Информационная безопасность

Лаборатория Касперского проверила 231 миллион паролей из даркнет-утечек 2023–2026 годов: 60% взламываются менее чем за час, почти половина — меньше чем за минуту.

Одна видеокарта RTX 5090 перебирает MD5-хеши со скоростью 220 миллиардов в секунду — на 34% быстрее, чем RTX 4090. Арендовать такую мощность в облаке можно за несколько долларов в час. Это уже не академическая атака — это промышленный процесс.

Цифры, которые неприятно читать. По данным SecurityLab, исследование Лаборатории Касперского разбивает 231 миллион паролей примерно так: 45% ломаются за минуту, ещё 15% — в пределах часа, и только 23% требуют больше года непрерывного перебора. Оставшиеся — где-то посередине. Три четверти паролей, которые люди считают «нормальными», не переживут рабочего дня атакующего.

Почему умные алгоритмы выигрывают у человека. Дело не только в железе. Современные инструменты взлома обучены на тех же утечках — они знают, что пользователи заменяют «a» на «@», добавляют год рождения в конец и ставят восклицательный знак, думая, что это хитро. Алгоритм проверяет эти паттерны первыми. Радужные таблицы с миллионами заранее посчитанных хешей — это вчерашний день; сегодня работают вероятностные модели, натренированные на реальном поведении людей.

Отдельная история — повторное использование паролей. Если один и тот же пароль стоит на трёх сервисах, взламывать ничего не нужно: достаточно найти его в одной утечке и прогнать по остальным. Credential stuffing — это не атака на пароль, это атака на человеческую лень.

Что реально помогает

• Менеджер паролей — единственный способ иметь уникальные длинные комбинации без боли. Хранить в браузере или заметках — примерно то же, что оставить ключ под ковриком.

• Длина важнее сложности. Случайная фраза из четырёх слов длиннее и энтропийнее, чем Pa$$w0rd123.

• Passkeys (ключи доступа) там, где сервис поддерживает — убирают пароль из уравнения вообще.

• TOTP-аутентификатор вместо SMS. SMS перехватывается через SS7 или SIM-swap; TOTP — нет.

Для корпоративного контекста добавлю: если у вас нет политики паролей с проверкой по базам утечек (HaveIBeenPwned API или аналог) и принудительного MFA на всех внешних точках входа — вопрос не в том, взломают ли, а в том, когда именно это уже произошло и вы просто не знаете.

Скорость перебора будет только расти — следующее поколение GPU сделает ещё один шаг вперёд. Пароли как механизм аутентификации доживают последние годы, и чем раньше инфраструктура это учтёт, тем меньше будет неприятных сюрпризов.

TG @CIOlogia

Dirty Frag 🐧💥

Спустя неделю после нашумевшего Copy.Fail исследователь v4bel раскрыл новую технику повышения привилегий в ядре Linux — Dirty Frag.

По состоянию на утро 8 мая у Dirty Frag не было CVE-номера и, что более критично, официального патча от мейнтейнеров ядра тоже. Dirty Frag относится к тому же классу, что Dirty Pipe и Copy.Fail, но использует другой механизм: вместо pipe_buffer атакуется структура sk_buff.

Общие механизмы работы позволяют надежно блокировать эксплойт поведенческой экспертизой в PT Sandbox (Exploit.Linux.CVE-2022-0847.a, Exploit.Linux.CVE-2026-31431.a, Backdoor.Linux.Generic.a) — смотрите на скриншоте.

Как это работает? 🧐

Dirty Frag — это цепочка из двух уязвимостей, которые дополняют друг друга, чтобы охватить все основные дистрибутивы:

1️⃣ Page-Cache Write (с 2017 года): предоставляет возможность для записи 4 байт в кэш страниц, но требует права на создание пользовательских пространств имен, что в некоторых системах (например, Ubuntu) может блокироваться AppArmor.

2️⃣ RxRPC Page-Cache Write (с июня 2023 года): не требует прав на пространства имен, но модуль rxrpc.ko присутствует только в некоторых дистрибутивах, включая Ubuntu, где он загружен по умолчанию.

Объединив их, атакующий получает рабочий эксплойт на любой системе, что позволяет:

• Подменить suid-файлы (например, /usr/bin/su) на свою версию
• Изменить /etc/passwd, очистив пароль root-пользователя

Кто под угрозой? ⛳️

Практически все системы с ядром Linux, выпущенные с 2017 года. Исследователь подтвердил работу эксплойта на следующих версиях: Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, Fedora 44 и других.

Как защититься? 🔧

Так как официального патча от мейнтейнеров ядра пока нет, единственный способ защиты — немедленно отключить и выгрузить уязвимые модули ядра.

Команда для отключения:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Некоторые дистрибутивы (например, AlmaLinux) начали выпускать собственные патчи, не дожидаясь апстрима.

Позднее сегодня уязвимость получила идентификатор CVE-2026-43284, патч добавлен в код ядра (f4c50a4034e6).

(Источник: https://t.me/ptescalator)

Dirty Frag: новый LPE в Linux из той же «грязной» серии

После Dirty Pipe и Copy Fail появился новый кейс — Dirty Frag: локальная эскалация привилегий в Linux, позволяющая получить root при успешной эксплуатации.

По данным опубликованного исследования, Dirty Frag строится на цепочке из уязвимостей в механизмах xfrm-ESP и RxRPC. 

Митигация

До выхода и установки патчей от дистрибутива можно временно снизить риск, выгрузив уязвимые модули:

rmmod esp4 esp6 rxrpc

Для более устойчивой митигации после перезагрузки:

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null
echo 3 > /proc/sys/vm/drop_caches

Перед применением проверьте, не используются ли эти модули легитимными сервисами, например IPsec/xfrm или RxRPC-зависимыми компонентами. После появления обновлений ядра приоритетная мера — установить патчи от вашего Linux-дистрибутива.

Детектирование

F6 EDR обнаруживает попытки эксплуатации Dirty Frag, а также эксплуатацию Copy Fail, позволяя выявлять активность, связанную с локальной эскалацией привилегий, даже если патчи или временные митигации еще не развернуты на всех хостах.

Рекомендации:

1. Проверить наличие модулей esp4, esp6, rmmod, rxrpc;

2. Применить временную митигацию там, где это не ломает бизнес-сервисы;

3. Установить обновления ядра сразу после выхода патчей;

4. Контролировать попытки эксплуатации через EDR.

Пару недель назад я попросил у вас помощи в вопросе предоставления нерабочей IoT-техники, старых роутеров, видеокамер и других умных устройств для проведения программно-аппаратных исследований. Честно говоря, я не ожидал, что так много людей откликнется и окажет неоценимую помощь.

Однако особую благодарность хочу выразить Валерию, который предоставил просто бессчётное количество исторических артефактов:

• роутеры D-Link, TP-Link, Ростелеком (ИскраТел), ZyXEL, Paradyne;

• мобильные телефоны N95i и Toshiba Portege;

• IP-видеокамеры - 2 экземпляра;

• видеокарту;

• коммуникаторы и ТСД на базе Windows CE;

• транспондер;

а также ряд других устройств, предназначение которых для меня пока остаётся загадкой 😂

Итого всё это «добро» весит около 10 килограммов и представляет собой настоящую историческую веху, в которую я, как олдфаг, вспоминающий интернет по талонам, с ностальгией готов окунуться. Валерий, очень рад познакомиться лично и ещё раз спасибо за предоставленное оборудование!

В общем, если раньше была проблема «Что тестировать?», то теперь она переросла в проблему «Когда тестировать?», потому что, даже если брать по два устройства в месяц, у меня уйдёт не меньше года на изучение всего этого добра. Но, честно скажу, это очень приятная проблема ;)

Если у вас есть предложения, с чего именно мне начать, - с радостью выслушаю ваши пожелания.

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

РБПО по ГОСТ Р 56939—2024: вебинар №11 из 30 – Динамический анализ кода программы

Компания ООО "ПВС" совместно с учебным центром "Маском" провела цикл вебинаров, посвящённых разработке безопасного программного обеспечения (РБПО). Совместно с приглашёнными экспертами различных компаний мы рассмотрели 25 процессов, приведённых в ГОСТ Р 56939—2024.

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.11. – "Динамический анализ кода программы". На YouTube. Слайды.

Цели 11-го процесса по ГОСТ Р 56939—2024:

Обнаружение недостатков и уязвимостей в коде ПО в процессе его выполнения.

Общее количество вебинаров — 30: каждому из 25 процессов ГОСТа посвящено по одному вебинару и 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

За январь–апрель 2026 года число уникальных вредоносных образцов в атаках на российские компании выросло с 66 до 1174 — в 18 раз, по данным Positive Technologies. «Лаборатория Касперского» считает иначе: их аналитики зафиксировали уже более 2000 уникальных образцов среди наиболее активных группировок за тот же период.

Динамика по месяцам показательна: январь — 115 образцов, февраль — 247, март — 413, апрель — 399. Для сравнения: в марте 2025-го их было 8. Рост не постепенный — это резкий перелом с марта 2026-го.

Кто стоит за цифрами. Positive Technologies отслеживает 11 группировок, из которых четыре — PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore — дали около 70% всех новых образцов. PhaseShifters бьёт по авиапрому и ОПК через фишинг с трояном Remcos — полный контроль над машиной, кейлоггер, доступ к данным. Rare Werewolf действует тоньше: разворачивает легитимный AnyDesk со вспомогательным скриптом, который автоматически подтверждает системные оповещения Windows и обходит предупреждения безопасности. Никакого «страшного» экзотического малвари — просто инструмент удалённого доступа, которому сама ОС говорит «ок».

По отраслям лидируют госучреждения (17,86% атак), финансовый сектор и НКО (по 9,82%), промышленность (8,04%). Аналитик Positive Technologies Денис Казаков называет главной причиной роста геополитику и «индустриализацию» разработки малвари: уязвимости, появившиеся в 2025-м, постепенно вошли в оборот, и теперь группировки штампуют новые образцы конвейерным методом.

Для меня как CIO здесь важнее всего не сама цифра «в 18 раз», а то, что Rare Werewolf работает через легитимный софт. Это означает, что сигнатурный антивирус промолчит, а SOC увидит «обычное» подключение AnyDesk — если вообще увидит. Контроль разрешённых инструментов удалённого доступа и мониторинг аномальных сессий сейчас важнее очередного обновления антивирусных баз.

Источники:

• Материал CNews со ссылкой на данные Positive Technologies и Kaspersky

TG @CIOlogia

В файрволах Palo Alto Networks нашли критическую уязвимость, позволяющую получить root-доступ удалённо — без аутентификации.

Детали пока скупые: SecurityLab сообщает о захвате устройства через сеть, но ни CVE-номера, ни затронутых версий PAN-OS в открытом доступе пока нет. Это само по себе тревожный сигнал — либо патч ещё не готов, либо информацию придерживают намеренно, чтобы не дать атакующим готовый вектор до выхода исправления.

Для тех, кто держит периметр на PA-серии: Palo Alto — один из самых распространённых enterprise-файрволов в российских корпоративных сетях, особенно в компаниях, которые ещё не завершили импортозамещение. Root на файрволе — это не просто «дыра в защите». Это полный контроль над трафиком, возможность отключить сегментацию сети, обойти политики и получить плацдарм для горизонтального движения внутри инфраструктуры.

Что стоит сделать прямо сейчас. Проверить, торчит ли management-интерфейс вашего Palo Alto в интернет (он не должен). Подписаться на security advisories от Palo Alto Networks напрямую — они публикуют бюллетени на security.paloaltonetworks.com раньше, чем новость доходит до агрегаторов. И следить за обновлением: как только выйдет патч с CVE — ставить без раздумий.

Файрвол с root-уязвимостью на периметре — это уже не файрвол, а открытая дверь с охранником, который работает на другую сторону.

Источники:

• SecurityLab: уязвимость в файрволах Palo Alto

TG @CIOlogia

Сервис Your IP Security & Privacy Audit проверяет подключение пользователя на предмет утечек, а также на безопасность сетевого соединения. Решение просматривает: IP, утечку гео и WebRTC, DNS, чёрный список IP-адресов, цифровые отпечатки в браузере.

РБПО по ГОСТ Р 56939—2024: вебинар №10 из 30 – Статический анализ исходного кода

Компания ООО "ПВС" совместно с учебным центром "Маском" провела цикл вебинаров, посвящённых разработке безопасного программного обеспечения (РБПО). Совместно с приглашёнными экспертами различных компаний мы рассмотрели 25 процессов, приведённых в ГОСТ Р 56939—2024.

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.10. – "Статический анализ исходного кода". На YouTube. Слайды.

Цели десятого процесса по ГОСТ Р 56939—2024:

Предотвращение внесения потенциально опасных конструкций и ошибок в ПО, а также использования опасных конструкций и уязвимостей из заимствованного кода.

Общее количество вебинаров — 30: каждому из 25 процессов ГОСТа посвящено по одному вебинару и 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Рассмотрение 10-го процесса в ГОСТ Р 56939—2024 неразрывно связано с другим ГОСТ Р 71207—2024 "Статический анализ программного обеспечения". В нём говорится о том же, только более подробно и конкретно.

Про ГОСТ Р 71207—2024 я отдельно рассказывал в цикле из пяти вебинаров:

1. Общее описание и актуальность;

2. Терминология;

3. Критические ошибки;

4. Технологии анализа кода;

5. Процессы.

Разрабатываемый нами анализатор кода PVS-Studio совместим с ГОСТ Р 71207—2024 и закрывает 10-й процесс ГОСТ Р 56939—2024 для языков C, C++, C#, Java. Сейчас в процессе реализации поддержка языков Go, JavaScript, TypeScript. Попробовать PVS-Studio.

Opensource-зависимости стали одним из главных векторов атак на цепочки поставок — и это уже не теория. Positive Technologies обновили PT Fusion до версии 1.7: теперь в нём появились фиды от PT Supply Chain Security с данными о вредоносных, протестных и удалённых релизах опенсорс-проектов. Формат — OSV, стандартный для ИБ-сообщества.

Что за угрозы они покрывают. Речь о трёх категориях: пакеты с намеренно внедрённым вредоносным кодом, «протестные» релизы (когда мейнтейнер что-то встраивает из политических или личных соображений — как было с colors.js или node-ipc) и заброшенные проекты, которые никто больше не патчит. Последнее — особенно коварно: уязвимость может существовать годами, и никто её не закроет.

Где это применимо. Фиды грузятся в SCA-инструменты, dependency firewall и реестры артефактов. Отдельный сценарий — ретроспективный forensics: при расследовании инцидента можно проверить, не было ли скомпрометированной зависимости на конечных устройствах. Это меняет SCA из «проверки перед деплоем» в непрерывный мониторинг.

Для компаний, где разработка использует опенсорс (а это почти все), вопрос уже не «нужен ли нам контроль зависимостей», а «насколько актуальна наша база данных угроз». Фиды в PT Fusion обновляются регулярно — это важнее самого факта их наличия.

Источники:

• Новость CNews о PT Fusion 1.7

TG @CIOlogia

Беслпатный и рекламируемый впн, насколько все плохо ?

Давайте разберем самый популярный в тиктоке рекламируемый впн Kakadu,сегодня я не буду брать аспекты что они наводят панику и тд.Мы посмотрим правда ли у них «invisible protocol» а не VLESS,я решил это проверить ведь по сути это уголовно наказуемо (ввод в заблуждение),а в итоге и нарушение лицензии GPLv3 + присваивание open source софта.

Так что сегодня мы расчехляем waydroid,whireshark,strings и bind.

Мы конечно не будем заниматься реверс инженрингом а просто анализировать приложение сначала посмотрим внутренности путем проверки строк внутри бинарника и просто распакуем апк.

В итоге на фото которое я приложил нет никакого протокола, это значит что они используют sing-boxоткрытое ядро прокси под GPLv3.А эта лицензия обязывает говорить об проектах которые используются.Уже нашли присваивание ПО.

Также я пытался засунуть кусок wire shark дампа чтобы узнать их реальный протокол но увы.Но суть в пакете 9156

9156: 1956 192.168.240.112

155.212.215.82 TLSv1.3 609 ClientHello

(SNI-say-today.ru)

Здесь можно увидеть подключение, но это вайбкод заглушка из reality-fallbacks.К слову VLESS+reality просто маскируются под TLSv1.3 вывод они используют обычный VLESS.

Но это еще не все, они говорят что их сервера работают даже без интернета НО у них один СЕРВЕР.Один для балансировки нагрузки это уже понятно что его заблокировать можно в один клик.

Так что вывод: используйте нормальные платные впн или лучше поднимите свой!

Исследователь обнаружил, что браузер Microsoft Edge загружает все сохраненные пароли в память в открытом виде — даже когда ими не пользуются.

Неделю назад ко мне обратилась одна небольшая компания с довольно необычным запросом: им необходимо защититься от Big Data маркетинга - метода кражи клиентов через форму обратной связи. На мой удивленный вопрос “А что это, собственно, такое?” заказчик пояснил, что когда клиент оставляет запрос на ВАШЕМ сайте, то его сведения, включая персональные данные, направляются напрямую к конкурентам 😳. Я, естественно, возразил, что такое не возможно и тут явное нарушение законодательства, но клиент настаивал, и подтверждал это общим собранием конкурентов и обсуждением этой “вопиющей” нездоровой конкуренции. Кроме того, в подтверждение своих слов, мне на ознакомление была представлена статья, описывающая эту методику.

Так, в статье описывается текущий кризис рекламных каналов в России: рост стоимости привлечения клиентов (CAC), снижение эффективности классических инструментов вроде контекстной рекламы, таргета, SEO и маркетплейсов. На этом фоне авторы статьи предлагают альтернативу - так называемый «перехват клиентов» через Big Data. Суть подхода в том, чтобы “находить” пользователей, которые уже взаимодействовали с конкурентами (посещали сайты, звонили, получали СМС), и затем выходить на них с предложением через прозвон и дополнительный прогрев. После получения номеров телефонов запускается процесс квалификации: операторы звонят людям, уточняют их интерес и передают «прогретые» лиды клиенту. В статье делается акцент на том, что это законно (за счет согласий пользователей) и сравнивается с привычными маркетинговыми практиками вроде таргетинга по аудитории конкурентов или брендовой рекламы. Ну и в завершении, конечно, приводятся кейсы из разных ниш, где заявляется высокая эффективность метода и предлагается протестировать услугу через платный пилот.

Я бы к этой идее относился очень осторожно. Сама концепция «перехвата аудитории конкурентов» не новая и в легальной форме действительно существует (ретаргетинг, look-alike аудитории и т.д.). Но конкретные утверждения из статьи, особенно про доступ к номерам людей, которые «звонили конкурентам» или «получали СМС», выглядят как минимум сомнительно с точки зрения законодательства и реальных технических возможностей. В Российской юрисдикций такие практики без явного согласия пользователя незаконны. С высокой вероятностью это маркетинговое преувеличение и речь идет о серых/пограничных схемах работы с данными, например инсайдер или форма обратной связи, которая направляет запрос нескольким адресатам.

Хотя, не исключено, что я ошибаюсь и технологии Big-data действительно сильно шагнули вперед, однако на текущий момент нет публично известных легальных технологий, которые позволяли бы получать номера пользователей на основании их звонков или СМС конкурентам в описанном виде. Подскажите пожалуйста, имели ли Вы опыт разбора таких кейсов и существуют ли реально такие техники конкурентной борьбы?

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Пинг есть, а связи нет: когда не поможет классический мониторинг ИТ-инфраструктуры и как NPM спасает от «футбола» между отделами

Традиционные инструменты мониторинга ИТ-инфраструктуры хорошо справляются с контролем «здоровья» железа: они отслеживают доступность узлов, загрузку процессоров, свободное место на дисках.  Но когда возникает проблема на уровне бизнес-приложений, классическая система мониторинга говорит только: «Пользователи жалуются, что всё тормозит». Корень проблемы может скрываться как на стыке сетевых сегментов, так и в скрытой деградации канала, переполненных буферах оборудования или ошибках на уровне TCP. Спасение в такой ситуации — решения класса NPM (Network Performance Monitoring), они помогут точно диагностировать проблему. Скажем: маршрутизатор перегружен YouTube-трафиком из отдела маркетинга, и это вызывает потерю пакетов для 1С.

В отличие от мониторинга доступности, NPM работает с качеством доставки и взаимодействия. Система анализирует сетевые сессии и протоколы, вычисляет метрики передачи данных и помогает быстро находить первопричины замедлений.

В новом видео Станислав Грибанов, руководитель продуктов NDR и NPM компании «Гарда», расскажет подробнее о том, какие задачи закрывают NPM-решения, и на примере продукта «Гарда NPM» разберёт практические сценарии использования.

Еще больше видео о технологиях и трендах в сфере сетевой безопасности и защиты данных — на нашей странице «ВКонтакте» и на сайте.

4 мая Microsoft подтвердила: Defender с обновлением сигнатур от 30 апреля начал детектировать легитимные корневые сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha — и в ряде случаев не просто предупреждал, а удалял их из хранилища доверенных корневых сертификатов Windows.

Под удар попали два конкретных сертификата (`0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43` и DDFB16CD4931C973A2037D3FC83A4D7D775D05E4), которые вырезались прямо из ветки реестра HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\. Часть пользователей, не разобравшись, переустанавливала Windows — решив, что машина реально заражена.

Что произошло на самом деле. Defender оперативно добавил правила обнаружения после инцидента у DigiCert: злоумышленники атаковали сотрудника поддержки через вредоносный ZIP под видом скриншота, получили действительные сертификаты и использовали их для подписи малвари — в том числе компонентов кампании Zhong Stealer. DigiCert отозвала 60 сертификатов. Логика детекта сработала, но зацепила слишком широко — накрыв заодно и легитимные корневые.

Проблема исправлена в Security Intelligence 1.449.430.0 и новее. Свежее обновление также восстанавливает ранее удалённые сертификаты — дополнительных ручных действий Microsoft не требует.

Для меня как CIO этот инцидент — хорошая иллюстрация того, насколько хрупкой может оказаться цепочка доверия к сертификатам. Один взломанный сотрудник поддержки у CA, несколько выданных сертификатов — и антивирус крупнейшего вендора начинает «лечить» легитимную инфраструктуру. Если у вас есть системы, критически зависящие от конкретных корневых сертификатов (VPN, внутренние PKI, подписанные агенты мониторинга), стоит проверить, не прилетело ли обновление сигнатур незаметно в нерабочее время и не унесло ли что-нибудь с собой.

Источники:

• Разбор инцидента на Anti-Malware.ru

TG @CIOlogia

Представлен открытый проект TapMap, который следит за всеми подключениями на интерактивной карте и показывает, к серверам в каких странах отправляет запросы ПК пользователя.

Проект сканирует приложения, сервисы, страны и порты за последние 30 дней. При этом данные никуда не улетают — всё локально на компьютере.

Copy.Fail 🐧

Исследователи обнаружили баг в ядре Linux, который существовал в системах с 2017 года и затрагивает практически все дистрибутивы.

Уязвимость CVE-2026-31431, которую мы считаем трендовой, состоит из четырех шагов:

1️⃣ Пользователь открывает сокет AF_ALG и инициализирует AEAD-алгоритм без привилегий;

2️⃣ Через splice() страницы кэша целевого файла попадают в буфер операции;

3️⃣ Ошибка в authencesn дает запись 4 байт за границы буфера прямо в страницы кэша;

4️⃣ Ядро исполняет модифицированный setuid-файл из кэша → выполнение кода с правами root.

Данная цепочка уязвимости частично схожа с Dirty Pipe (CVE-2022-0847), которая также использует системные вызовы:

• pipe — создает однонаправленный канал передачи данных;

• splice — позволяет передавать данные между файловыми дескрипторами без промежуточного копирования.

Так как данная уязвимость уже обнаруживалась в PT Sandbox при анализе ПО в образе Astra Linux, процесс эксплуатации новой уязвимости Copy Fail также обнаруживалась в PT Sandbox еще до выхода публичного эксплойта.

Благодаря этому эксплойту можно перезаписывать не только suid-файлы, но и проводить другие модификации, делая системные изменения более скрытными.

Как исправить 🔧

Если вы администрируете Linux-системы — обновите ядро. Патч зафиксирован в коммите a664bf3d603d. Основные дистрибутивы начали выпускать исправленные пакеты с 29 апреля. После обновления потребуется перезагрузка.

Если немедленное обновление невозможно — временная мера: отключить модуль algif_aead:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

rmmod algif_aead 2>/dev/null

(Источник: https://t.me/ptescalator)

Уязвимость CVE-2026-31431 связана с локальным повышением привилегий в компоненте ядра Linux AF_ALG. Она вызвана ошибкой работы с памятью и позволяет непривилигированному пользователю поднять привилегии до максимальных (root). Это позволяет злоумышленнику полностью захватить систему: читать и изменять любые файлы, включая пароли и ключи, подменять системные файлы, отключать защитные механизмы и средства мониторинга, незаметно устанавливать бэкдоры и закрепляться в системе, скрывать следы своей активности, использовать устройство как возможность для атак на другие сетевые активы. Злоумышленник может проэксплуатировать уязвимость в рамках атак на инфраструктуру, которые могут привести к недопустимым последствиям (утечки информации, кража денежных средств, техногенные катастрофы и т.п).

Эксплуатабельность недостатка безопасности была подтверждена на актуальных версиях популярных дистрибутивов Linux: Ubuntu, Amazon Linux, RHEL, SUSE и другие.

Ядро Linux Kernel уже сталкивалось с громкими уязвимостями повышения привилегий - например, Dirty Cow и Dirty Pipe. Как сообщают исследователи, в отличие от предыдущих уязвимостей, Copy Fail — это прямолинейная логическая ошибка. Одна и та же программа (скрипт), не требуя каких-либо изменений, работает на всех протестированных дистрибутивах и архитектурах. Эксплойт для уязвимости - это короткий скрипт на Python, использующий только стандартные модули os, socket, zlib. Он не требует никакой настройки под конкретный дистрибутив или архитектуру. Экслуатация уязвимости не детектируется встроенными инструментами безопасности ОС. Кроме того, недостаток безопасности может ставить под угрозу межконтейнерное воздействие и работу кластеров Kubernetes.

На данный момент для того, чтобы защититься, можно обновить ядро самостоятельно. Если вы не готовы это делать, следует дождаться, когда обновления пакетов ядра выпустит вендор вашего Linux-дистрибутива. В качестве альтернативного решения исследователи предлагают заблокировать создание сокетов AF_ALG. Обнаружить эту уязвимость в инфраструктуре можно с помощью MaxPatrol VM. MaxPatrol SIEM детектирует эксплуатацию уязвимости с помощью правила CVE_2026_31431_Linux_Copy_Fail_LPE.

Александр Леонов, ведущий эксперт по управлению уязвимостями PT Expert Security Center, Positive Technologies

В cPanel обнаружена уязвимость, позволяющая получить доступ к серверу без пароля — авторизацию можно обойти полностью.

cPanel стоит на миллионах хостинг-серверов по всему миру. Это де-факто стандарт для shared-хостинга и небольших VPS. Если дыра позволяет зайти без учётных данных — под угрозой не только сайты, но и базы данных, почтовые ящики, конфигурации, SSH-ключи, всё что лежит на сервере.

Детали эксплойта SecurityLab не раскрывает, но сам факт обхода аутентификации — это уже критический уровень. Не «повышение привилегий», не «утечка данных при определённых условиях». Просто: пароль не нужен.

Что стоит проверить прямо сейчас

Если у вас или ваших подрядчиков есть серверы на cPanel:

• убедитесь, что установлена последняя версия панели (апдейты в cPanel выходят через WHM → cPanel & WHM Updates)

• закройте порты 2082, 2083, 2086, 2087 для внешнего доступа, если панель не должна быть публичной

• проверьте логи авторизации на предмет подозрительных входов за последние несколько дней

• если используете хостинг-провайдера — уточните у него статус патча

Последнее, что хочется обнаружить в понедельник утром: кто-то уже неделю ходит по вашему серверу, пока вы думали, что всё закрыто.

Коллеги-бумажные инфобезники, у меня к вам тема на поразмыслить. У каждого из нас есть мобильный телефон, в котором имеется телефонная книга и куда мы записываем телефон, фио и иные персональные данные конкретного человека. По сути, с момента нажатия на кнопку “Сохранить” мы начинаем обработку персональных данных (запись, систематизация, накопление, хранение) и должны руководствоваться 152-ФЗ. Но есть пару нюансов.

Во-первых, в соответствии с п. 1 ч. 2 ст. 1 Федерального закона, действие последнего не распространяются на отношения, возникающие при обработке ПДн физическими лицами исключительно для личных и семейных нужд. Простыми словами, если у нас в контактах исключительно родственники и друзья, то нам нечего переживать.

А что если я работаю, например, менеджером по продажам и у меня записаны сотни телефонов клиентов и подрядчиков? В данном случае может ли быть применен п. 5 ч. 1 ст. 6 ФЗ-152, в соответствии с которым обработка ПДн допускается для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных?

В продолжении темы: я хочу записать в свою телефонную книгу всех граждан страны (сейчас не рассматриваем технологические ограничения на объем памяти), включая их фио, телефоны, даты рождения, адреса и другую важную для меня информацию. Естественно, я их лично всех не знаю и мне они не нужны для работы. Я не собираюсь передавать их третим лицам или использовать в качестве рекламы. Я просто хочу знать кто мне звонит 😉 (по сути, использовать для личных нужд). Это законно?

С одной стороны, речь идёт о всех гражданах страны и фактические подразумевает массовый сбор и создание базы данных. С другой стороны, а как мне определить число, что это пока еще личные цели, но еще не массовость и, соответсвенно, наоборот: это уже массовый сбор и не подпадает под личные нужды? Кроме того, если мой номер телефона был “слит” в интернет, я такого согласия не давал, но люди записали его себе в справочник: будет ли это нарушением закона как незаконный сбор ПДн?

В общем, ситуация простая, а вопросов много. Предлагаю подискутировать по данному вопрос и уже наконец-то определиться, нужно ли брать согласие субъекта на обработку персональных данных перед добавлением контакта человека в свой телефон? ;)

🧠 Обязательно поделись с теми, кому это может быть полезно: 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Защитили наш подход к мультирегиональности: новый патент на систему управления доступом в облаке

Команда безопасности Yandex Cloud запатентовала технологию объединения облаков, развёрнутых в разных регионах. В отличие от подхода, характерного для многих зарубежных облачных платформ, где используется глобальный сервис Identity and Access Management (IAM), в платформе Yandex Cloud применяется подход с изолированными облачными регионами. Это позволяет соблюдать региональные законы, требования к хранению пользовательских данных и минимизировать риски инцидентов. 

Система IAM — важная составляющая публичного облака, она определяет модель безопасности, авторизации и управления ресурсами. Поэтому при проектировании архитектуры мультирегионального облака инженерам было необходимо принять несколько решений: 

• будет ли сам IAM глобальным или региональным,

• как классифицировать ресурсы и пользователей,

• как будут работать процессы аутентификации и авторизации,

• должны ли токены и куки работать между регионами.

Это позволило создать технологию, в основе которой лежат ключевые архитектурные требования: 

1. Отсутствие общих точек отказа между регионами — если один регион испытывает трудности, другие регионы не должны страдать.

2. Объём ущерба инцидентов должен быть ограничен пределами одного региона.

3. Важно соответствовать требованиям комплаенса и локального законодательства.

4. Необходимо создать условия, при которых клиент чувствует, что пользуется единым сервисом, а не набором разнородных изолированных облаков.

Последнее условие соблюдается благодаря продуманному UX: регионы остаются независимыми, но пользователи могут «бесшовно» переключаться между ними. Это достигается через организацию — псевдоглобальный объект, выступающий административным доменом. Доступ к ресурсам могут получать только пользователи, входящие в организацию. 

Доверие между регионами реализовано через механизм Workload Identity Federation: аккаунт одного региона может имперсонироваться в аккаунт‑представитель в другом регионе. При этом права таких аккаунтов строго ограничены, а синхронизация выполняется односторонне — только из домашнего региона. Поэтому даже если в другом регионе произойдёт компрометация, это не затронет домашний регион.