Эксперт Базы знаний СайберОК – Александр Черненьков – обнаружил опасную мисконфигурацию в платформе Клеверенс Mobile SMARTS. Суть проблемы в возможности неаутентифицированного доступа к SOAP и REST API, при отсутствии настроенной, внимание, аутентификации. Это позволяет получать доступ к множеству критичных Set/Get-операций на стороне серверной части платформы.

Обнаружена уязвимость типа User Enumeration в модуле Autodiscover программного обеспечения Microsoft Exchange Server, которая позволяет неаутентифицированному субъекту установить наличие пользователя в системе.

Критическая уязвимость CVE-2024-45519 в компоненте обработки почты postjournal почтового сервера Zimbra Collaboration позволяет выполнять атаки неаутентифицированному пользователю через протокол SMTP.

Эксперты СайберОК – Александр Черненьков и Сергей Гордейчик – помогли выявить уязвимость в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169). 

Кружковое движение Национальной технологической инициативы (НТИ) совместно с лидирующими IT-компаниями страны запускает всероссийскую программу стажировок «Код для всех». 

CyberOK открывает двери для талантливых студентов, молодых разработчиков и специалистов ИБ, приглашая их на стажировку в проекты open source.

Уязвимость CVE-2024-24919 позволяет неавторизованным злоумышленникам читать произвольные файлы на устройствах межсетевого экранирования Check Point.

Эта уязвимость содержится в продукте Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access.

Критичность по шкале CVSSv3 — 7.5. Однако мы в СайберОК считаем её максимально критичной (уровень критичности «шторм»). Рассказываем, какие меры рекомендуется срочно принять.

Друзья, рады поделиться итогами нашего участия в международном киберфестивале PHDays 2! Это уникальное событие вновь объединило под одной крышей Лужников тысячи влюбленных в кибербез, а наша команда внесла свой существенный вклад в программу фестиваля.

Наши эксперты выступили с пятью потрясающими докладами, делясь своим опытом, знаниями и свежими релизами (подробнее в телеграме).

Прикрепляем ссылки на эфир с каждого выступления 👇

1️⃣ Большие маленькие коробочки

2️⃣ Немного интеллекта для грубой силы

3️⃣ Тонкости импортозамещения CMS. Собираем Bug Bounty и БДУ по реестру отечественного ПО

4️⃣ Как бы я взломал…Рунет

5️⃣ Из хакера в гендиректора

В каждом докладе вы услышите загадочное словосочетаниях «наша балалайка». Так вот, открываем страшный секрет — на самом деле это наша Система Контроля и Информирования о Поверхности Атак (СКИПА), которая уже доступна для пилотов корпоративным заказчикам.

Пишите info@cyberok.ru!

17 апреля Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала информацию о важном обновлении в системе управления контентом Netcat CMS и порекомендовала срочно установить патчи для обеспечения безопасности системы. Эксперт Сайбер ОК выявил более десятка уязвимостей, большинство из которых касаются административного интерфейса и могут быть использованы злоумышленниками для удаленных атак на системы, работающие на Netcat CMS.

На форуме разработчиков Битрикс был опубликована запись о злоумышленниках, которые добавляют скрипты на страницы сайтов. Рекомендации, как переиграть негодяев, ниже.