Трек про ТОП 5 CVE, которые эксплуатировались в пентестах Positive Technologies в 2023 году
По пентестам за прошедший год отчёт
Вышел у Позитивов.
Каждый кто его прочтёт,
Увидит, что там всё красиво.
28 проектов, есть что показать.
Статистика и результаты.
Умеют защищать и умеют ломать -
Молодцы ребята!
(Молодцы ребята!)
К отчёту они подошли всерьёз.
Ознакомьтесь без спешки!
Но у меня всегда один вопрос:
Где там CVE-шки?
(Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать.
Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
ProxyNotShell в Эксчендже,
А на Linux-ах PwnKit.
Самый популярный почтовый сервак
MS Exchange - лакомая цель любых атак.
3 уязвимости ProxyNotShell - по сути одна
Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS.
И к тому же отечественная. Импортозамeс!
RCE в модуле “Опросы, голосования“ -
Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник
На Linux хост проник
И там спокойно сидит,
Нет надёжнее стратегии,
Чем поднять до root-a привилегии
Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
ProxyNotShell в Эксчендже,
А на Linux-ах PwnKit.
Это были результаты за 2023 год.
Что за тренды нам текущий год принесёт?
Кто подаст надёжный патчиться сигнал?
Подпишись на avleonovrus “Управление Уязвимостями и прочее“, Telegram канал.
---
Отчёт вышел 2 июля. Список уязвимостей:
🔻 Remote Code Execution - Microsoft Exchange “ProxyNotShell“ (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082)
🔻 Remote Code Execution - Bitrix Site Manager “PollsVotes“ (CVE-2022-27228)
🔻 Elevation of Privilege - Polkit “PwnKit“ (CVE-2021-4034)
Трек сгенерировал в Suno.
Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками!
#поёмCVE #fun #music #PositiveTechnologies #pentest #Microsoft #Exchange #ProxyNotShell #Bitrix #BitrixSiteManager #PollsVotes #Polkit #PwnKit #Linux
17 views
815
230
1 month ago 00:36:31 1
ЛЮСЯ ЧЕБОТИНА, ЧТО С ТОБОЙ НЕ ТАК? ПОЗОР НА МУЗЛОФТ, МУЗЫКАЛЬНАЯ ИНДУСТРИЯ НА ДНЕ, КОНЦЕРТ АДЕЛЬ
1 month ago 01:14:29 4
[Информатика ЕГЭ Умскул] ВСЕ ЗАДАЧИ 26 с официальных ЕГЭ | Информатика ЕГЭ 2023 | Умскул
1 month ago 00:07:34 3
Парящий потолок и треки 2024
1 month ago 00:06:57 1
Волк - песня
1 month ago 00:28:37 1
САМАЯ КРАСИВАЯ МУЗЫКА ДЛЯ ЛЮБВИ, ДЛЯ СЕКСА ! ПОЛ ЧАСА УДОВОЛЬСТВИЯ ДЛЯ ВАС!
1 month ago 00:11:40 1
Создал игру про 3 сентября с Шуфутинским на Unity
1 month ago 00:00:51 1
Мудрые слова... Про жизнь со смыслом. Табор уходит в небо
1 month ago 00:08:57 1
PORCHY, MAY WAVE$, JEEMBO, LOQIEMEAN, THOMAS MRAZ, TVETH, SOULOUD, MARKUL, OXXXYMIRON - KONSTRUKT
1 month ago 01:14:36 1
МОТ vs ДИМА БИЛАН | БИТВА ПОКОЛЕНИЙ | 3 СЕЗОН | 2 ВЫПУСК
1 month ago 00:29:25 1
Обзор Triumph Street Triple 675 R - волк в овечьей шкуре?
1 month ago 00:00:00 1
Я ТУТ С ВЕБКОЙ В 2К НА EVOLVE RP / МП, РУЛЕТКИ И ПРОЧИЕ ПРИКОЛЫ / SAMP STREAM / САМП СТРИМ #samp
1 month ago 00:15:48 1
Децл выступает против Путина. Последнее интервью Кирилла Толмацкого. Децла отравили новичком.
1 month ago 00:23:20 1
LORD POLO - О РАБОТЕ С GRISELDA, СМОКИ МО, БУДУЩЕМ РЭПА И БИФЕ С KIZARU. ДЕНЬ С АБОРИГЕНАМИ
1 month ago 00:04:48 1
Как заполнить пространство между фразами в треке?
1 month ago 00:48:22 1
Как погибает Россия. Разруха, воровство и смерть в русской деревне
1 month ago 00:00:37 25
2024 Singapore GP FP3: Final practice red flagged after lizard is spotted on track
1 month ago 00:03:49 1
Если буду - Ай-Q
1 month ago 00:05:28 1
Цельнометаллическая оболочка в нашей армии (Переозвучка)
1 month ago 00:56:06 1
Дослідження рідкісного, свіжого, класичного Drum and Bass вінілу | Bios Explorer 1 | Vanya Bios
1 month ago 00:02:54 1
Bakhtin - Целовала (Официальная премьера трека)
1 month ago 00:07:57 11
MOSCOW NIGHT WITH EPIC SOUNDTRACK (2024 EDIT) / Ночная Москва в Cities: Skylines (рестайлинг 2024г.)
1 month ago 00:30:52 1
Лена Катина — о «Тату», о непринятии себя и возвращении на большую сцену
1 month ago 00:03:54 1
АИГЕЛ — Татарин // AIGEL — Tatarin [Official Music Video | English, Russian, Tatar subtitles]
1 month ago 00:20:28 1
История Культуры №11: Культура Западной Европы XVII века