Похек

Появился публичный PoC для Post-Auth RCE уязвимости CVE-2025-57738 в Apache Syncope #CVE #ApacheSyncope #RCE #AppSec Специалисты SecureLayer7 опубликовали публичный PoC и технический разбор уязвимости CVE-2025-57738 в Apache Software Foundation Apache Syncope. Эксплуатация бага позволяет аутентифицированному администратору добиться RCE через механизм кастомных Groovy-расширений. ♾️Технические нюансы♾️ Syncope использовал обычный GroovyClassLoader() без CompilerConfiguration, SecureASTCustomizer и ограничений на AST-трансформации. В результате загруженный пользователем Groovy-код получает полный доступ к JVM API: Runtime.exec(),ProcessBuilder, File, Socket и reflection API. static {}-инициализатор в Groovy/Java выполняется во время parseClass(), то есть до валидации загруженного класса. Если Syncope запущен в контейнере от root, код выполняется с правами процесса Syncope (в ряде containerized deployment это может быть root). ♾️Эксплуатация♾️ ▪️Атакующий с правами admin или delegated admin в Syncope отправляет запрос в /syncope/rest/implementations/COMMAND/{key} ▪️Загружает malicious Groovy class ▪️В static {} размещает нужную команду ▪️Syncope вызывает GroovyClassLoader.parseClass() ▪️Статический блок исполняется автоматически в момент парсинга ▪️Атакующий получает RCE на хосте/контейнере ♾️Импакт♾️ ▪️Выполнение команд на хосте ▪️Компрометация учетных данных и токенов ▪️Доступ к пользовательским данным ▪️Lateral movement во внутреннюю инфраструктуру ▪️Потенциальный полный контроль над IAM-сервером Рекомендуется обновиться до Apache Syncope 3.0.14 или 4.0.2. В новых версиях Groovy-код выполняется в sandbox с использованием SecureASTCustomizer. 🔗Источник и PoC 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Pre-auth RCE уязвимость в marimo (Python notebook framework) — CVE-2026-39987 #RCE #CVE #Marimo #Python #WebSocket #AppSec В Marimo есть функция встроенного терминала. Как обнаружили исследователи, эндпоинт /terminal/ws не выполнял проверку аутентификации: WebSocket-соединение принималось без каких-либо токенов и сессий, после чего через pty.fork() создавался интерактивный системный shell. Корень проблемы — AuthenticationMiddleware из Starlette идентифицирует пользователя, но не блокирует WebSocket-апгрейд, а сам эндпоинт не вызывает validate_auth() перед websocket.accept(). Под угрозой версии Marimo ≤ 0.22.x. Фикс выпущен в 0.23.0. ♾️Импакт♾️ Эксплуатация бага позволяет выполнять произвольные команды в ОС, красть данные, получать доступ к .env, API-ключам и внутренним сервисам, а также использовать скомпрометированный инстанс как точку для дальнейшего продвижения по инфраструктуре. ♾️Атака♾️ ▪️Находим доступный по сети инстанс Marimo и инициируем WebSocket-подключение к ws://TARGET:<port>/terminal/ws или соответствующему wss://-URL ▪️Эндпоинт не выполняет проверку аутентификации перед установлением соединения. Сервер принимает соединение через websocket.accept() без проверки подлинности и создает интерактивную оболочку (PTY) ▪️После отправляем команды прямо через WebSocket, например id, whoami, ls -la, cat /etc/passwd. Можно скачать дополнительную нагрузку, закрепиться в системе и использовать сервер как плацдарм для lateral movement. ♾️Эксплуатация in wild♾️ По данным Sysdig TRT, через 9 часов 41 минуту после публикации advisory началась активная эксплуатация. За 3 дня (11–14 апреля) зафиксировано 662 эксплойт-события с 11 IP из 10 стран. Атакующие разворачивают новый вариант NKAbuse — Go-бэкдор с C2 через NKN blockchain, замаскированный под легитимный Kubernetes-инструмент kagent и раздаваемый через typosquatted Hugging Face Space vsccode-modetx. ♾️Защита♾️ ▪️Обновите Marimo до версии 0.23.0 или выше ▪️Не выставляйте интерфейс Marimo в открытый интернет без использования VPN, прокси с авторизацией или брандмауэра ▪️Запускайте Marimo в изолированных контейнерах под non-root user 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

OpenEXR: integer overflow в DWA decoder ведёт к heap OOB write. CVE-2026-40244 + CVE-2026-40250 Нашли нашей системой. Обе CVE присвоены, фиксы смержены upstream. Проект. OpenEXR — эталонный HDR-формат Academy Software Foundation. Среди спонсоров ASWF — Netflix, Warner Bros, Walt Disney Studios, Apple, Sony Pictures, Microsoft. Используется в VFX-пайплайнах, рендерерах, Blender, Nuke, Houdini. Одна корневая причина — две локации. Integer overflow при умножении int32_t × int32_t без приведения к size_t в pointer-арифметике DWA decoder. Оба — missed variants CVE-2026-34589: когда мейнтейнер фиксил исходный CVE по тому же классу, два места в фиксе пропустили. CVE-2026-40250 — DwaCompressor_uncompress():

    
        
outBufferEnd += chan->width * chan->bytes_per_element;{}
    

При width > 536M произведение переполняет int32_t, указатель уезжает назад, row-буферы перекрываются, LossyDctDecoder_execute пишет в heap. CVE-2026-40244 — setupChannelData(), RLE-путь:

    
        
+ curc->width * curc->height{}
    

При width × height > INT32_MAX — переполнение, некорректное смещение, OOB write на раскладке RLE. Фикс в обоих — (size_t) cast перед умножением. Тот же паттерн в том же файле используется корректно на строках 1215 и 1699. Два места забыли. Параметры. CVSS 8.4 (High), CWE-190. Impact — heap OOB write, потенциальное RCE. Затронуты 3.2.0–3.2.7, 3.3.0–3.3.9, 3.4.0–3.4.9. Патчи — 3.2.8, 3.3.10, 3.4.10. Вектор. Любой сервис, открывающий недоверенный EXR: рендереры, viewer'ы, DCC-пайплайны, обработка пользовательских ассетов, web-превью HDR. Вывод Даже в проекте уровня ASWF, который поддерживают студии с бюджетами на ИБ в сотни миллионов, живут типовые integer overflow'ы — и не по одному, а кластерами. Популярность библиотеки не гарантирует её безопасность. Любую зависимость, которая парсит внешние данные, нужно закладывать в модель угроз: валидация входа до передачи в SDK, песочница для парсеров недоверенного контента, аудит int × int в pointer-вычислениях на критичных путях.

Альфа ЦТФ — CTF от Альфа-Банка с призовым фондом 3,1 млн рублей Альфа-Банк второй год подряд проводит соревнование по спортивному хакингу «Альфа ЦТФ — Цепляй трофейный флаг». Старт 25 апреля в 9:00 мск, участие онлайн из любой точки России, команды до 4 человек или соло. Для кого ⚡️CTF-трек — для опытных игроков и специалистов по кибербезопасности ⚡️IT-трек — для разработчиков, тестировщиков, аналитиков ⚡️Студенческий трек — для учащихся колледжей и вузов от 18 до 25 лет ⚡️Школьный трек — для учеников от 14 до 18 лет Призы, офлайн, подготовка 🚩Призовой фонд — 3,1 млн рублей, до 450 000 ₽ на команду. Школьники могут выиграть тревел-грант на любую образовательную поездку 🏢В Москве, Питере, Екатеринбурге и Сочи будут открыты очные ИТ-хабы — можно поиграть вживую и познакомиться с командой кибербезопасности Альфа-Банка 🔢Примеры заданий прошлого года и полезные видео уже есть на сайте Регистрируйтесь на сайте Альфа ЦТФ Ищите команду и общайтесь с другими участниками в Телеграм-чате Реклама. АО «АЛЬФА-БАНК». ИНН 7728168971

Эксплуатация Command Injection через механизмы Drag-and-Drop в эмуляторах терминала #CommandInjection #Terminal #RedTeam #AppSec #OffensiveSecurity Большинство современных эмуляторов терминала при обработке событий типа Drop передают вставленные данные в TTY/PTY как обычный пользовательский ввод. Поскольку управляющие символы и ANSI escape-последовательности нередко не фильтруются по дизайну, атакующий может незаметно вставить в сессию данные, которые shell интерпретирует как команды. Атака, как правило, не детектится EDR/AV, так как выполнение команды происходит от имени легитимного шелла пользователя. ♾️Реализация♾️ ▪️Формируем пейлоад в имени файла, например \x03 gnome-calculator \x0d.txt, где \x03 соответствует Ctrl+C, а \x0D — нажатию Enter. ▪️Заставляем пользователя перетащить файл с подготовленным именем в активное окно терминала (например, из распакованного архива или склонированного репозитория). ▪️При вставке эмулятор передает содержимое в TTY как пользовательский ввод. Символ \x0D (CR) интерпретируется shell как нажатие Enter и запускает выполнение команды. ▪️Использование escape-кодов для перемещения курсора или стирания отображаемых символов позволяет визуально скрыть или замаскировать вредоносную команду, оставляя на экране только легитимный текст. ▪️В результате происходит выполнение вставленного кода в контексте текущих привилегий пользователя и его окружения. ♾️Импакт♾️ ▪️RCE с правами текущего пользователя ▪️Компрометация удаленных серверов при работе через SSH-сессии ▪️Атака остаётся client-side: через SSH компрометируется та сессия, в которой выполнен drop, а не сервер сам по себе Основной риск — dev-станции на Linux/macOS. На Windows NTFS запрещает управляющие символы в именах файлов, а PowerShell не интерпретирует CR как Enter, что существенно ограничивает вектор (WSL — отдельная история). CVE не присвоены — автор пишет, что MITRE не отвечает. 🔗Подробности и PoC 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

До CISO Forum 2026 — неделя #cisoforum #ciso #ибсообщество 28 апреля, Москва, ЦМТ. 19-й ежегодный форум: 1000+ CISO, руководителей SOC и ИБ-архитекторов под одной крышей. Формат "сделано CISO для CISO" - разборы реальных атак 2025-2026, а не вендорские слайды. В программе - выступления Топ-25 CISO 2025, треки про киберустойчивость, защиту данных и интеграцию ИБ в бизнес. Спикеры из Yandex B2B Tech, Ozon, Wildberries, Билайн, Cloud.ru, МТС, ЕвразХолдинг. Последняя крупная точка сборки сообщества перед майскими. Я тоже буду там - если вы там, подходите знакомиться, пообщаться) 🔗infosecurity-forum.ru

Стелс-RCE на Hardened Linux: noexec + Userland Execution PoC #RCE #Linux #PostEx Разбираем технику userland-exec (выполнение в пользовательском пространстве), позволяющую после получения arbitrary code execution в процессе полностью заменить его адресное пространство на новый ELF-бинарник без использования системного вызова execve. Техника не новая — уходит корнями во времена the grugq (Phrack #62), но в контексте современных Linux-митигаций по-прежнему актуальна. ♾️Реализация♾️ ▪️Подключаемся к victim_server — утечка происходит через формат-строку в баннере (printf(user_input) без %s или аналог ▪️recv() в буфер 64 байта на стеке — переполнение с offset 72 позволяет перезаписать сохраненный RIP ▪️ROP-цепочка (gadgets из libc): ret + jmp rsp → pivot на шеллкод, расположенный в контролируемой области стека ▪️По TCP отправляем полный ELF-файл вместе с шеллкодом ▪️Шеллкод выполняет open() / write() → запись файла на noexec-раздел (disk mode) или memfd_create("stealth_payload", 0) + write() + lseek(0) (memfd mode — без следов на диске). ▪️Затем вызывается userland_execv(fd): парсинг ELF-структур (e_entry, PT_LOAD-сегменты), mmap() каждого сегмента с требуемыми правами (PROT_READ|PROT_EXEC, временно PROT_WRITE), обработка релокаций и динамической линковки (для динамических бинарников), установка SIGSEGV-хендлера для обхода W^X (временное изменение прав страниц при записи), прямой jmp на e_entry загруженного ELF. Важно: в PoC для наглядности отключены базовые митигации (ASLR, PIE, stack canaries). В реале потребуется дополнительный вектор и обход современных защит. ♾️Импакт♾️ Позволяет обходить ряд распространенных механизмов защиты: ▪️noexec на /tmp, /dev/shm и других разделах ▪️SELinux и AppArmor — пропускаются большинство проверок, завязанных на execve (при этом строгие политики с запретом execmem/execheap могут усложнить атаку) ▪️файловые контроли и политики MAC Процесс сохраняет свое исходное имя (в ps, top и т.д.), UID, открытые файловые дескрипторы и контекст. Новые процессы не создаются; в memfd-режиме отсутствуют артефакты на файловой системе, а видимость в аудит-логах минимальна. 🔗Источник и PoC 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

МЕТАСКАН ПЕРИМЕТР — конференция по безопасности внешнего периметра #pentest #recon #cpt #event 22 мая в Москве. Офлайн. Бесплатно. МЕТАСКАН собирают практиков — SOC, Red Team, CISO, архитекторы ИБ. Без "руководителей отдела цифровой трансформации". Формат живой: доклады от экспертов, круглый стол с CISO и стенды вендоров, с которыми можно реально поговорить. Что внутри: 🔵Экспертные доклады и дискуссия о будущем кибербеза 🔵Соревнования по OSINT-разведке и фишингу 🔵RFID-квест и лекция по локпикингу - физическая безопасность тоже в программе 🔵Ретро-зона, чиптюн и игровые поединки — потому что нетворкинг лучше работает вне конференц-зала Хорошая возможность обменяться экспертизой и найти нужные контакты в комьюнити. 📍Дворец Культур, м. Дубровка, 22 мая 2026 🔗Регистрация — ТЫК

Замечательная статья про реальности текущего российского рынка с мыслями пора трансформироваться, иначе повторите историю Blackberry https://teletype.in/@sergey_gordey/dZijhpp2f3M

401 meetup – call for papers Друзья, пишу поделиться отличной новостью! Анонсирую оффлайн-митап про Identity & Access Management (IAM) в Москве 27 мая. Концепция: свободный вендор-независимый митап для сообщества. Подробности и начало регистрации для участников будут объявлены позднее, а пока приглашаю спикеров заявиться с докладами. Очень жду и приветствую доклады про аутентификацию, управление доступом и смежные области. Это будет классная возможность выступить на релевантную аудиторию. Тайминг 35-40 минут. Запись постараюсь организовать, чтобы материалы были доступны. Принимаем любые идеи, крутые технические или архитектурные доклады всегда в цене. А если вам нужно вдохновение, вот темы, о которых особенно хочется послушать:

- Аутентификация и авторизация: MFA, passwordless, адаптивная risk-based аутентификация, Just-in-Time Access, политики и модели контроля доступа - Протоколы и стандарты: интересные, новаторские практики использования OAuth 2.0, OIDC, SAML, применение новых RFC и спецификаций - Безопасность identity: Identity Threat Detection and Response (ITDR), уязвимости, атаки на аутентификацию, контроль доступа и меры защиты от них - Практика и highload: опыт использования “нестандартного” Open Source (Ory, Casdoor, ZITADEL, etc.), адаптация IAM под высокие нагрузки и специфичные НФТ, разработка собственных IAM-решений - Новые вызовы: аутентификация и контроль доступа для AI-агентов и MCP - Enterprise-задачи: B2B IAM, федерации, мультитенантность - Customer IAM (CIAM): UX и безопасность, управление аккаунтами и согласиями, social login - Архитектура: аутентификация и контроль доступа в распределенных системах, service-to-service взаимодействия, SPIFFE - Интеграции: комплексные решения из нескольких компонентов: IdM, IAM, SIEM, API Gateway, etc.

⛔️ Для подачи заявки на доклад заполняйте форму. Прием заявок открыт до 1 мая (но времени не так много, не затягивайте). Со всеми заполнившими форму свяжемся. По вопросам можно писать Андрею Кузнецову. Сомневаетесь, подходит ли ваша тема? Оставляйте заявку – обсудим и подумаем вместе. Мы открыты к специалистам с различным опытом и профилем. Если у вас есть идея доклада, но вы никогда не выступали и переживаете, мы поддержим и поможем подготовиться <3 Напоследок TLDR: 📆 27 мая оффлайн в Москве, площадку согласился предоставить Яндекс 📩 Заявки на доклады присылайте в форму до 1 мая Stay tuned! #announce #iam_general