Codeby

🚩 Киберколизей IV — международные CTF-соревнования по кибербезопасности!

⏰ Старт: 13 декабря в 10:00. Продолжительность 24 часа.

👥 Формат: Jeopardy (Classic) - участвуй в команде до 5 человек.

🏆 Призы для команд-победителей:
1 место — 45.000 руб
2 место — 30.000 руб
3 место — 15.000 руб
4-10 места — электронный сертификат участника, подписка Plus на HackerLab

Также первая тройка победителей получит 50% скидку на любой курс Академии Кодебай, месяц подписки PRO на HackerLab, а так же промокоды на скидку в 50% на годовую подписку.

И это еще не всё, будут дополнительные призы от наших партнёров!

➡️ Подробности и регистрация команд: https://cybercoliseum.hackerlab.pro/

Принять участие могут все желающие, независимо от уровня подготовки. Пригласите друзей и вместе завоюйте победу!

ZeroNights — 11-я конференция по практической кибербезопасности

Конференция по практическим аспектам ИБ ZeroNights возвращается после перерыва и готова к покорению вершин кибербезопасности с новыми силами и неизменной преданностью традициям.

➡️Дата: 26 ноября 2025
➡️Место: Санкт-Петербург, LOFT HALL #7

ZeroNights пройдет в одиннадцатый раз! В этом году мы вновь собираем на площадке лучшее — общение с профессиональным комьюнити, обсуждение актуальных тем кибербезопасности и только беспристрастно отобранные доклады о проблемах ИБ.

3 тематических трека с докладами:

🔅Offensive Track — две сцены (Heap Stage и Stack Stage) с докладами про использование современных техник взлома для проведения продвинутых кибератак, обнаружение уязвимостей в устройствах и приложениях, а также про способы их эксплуатации.
🔅SecOps Track — о реальных кейсах SecOps, о стратегии AppSec и о рабочих подходах к безопасной разработке.
🔅Community Track — секция интерактивных докладов от ИБ-сообществ.

До конференции остались считанные дни! 🤝
Купить билеты онлайн ➡️ тут
Наш TG-канал с актуальными новостями

🐝 TheHive

TheHive — платформа с открытым исходным кодом для управления инцидентами безопасности (Security Incident Response Platform, SIRP), предназначенная для облегчения работы команд реагирования на инциденты (CSIRT, SOC). Она масштабируемая, ориентирована на совместную работу и помогает централизованно регистрировать, анализировать, распределять задачи и эффективно расследовать инциденты безопасности.

Основные особенности TheHive:
🔺 Централизованное ведение инцидентов, включая классификацию (низкий, средний, высокий) и использование протокола TLP для управления конфиденциальностью информации.
🔺 Создание и управление задачами внутри каждого инцидента, что обеспечивает структурированный подход к реагированию.
🔺 Интеграция с такими инструментами, как Cortex для автоматизированного анализа и обогащения данных, а также с MISP для обмена индикаторами компрометации и изучения угроз.
🔺 Пользовательские информационные панели для мониторинга текущих инцидентов и выявления трендов в режиме реального времени.
🔺 Поддержка совместной работы команды в режиме реального времени, что помогает оперативно обмениваться информацией и координировать действия.
🔺 Наличие RESTful API для интеграции с другими системами безопасности, SIEM и платформами обработки тикетов.
🔺 Система управления доступом на основе ролей и полный аудит всех действий для соответствия нормативным требованиям и последующего анализа.

🌐 Благодаря открытому коду и активному сообществу, TheHive легко расширяется и кастомизируется под нужды конкретной организации.

📔 Также у TheHive имеются готовые плейбуки для реагирования на инциденте, а также их можно создавать самостоятельно, используя определенные шаблоны. Ниже представлен пример созданного плейбука для реагирования на активность Ransomware:

name: Ransomware_Containment
trigger: ransomware_behavior_detected
conditions:
  - multiple_file_modifications
  - encryption_patterns_detected
immediate_actions:
  - isolate_host:  # изоляция зараженной машины
  - kill_process:  # завершение подозрительных процессов
  - snapshot_vm:  # создание снимка виртуальной машины
  - collect_forensics:  # сбор артефактов для анализа

Ошибки в Microsoft Teams позволяют злоумышленникам выдавать себя за коллег и редактировать сообщения незаметно

Исследователи кибербезопасности раскрыли подробности четырёх уязвимостей безопасности Microsoft Teams, которые могли подвергнуть пользователей серьёзным атакам с использованием имперсонации и социальной инженерии.

Эти уязвимости «позволяли злоумышленникам манипулировать разговорами, выдавать себя за коллег и использовать уведомления», — говорится в отчёте Check Point, опубликованном The Hacker News.

После ответственного раскрытия информации в марте 2024 года некоторые из проблем были устранены Microsoft в августе 2024 года под идентификатором CVE-2024-38197. Последующие исправления были выпущены в сентябре 2024 и октябре 2025 года.

Вкратце, эти уязвимости позволяют изменять содержимое сообщений, не оставляя метки «Изменено» и идентификатора отправителя, а также изменять входящие уведомления, изменяя предполагаемого отправителя сообщения, что позволяет злоумышленнику обманным путём заставить жертв открыть вредоносные сообщения, создавая видимость их отправки от доверенного источника, включая высокопоставленных руководителей высшего звена.

Атака, охватывающая как внешних гостевых пользователей, так и внутренних злоумышленников, представляет серьёзную угрозу, поскольку она нарушает границы безопасности и позволяет потенциальным жертвам совершать непреднамеренные действия, такие как переход по вредоносным ссылкам в сообщениях или обмен конфиденциальными данными.

Кроме того, уязвимости также позволяли изменять отображаемые имена в личных чатах, изменяя тему разговора, а также произвольно изменять отображаемые имена, используемые в уведомлениях о вызовах и во время самого вызова, что позволяет злоумышленнику подделывать личность звонящего.

«Эти уязвимости бьют по самому сердцу цифрового доверия», — заявил Одед Вануну, руководитель отдела исследований уязвимостей продуктов Check Point, в заявлении для The Hacker News. «Платформы для совместной работы, такие как Teams, теперь так же важны, как электронная почта, и так же уязвимы».

«Наши исследования показывают, что злоумышленникам больше не нужно взламывать системы; им достаточно подорвать доверие. Теперь организации должны защищать то, во что верят люди, а не только то, что обрабатывают системы. Увидеть — значит поверить, значит проверить»

Кто идёт на Kuber Conf by AOT 4 декабря? Разыгрываем 2 билета!

👩‍💻 Kuber Conf by AOT — первая комьюнити-конференция по K8s в России, которая пройдет 4 декабря в Москве. Никакой воды — только хардкор и кейсы от команд Avito, Т-Банк, Vitastor, Beget, VK Cloud, Yandex Cloud, Selectel и других.

В программе:
🔵Изменения в Cluster API без пересоздания машин
🔵Как строили платформу деплоя в Т-Банке
🔵Практический deep-dive в CNI chaining
🔵Безопасный Gatekeeper в архитектуре k8s-in-k8s
🔵Поддержка Kubernetes в Vitastor
🔵Karpenter-провайдер своими руками — что внутри

Это отличный шанс:
— прокачать продовые навыки по K8s
— подсмотреть идеи для своей платформы
— пообщаться с инженерами из крупных команд

❕ Розыгрыш 2 билетов
24 ноября в 12:00 выберем 2 самых правильных и подробных ответа

Чтобы участвовать, ответь на вопрос в комментариях:
В прод-кластере Kubernetes все Pod’ы по умолчанию получают service account, который имеет права get/list на все Secret в namespace. Почему это серьёзный риск для безопасности и как минимум двумя разными стандартными механизмами Kubernetes можно его уменьшить/устранить?

Если Kubernetes — часть твоей работы или инфраструктуры, мимо проходить нельзя!

➡️ Программа и билеты

BrutDroid

BrutDroid 2.0 — это мощный набор инструментов, разработанный специально для Android Studio и упрощающий организацию лаборатории по тестированию на проникновение для мобильных устройств. Он разработан для упрощения тестирования на проникновение в Android и автоматизирует создание эмулятора, получение root-доступа, настройку сервера Frida и установку сертификатов Burp Suite. Благодаря новому яркому интерфейсу и поддержке пользовательских скриптов Frida, BrutDroid позволяет специалистам по безопасности сосредоточиться на тестировании, а не на настройке.

📕Характеристики:
1️⃣Оптимизировано для Windows и Android Studio: легко интегрируется с Windows Terminal и Android Studio для удобного тестирования на проникновение.
2️⃣Получение прав root в один клик: автоматически получает права root для эмуляторов (API 31, x86_64/arm64) с помощью Magisk и rootAVD, устраняя необходимость в ручной настройке.
3️⃣Интеграция Burp Suite: упрощает перехват трафика HTTPS за счет установки доверенных системных сертификатов Burp CA через модули Magisk.
4️⃣Пользовательские скрипты Frida: добавляйте и запускайте собственные скрипты Frida вместе со встроенными функциями закрепления SSL и обхода обнаружения root-доступа.
5️⃣Frida Powerhouse: Простое управление сервером Frida, просмотр приложений и выполнение скриптов для динамического инструментирования.

📌Установка:

git clone https://github.com/Brut-Security/BrutDroid.git

cd BrutDroid

pip install -r requirements.txt

🚀Запуск:

python3 BrutDroid.py

Исследователи Oligo Security обнаружили целую цепочку опасных RCE-уязвимостей, объединив их под названием ShadowMQ. Под удар попали важнейшие движки инференса, которые используют крупные компании, облачные провайдеры и исследовательские центры.
Суть проблемы в том, что многие ИИ-сервера принимают сообщения через ZeroMQ и сразу же десериализуют их с помощью небезопасного Python pickle. Если злоумышленник может достучаться до такого сокета, он получает возможность выполнить любой код на сервере.

🕖 История началась с того, что исследователи обнаружили уязвимость в Meta* Llama Stack — одном из наиболее популярных стеков для развёртывания LLM в продакшене. Во время анализа они заметили, что опасный вызов recv_pyobj() из ZeroMQ, который автоматически десериализует входящие данные через Python pickle, используется без каких-либо проверок и аутентификации.

Это уже само по себе серьёзная проблема: любой полученный объект может превращаться в исполняемый код.

Однако самое любопытное началось позже. Когда специалисты сравнили найденный у Meta* код с реализациями других инференс-серверов, стало очевидно, что дело не в случайном совпадении. Конкретные файлы и целые модули практически один в один повторяли структуру и логику уязвимого фрагмента. Линии, функции, вызовы — всё совпадало почти побитно.
Так выяснилось, что при создании инфраструктуры многие разработчики ориентировались на открытые примеры и использовали готовые шаблоны ZeroMQ для коммуникации между процессами.

И вместо того, чтобы адаптировать их или усилить безопасность, эти примеры переносились напрямую — вместе с уязвимостью.

В результате ShadowMQ «перекочевал» в другие крупные проекты:
🔅NVIDIA TensorRT-LLM — высокопроизводительная платформа инференса на GPU
🔅vLLM — один из самых популярных серверов LLM благодаря скорости и оптимизации памяти
🔅SGLang — крайне востребованный фреймворк, который используют крупнейшие техкомпании и облачные провайдеры
🔅Modular Max Server — часть новой многообещающей экосистемы Modular
🔅Microsoft Sarathi-Serve — серверная инфраструктура Microsoft для LLM

Распространение оказалось настолько широким, что исследователи сравнили его с

вирусом

, который «передаётся» через копипасту исходников. Не через зависимости, не через сторонние библиотеки, а через прямое использование одного и того же шаблонного кода, который считался безопасным, но оказался критически уязвимым.

⚡️ Почему это так опасно
Инференс-сервера — это не «второстепенные компоненты», а ядро современной AI-инфраструктуры:
🔅Они управляют вычислениями на мощных GPU-кластерах
🔅Обслуживают высоконагруженные модели
🔅Работают внутри корпоративных и облачных систем
🔅Обрабатывают пользовательские данные и результаты моделей

RCE

в такой точке превращается в серьёзную угрозу: доступ к модели, краже данных, внедрение вредоносных нагрузок, полный захват хоста. Дополнительный риск — десятки и сотни

ZMQ-сокетов

, обнаруженных открытыми в интернет без аутентификации.

🔔 Что уже исправлено, а что нет
Несколько проектов выпустили патчи достаточно быстро: Meta*, NVIDIA, vLLM и Modular закрыли уязвимости.
Но:
🔅Microsoft Sarathi-Serve до сих пор без исправления
🔅У SGLang фикс признан частичным, уязвимость остаётся в актуальной версии
И это особенно тревожно, учитывая, что SGLang используют компании масштаба AMD, NVIDIA, Intel, LinkedIn, Oracle Cloud, а также крупнейшие облака — Google Cloud, AWS и Azure.

➡️ Что делать организациям
Чтобы исключить риск эксплуатации ShadowMQ, специалисты рекомендуют: обновить затронутые компоненты до версий с патчами, закрыть ZMQ-сокеты от внешнего доступа и ограничить их внутренними сетями, включить аутентификацию сообщений, отказаться от использования pickle для обработки данных из сети.

*Meta признана экстремисской организацией на територии Российской Федерации

Тссс… Хотите узнать, как превратить киберугрозы в конкурентное преимущество?

Кибератаки происходят каждый день — под ударом любая компания.

Цифровая устойчивость сегодня — это не только IT, но и репутация, доверие и сила бренда.

Рекомендуем посмотреть видео, если вы хотите узнать:

· Почему внутренняя команда может не видеть «слепые зоны» безопасности.

· Какие риски скрываются во внешнем периметре.

· Как Индекс кибербезопасности показывает уязвимости глазами злоумышленника.

· Какие сигналы в даркнете предвещают атаку и зачем нужна независимая аналитика.

Индекс кибербезопасности от F6 превращает разрозненные риски в ясную картину и помогает укрепить защиту компании.

Не ждите атаки — узнайте, где уязвимости, и закройте их заранее.

Смотреть видео

#реклама
О рекламодателе

🟧Cutter

Бесплатная настраиваемая платформа для реверс-инжиниринга с открытым исходным кодом. Создана реверс-инженерами для реверс-инженеров. Позволяет анализировать двоичные файлы, создавая высокоуровневое представление машинного кода, содержащегося в них, то есть восстанавливает исходный код, на основе которого был скомпилирован двоичный файл.

🟧Бинарные файлы Cutter для всех основных платформ (Linux, macOS, Windows) можно загрузить с GitHub Releases. Также можно собрать Cutter из исходного кода:

git clone --recurse-submodules https://github.com/rizinorg/cutter
cd cutter
sudo apt install build-essential cmake meson pkgconf libzip-dev zlib1g-dev qt6-base-dev qt6-tools-dev qt6-tools-dev-tools libqt6svg6-dev libqt6core5compat6-dev libqt6svgwidgets6 qt6-l10n-tools
mkdir build && cd build
cmake ..
cmake --build .

🟧Cutter поддерживает плагины как на Python, так и на C++. C официальными плагинами и плагинами сообщества можно ознакомиться здесь. Плагины загружаются из каталога пользовательского уровня, зависящего от операционной системы. Чтобы узнать расположение этого каталога и список загруженных в данный момент плагинов, перейдите в меню Edit -> Preferences -> Plugins. В каталоге плагинов есть два подкаталога: native и python для плагинов на C++ и Python соответственно, которые будут автоматически созданы Cutter.

🟧Параметры командной строки
Инструмент поддерживает как графический интерфейс, так и работу из командной строки.

Cutter [options] [<filename> | –project <project>]

<filename> - Имя файла для открытия. Если не указано, будет показано диалоговое окно выбора файла.

Ниже перечислены некоторые возможные флаги:
🟧-A, --analysis <level> - при открытии файла автоматически выполняется анализ на заданном уровне (1 из 3 возможных);
🟧-a, --arch <arch> - конкретное название архитектуры;
🟧-b, --bits <bits> - установка определённых бит архитектуры;
🟧-c, --cpu <cpu> - установка конкретного процессора;
🟧-e, --endian <big|little> - устанавка порядка байтов (прямой или обратный);
🟧-F, --format <name> - принудительное использование определенного формата файла;
🟧-w, --writemode - открытие файла в режиме записи, а не в режиме только для чтения, который используется по умолчанию;
🟧-P, --phymode - отключение виртуальной адресации;
🟧--no-plugins - запуск со всеми отключенными плагинами.

⚠️ Глобальный сбой Cloudflare

18 ноября 2025 года Cloudflare столкнулась с масштабным техническим сбоем, который затронул ключевые интернет-сервисы по всему миру, включая X (Twitter), ChatGPT, Spotify, Facebook и множество других. У пользователей массово возникали ошибки «Internal Server Error», а многие сайты оказались недоступны.

Cloudflare заявила, что причина инцидента — «необычный всплеск трафика», и компания расследует проблему и постепенно восстанавливает работу сервисов. Масштаб сбоя подтверждён ведущими СМИ и официальными заявлениями компании.

Подробнее: сбой затронул не только глобальные платформы, но и менее крупные сайты, работающие через Cloudflare.