Эксперт Базы знаний СайберОК – Александр Черненьков – обнаружил опасную мисконфигурацию в платформе Клеверенс Mobile SMARTS. Суть проблемы в возможности неаутентифицированного доступа к SOAP и REST API, при отсутствии настроенной, внимание, аутентификации. Это позволяет получать доступ к множеству критичных Set/Get-операций на стороне серверной части платформы.
Обнаружена уязвимость типа User Enumeration в модуле Autodiscover программного обеспечения Microsoft Exchange Server, которая позволяет неаутентифицированному субъекту установить наличие пользователя в системе.
Критическая уязвимость CVE-2024-45519 в компоненте обработки почты postjournal почтового сервера Zimbra Collaboration позволяет выполнять атаки неаутентифицированному пользователю через протокол SMTP.
Эксперты СайберОК – Александр Черненьков и Сергей Гордейчик – помогли выявить уязвимость в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169).
Кружковое движение Национальной технологической инициативы (НТИ) совместно с лидирующими IT-компаниями страны запускает всероссийскую программу стажировок «Код для всех».
CyberOK открывает двери для талантливых студентов, молодых разработчиков и специалистов ИБ, приглашая их на стажировку в проекты open source.
Уязвимость CVE-2024-24919 позволяет неавторизованным злоумышленникам читать произвольные файлы на устройствах межсетевого экранирования Check Point.
Эта уязвимость содержится в продукте Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access.
Критичность по шкале CVSSv3 — 7.5. Однако мы в СайберОК считаем её максимально критичной (уровень критичности «шторм»). Рассказываем, какие меры рекомендуется срочно принять.
Друзья, рады поделиться итогами нашего участия в международном киберфестивале PHDays 2! Это уникальное событие вновь объединило под одной крышей Лужников тысячи влюбленных в кибербез, а наша команда внесла свой существенный вклад в программу фестиваля.
Наши эксперты выступили с пятью потрясающими докладами, делясь своим опытом, знаниями и свежими релизами (подробнее в телеграме).
Прикрепляем ссылки на эфир с каждого выступления 👇
1️⃣ Большие маленькие коробочки
2️⃣ Немного интеллекта для грубой силы
3️⃣ Тонкости импортозамещения CMS. Собираем Bug Bounty и БДУ по реестру отечественного ПО
В каждом докладе вы услышите загадочное словосочетаниях «наша балалайка». Так вот, открываем страшный секрет — на самом деле это наша Система Контроля и Информирования о Поверхности Атак (СКИПА), которая уже доступна для пилотов корпоративным заказчикам.
Пишите info@cyberok.ru!
17 апреля Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала информацию о важном обновлении в системе управления контентом Netcat CMS и порекомендовала срочно установить патчи для обеспечения безопасности системы. Эксперт Сайбер ОК выявил более десятка уязвимостей, большинство из которых касаются административного интерфейса и могут быть использованы злоумышленниками для удаленных атак на системы, работающие на Netcat CMS.
На форуме разработчиков Битрикс был опубликована запись о злоумышленниках, которые добавляют скрипты на страницы сайтов. Рекомендации, как переиграть негодяев, ниже.
