Трек про ТОП 5 CVE, которые эксплуатировались в пентестах Positive Technologies в 2023 году
По пентестам за прошедший год отчёт
Вышел у Позитивов.
Каждый кто его прочтёт,
Увидит, что там всё красиво.
28 проектов, есть что показать.
Статистика и результаты.
Умеют защищать и умеют ломать -
Молодцы ребята!
(Молодцы ребята!)
К отчёту они подошли всерьёз.
Ознакомьтесь без спешки!
Но у меня всегда один вопрос:
Где там CVE-шки?
(Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать.
Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
ProxyNotShell в Эксчендже,
А на Linux-ах PwnKit.
Самый популярный почтовый сервак
MS Exchange - лакомая цель любых атак.
3 уязвимости ProxyNotShell - по сути одна
Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS.
И к тому же отечественная. Импортозамeс!
RCE в модуле “Опросы, голосования“ -
Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник
На Linux хост проник
И там спокойно сидит,
Нет надёжнее стратегии,
Чем поднять до root-a привилегии
Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей.
Эксплуатируют их чаще всего в ходе пентестов.
Ужас пробирает до костей,
Когда видишь их в инфре: им не должно быть места!
Давно известны они все,
И что опасны они никто не возразит:
PollsVotes в Битриксе,
ProxyNotShell в Эксчендже,
А на Linux-ах PwnKit.
Это были результаты за 2023 год.
Что за тренды нам текущий год принесёт?
Кто подаст надёжный патчиться сигнал?
Подпишись на avleonovrus “Управление Уязвимостями и прочее“, Telegram канал.
---
Отчёт вышел 2 июля. Список уязвимостей:
🔻 Remote Code Execution - Microsoft Exchange “ProxyNotShell“ (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082)
🔻 Remote Code Execution - Bitrix Site Manager “PollsVotes“ (CVE-2022-27228)
🔻 Elevation of Privilege - Polkit “PwnKit“ (CVE-2021-4034)
Трек сгенерировал в Suno.
Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками!
#поёмCVE #fun #music #PositiveTechnologies #pentest #Microsoft #Exchange #ProxyNotShell #Bitrix #BitrixSiteManager #PollsVotes #Polkit #PwnKit #Linux
17 views
633
171
7 months ago 00:19:09 1
Молодой Путин встречает Терминатора. Художественный фильм “Спецоперация 2024“
7 months ago 00:01:52 1
Oppenheimer - Can You Hear The Music [Soundtrack Re-creation]
7 months ago 00:28:57 1
Гениальная философия Франца Кафки
7 months ago 03:04:50 1
Разбор фильма Dumb Money (Дурные Деньги): кто опять остался в дураках?
7 months ago 00:23:37 2
ЭТО СЛОЖНО ОБЪЯСНИТЬ, но я попробую
7 months ago 00:00:00 1
🔴[RU] TUNDRA ESPORTS-PSG QUEST МАТЧ НА ВЫЛЕТ | Elite League - Playoffs | ТУНДРА-ПСЖ КВЕСТ
7 months ago 00:27:03 1
LCD, QLED или OLED — какой телевизор и матрицу выбрать в 2024? | ТехРазбор №34
7 months ago 01:24:44 1
Восхождение на Чо-Ойю (8210): Сборная России по альпинизму
7 months ago 00:42:23 1
Почему НЕЙРОСЕТИ нельзя КОНТРОЛИРОВАТЬ? — ТОПЛЕС
7 months ago 00:02:54 1
Клава Кока & MORGENSHTERN - Мне пох (Премьера клипа, 2019)
7 months ago 00:00:21 1
Эдит по грехам . #аниме #эдит #грехи
7 months ago 00:02:02 1
OLD SWEATERS - Свитера (Official M/V)
7 months ago 00:19:51 1
КОМПРЕССИЯ ЗВУКА ДЛЯ ЧАЙНИКОВ
7 months ago 00:03:27 1
Правило «первых трёх минут», которое нужно знать всем родителям
7 months ago 03:12:34 1
НАШ ПУТЬ В МИФИЧЕСКУЮ СЛАВУ | ГАЙД НА ЧИПА УЖЕ НА КАНАЛЕ | S32 | 27 ИЗ 98 | СТРИМ MLBB #162
7 months ago 03:55:09 1
НАШ ПУТЬ В МИФИЧЕСКУЮ ЧЕСТЬ | ГАЙД НА ЧИПА ДОСТУПЕН ДЛЯ СПОНСОРОВ | S32 | 26 ИЗ 98 | СТРИМ MLBB #161
7 months ago 00:18:12 1
Моргенштерн рассказал правду. Как кураторы из Кремля шантажируют артистов
7 months ago 00:01:05 1
Пчела вас свяжет вместе! Скоро
7 months ago 02:17:14 1
Смоки Мо, Жак Энтони - биф с KIZARU, Kanye West - прикрученный, смерти - нет #vsrap
7 months ago 00:03:54 1
АИГЕЛ — Татарин // AIGEL — Tatarin [Official Music Video | English, Russian, Tatar subtitles]
7 months ago 06:41:31 1
Слушаем и обсуждаем треки ВСЕХ участников прямого эфира!
7 months ago 00:03:20 3
ТІНА КАРОЛЬ & SHUMEI - СТЕРВА ( ПРЕМ’ЄРА 2024)
7 months ago 01:03:32 1
Реальная жизнь в Северной Корее / Ложь и правда Ким Чен Ына / Как Люди Живут / Лядов
7 months ago 01:20:01 1
Лучший туристический маршрут Лен области (На Ястребиное) feat @GEORGIEVICH21 | Обзор + трек