Nessus. А если САЗ хранит картину текущего состояния всей инфраструктуры (активов и уязвимостей на них), позволяет делать выборки по уязвимостям, делать приоритизацию уязвимостей, заводить и отслеживать задачи на устранение (через встроенную тикетницу или через интеграции) и производить прочую высокоуровневую обработку, то это уже решение класса Vulnerability Management. Потому что это решение реализует внутри себя Vulnerability Management процесс. Ну или, во всяком случае, вендор решения это декларирует и к этому стремится. 😉 При этом я против того, чтобы считать, что любое VM-решение априори лучше любого сканера уязвимостей и поэтому должно стоить дороже. 🔹 И сканер уязвимостей может быть оправданно дорогим, если он реализует востребованную, крутую и качественную экспертизу. Даже если он поставляется в виде консольной утилиты, а то и вовсе в виде фида с контентом. 🔹 В свою очередь VM-решение может лишь формально реализовывать заявленную функциональность и, к примеру, не справляться с реальной нагрузкой (особенно если его навайбкодили за выходные 😉). VM-решение вообще может быть опенсурсным проектом, типа Faraday Security или DefectDojo, и стоить (ну, в теории 😏) 0 руб. Так что маркетинговые категории мало чего значат на самом деле. Нужно смотреть в суть. @avleonovrus #RVision #RVisionVM #VulnerabilityManagement #VMprocess #VulnerabilityAssessment #10VMquestions

Мои коллеги по PT ESC зафиксировали первую фишинговую кампанию с использованием уязвимости Remote Code Execution - Microsoft Office (CVE-2026-21509), направленную на российские организации. Атакующие, с высокой вероятностью связанные с группировкой BoTeam, рассылают зловредные RTF-файлы, оформленные как переписка с регулятором Ространснадзор ("Акт проверки транспортного средства", "Форма письменных пояснений"). Уязвимость CVE-2026-21509 позволяет обойти функции безопасности OLE при открытии зловредного документа Microsoft Office, выполнить HTTPS-запрос к серверу злоумышленников и скомпрометировать десктоп жертвы в ходе многоступенчатой атаки. Уязвимость была экстренно исправлена 26 января вне регулярных Microsoft Patch Tuesday. Входит в списки трендовых уязвимостей Positive Technologies и R-Vision. @avleonovrus #Microsoft #Office #OLE #BoTeam #PositiveTechnologies #втрендеVM #TrendVulns #RVision #ВфокусеRVD

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM. Вебинар назывался достаточно провокационно: "98% уязвимостей можно игнорировать? Как перестать чинить всё подряд и заняться реальными угрозами". Меня формулировки про 2% всегда триггерят. 😤 Я считаю, что фиксить нужно ВСЕ уязвимости (но с разным SLA) и, по возможности, безусловным патчингом. Но, по правде сказать, на этом вебинаре и НЕ транслировали идею, что 98% уязвимостей можно игнорировать. Скорее, подробно демонстрировали возможности Security Vision VM (я наделал ~100 скринов 🔥) и говорили о необходимости приоритизированного устранения уязвимостей. 👌 Для этого Security Vision представили свою версию Трендовых Уязвимостей. Это уязвимости из CISA KEV ИЛИ с EPSS > 0,5. Всего у них получается ~1500 таких уязвимостей. Мне, конечно, есть что сказать и про EPSS, и про CISA KEV. 🙄 Но как быстрое решение, как плейсхолдер - почему бы и нет. Это лучше, чем ничего. 👍 @avleonovrus #SecurityVision #SecurityVisionVM #SVTrend #EPSS #CISAKEV

По поводу внесения питерской компании Operation Zero и связанных с ней лиц в американский санкционный список. Имхо, в этой длящейся истории со сливом и продажей восьми американских эксплойтов важно отделять главное от второстепенного. И главное в ней - признание США, что они целенаправленно разрабатывают кибероружие. Их оборонные подрядчики ресёрчат уязвимости и разрабатывают эксплоиты для наступательных киберопераций и кибершпионажа. Угадайте, против кого. 😏 🔻 Уязвимости - это не просто ошибки ПО, которые нужно отнести вендору за баунти/спасибо и CVE-шку. 🤤 🔻 Уязвимости - это стратегически важная информация, требующая внимания и регулирования. ⚔️ Наши заклятые партнёры это хорошо понимают. Не случайно утечку эксплоитов сам министр финансов комментирует. 😉 Хотелось бы, чтобы в России поскорее обратили внимание на трансграничный репортинг уязвимостей и приняли меры для усиления наступательного киберпотенциала страны. 🙏 @avleonovrus #exploit #research #ИНД #OperationZero #OFAC #thoseamericans #Bessent

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies. За прошлый год добавили 66 трендовых уязвимостей (в 2024 было побольше - 74). 🔻 Для 54 уязвимостей (82%) есть признаки эксплуатации в атаках, для 12 (18%) есть публичные эксплойты без признаков эксплуатации. "Потенциальных" уязвимостей нет. 🔻 Большая часть трендовых уязвимостей имеет тип RCE (31, 47%), на втором месте EoP (20, 30%). 🔻 В отечественных коммерческих продуктах было обнаружено 4 трендовые уязвимости (в CommuniGate Pro и TrueConf Server). Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом. 🔻 Компания Microsoft остаётся основным "поставщиком" трендовых уязвимостей: 31 уязвимость, 46% от общего количества (в 2024 году было 45%). ➡️ Перечень всех уязвимостей с разбивкой на группы смотрите в посте на Хабре, а подробности по уязвимостям в отчёте Vulristics. 🎞 Также есть видео-версия. 😉 @avleonovrus #TrendVulns #PositiveTechnologies #Microsoft #CommuniGate #TrueConf

На Хабре вышел пост компании Orion soft про уязвимость побега из песочницы в VMware ESXi (CVE-2025-22225) с моим комментарием. Бюллетень вендора по этой уязвимости вышел 4 марта 2025 г. Для неё сразу были признаки эксплуатации в реальных атаках в составе цепочки ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). В трендовые уязвимости Positive Technologies её добавили 10 марта 2025 г. 👾 Подробности по атакам появились относительно недавно, 7 января 2026 г., в блоге компании Huntress. Среди прочего, они нашли доказательства того, что 0day эксплойт для уязвимости существовал более чем за год до выхода патча. Ок, но ведь год прошёл, и все уже давно пропатчились? 👀 Беда в том, что Broadcom жёстко ограничивают доступ к обновлениям VMware (особенно для российских компаний). 🛑 О причинах этого хороший пост в блоге Дениса Батранкова. 💰 Как по мне, с "варева" давно уже пора мигрировать на отечественные решения. 😉 @avleonovrus #VMware #Broadcom #Huntress #OrionSoft #PositiveTechnologies #TrendVulns #0day

Длинные праздничные выходные снова провели в замечательной Твери. 🔹 В субботу ходили на мастер-классы по песочной анимации и театру теней в детский музейный центр и на балет в филармонию. 🔹 В воскресенье смотрели "Снежную королеву" в драматическом театре и концерт, посвящённый Дню защитника Отечества, в филармонии. 🔹 В понедельник у нас была экскурсия по истории ГТО в детском музейном центре и экскурсия "Планета океан" в Тверском РМИ. Поздравляю всех с Днём защитника Отечества! 🇷🇺 В первую очередь, тех, кто сейчас защищает Родину на передовой! Но и тех, кто обеспечивает её информационную безопасность, безусловно, тоже! @avleonovrus #дыбр #travel #Тверь #23feb #offtopic #theatre #museum #sport #music #ballet #родительство

Завершился знаковый судебный процесс над хакером-коллаборационистом. Андрей Смирнов, 1987 г.р., из города Белово Кемеровской области, был задержан в октябре 2023 года. Есть видеозапись задержания и допроса, на котором он признаётся в том, что проводил атаки на российскую критическую инфраструктуру. Технические средства и таргеты он брал из чата в Телеграм (+1 повод к блокировке тележеньки 🤷‍♂️), связанного со спецслужбами вражеского государства. Какие именно атаки он проводил, не уточняют. На видео впечатление технически грамотного специалиста он НЕ производит. Возможно, что он просто запускал DoS-илку, хотя может и что-то интереснее. 🤔 Как бы то ни было, компьютерные статьи 273 (ч.1) и 274.1 (ч.1) он своими действиями заработал. А за счёт вражеских целеуказаний ещё и статью 275 (госизмена). А там сроки до 20 лет и пожизненного. В итоге дали 16 лет. 🤷‍♂️ Покажите знакомым мамкиным хацкерам "с позицией". Особенно молодым и глупым. Церемониться с ними не будут. @avleonovrus #law #КИИ #Telegram

Февральский Linux Patch Wednesday. В феврале Linux вендоры начали устранять 632 уязвимости, в полтора раза меньше, чем в январе. Из них 305 в Linux Kernel. Есть две уязвимости с признаками эксплуатации вживую: 🔻 RCE - Chromium (CVE-2026-2441) 🔻 InfDisc - MongoDB "MongoBleed" (CVE-2025-14847) Ещё для 56 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить: 🔸 RCE - OpenSSL (CVE-2025-15467, CVE-2025-69421, CVE-2025-11187), pgAdmin (CVE-2025-12762, CVE-2025-13780), DiskCache (CVE-2025-69872), PyTorch (CVE-2026-24747), Wheel (CVE-2026-24049) 🔸 AuthBypass - M/Monit (CVE-2020-36968) 🔸 EoP - Grafana (CVE-2025-41115, CVE-2026-21721), M/Monit (CVE-2020-36969) 🔸 AFR - Proxmox Virtual Environment (CVE-2024-21545) 🔸 SFB - Chromium (CVE-2026-1504), Roundcube (CVE-2026-25916) 🗒 Полный отчёт Vulristics @avleonovrus #LinuxPatchWednesday #Vulristics #Linux #MongoBleed #MongoDB #Chromium #OpenSSL #pgAdmin #PyTorch #Grafana #MMonit #Roundcube #DiskCache #Wheel #ProxmoxVE

Вот такую информационную карту уязвимостей 2025 года показывал сегодня Алексей Сердечный, начальник отдела ФАУ "ГНИИИ ПТЗИ ФСТЭК России", в рамках своего доклада "Ландшафт актуальных угроз безопасности информации и тенденции их развития" на ТБ Форум. Очень красиво. 👍 🔹 Можно видеть основные "скопления": Аппаратное обеспечение, Windows, Linux/Unix, Прикладное ПО, Beб, Библиотеки (где-то в середине, не подписано). 🔹 Подсвечены кластеры по вендорам и типам уязвимостей. Правда, если присматриваться, есть вопросики. Почему, например, Chrome в Linux/Unix, а не в Прикладном ПО? Или стоит ли выделять COVID19 в отдельный кластер? 🙂 🔹 Показаны уязвимости БДУ ФСТЭК, уязвимости без CVE, непроанализированные уязвимости, уязвимости с эксплоитами и признаками эксплуатации. Были ещё картинки по CWE-шкам, но я не стал их все выкладывать. Идея для визуализации крутая. 🔥 Если трендовые уязвимости PT на такой карте показывать, около половины окажутся в кластере Windows. 😉 @avleonovrus #FSTEC #BDU #ТБФорум #CVEorg #NVD