⚡️В Kyverno обнаружена критическая уязвимость CVE-2026-22039 (CVSS 9.9)

Проблема кроется в apiCall внутри namespaced Policy: через подстановку переменных в urlPath можно заставить Kyverno выполнить произвольные запросы к Kubernetes API вне своего namespace под ServiceAccount admission controller.

Последствия:

▪️ Несанкционированный доступ к секретам и конфиденциальным данным в других неймспейсах 
▪️ Повышение привилегий в кластере Kubernetes 
▪️ Компрометация сервисных учетных записей и утечка критически важной информации

Рекомендации:

✅Обновить Kyverno до исправленных версий — 1.16.3 и выше или 1.15.3 и выше.
✅ Пересмотреть RBAC-настройки, особенно права на создание политик.
✅ Провести аудит существующих apiCall в политиках на предмет подозрительной подстановки urlPath.

Классификация уязвимости:

Тип ошибки: Improper Privilege Management (CWE-269) и возможный SSRF-аналог (CWE-918).
CVSS v3.1: 9.9 (Critical)

🛡 10 февраля встречаемся на вебинаре, чтобы поговорить о концепции ZTNA и найти ответ на вопрос:

Как убедиться, что в корпоративной сети нет «чужих»?

Обсудим, почему 802.1X и VPN не всегда помогают, особенно при удаленке и работе с внешними командами. И на реальном сценарии посмотрим, как это решается через принципы нулевого доверия.

🔗 Регистрация

#УЦСБ_вебинар

❗️ Скомпрометирована инфраструктура хостинг-провайдера проекта Notepad++

Злоумышленники получили возможность перехватывать трафик домена notepad-plus-plus[.]org и перенаправлять пользователей на вредоносные серверы.

Атака оставалась незамеченной с июня по декабрь 2025 и была выборочной. Исходный код редактора не затрагивался.

Основная уязвимость была обнаружена в механизме обновлений WinGUp: не хватало проверки целостности загружаемых файлов, из-за чего обновления могли подменяться вредоносными.

⚡️Как защититься?

▪️Полностью удалить Notepad++ и переустановить версию 8.8.9 или новее из доверенного источника.

▪️Если ранее устанавливался корневой самоподписанный сертификат Notepad++ — удалить его из хранилища доверенных сертификатов.

🔒 Если у субъекта КИИ часть ИТ-функций передана подрядчику, важно помнить:

Аутсорсинг ≠ перенос ответственности перед государством.

Когда в договоре четко не прописаны обязанности по защите информации, при инциденте или проверке ФСТЭК субъект КИИ может получить неприятные последствия: от административных штрафов до уголовной ответственности.

Светлана Мадина, аналитик направления аудитов и соответствия требованиям ИБ, в своей статье объясняет, как:

▪️Грамотно оформить взаимодействие с подрядчиком
▪️Распределить ответственность и закрепить ее документально
▪️Настроить контроль работ подрядчика так, чтобы сохранить управляемость

🛡 Читаем на нашем сайте

💻 Хакеры — тоже люди. А значит их инструменты, привычки и процессы не идеальны

Что, если использовать это против самих атакующих — и превратить атаку в полосу препятствий, где каждый шаг злоумышленника оставляет артефакты, а защита получает больше возможностей заранее заметить вторжение и сбить сценарий?

Именно эту идею разворачивает новая книга Андрея Жукова, ведущего специалиста по анализу защищенности — «Хакерская самооборона».

Андрей предлагает хакерский взгляд на защиту: как, понимая логику проникновения и уязвимости инструментов, можно противостоять злоумышленникам. По мере сюжета вы проходите все этапы атаки и учитесь отвечать на каждом из них стандартными средствами ОС и доступными утилитами.

🛡 Самооборона должна быть по силам каждому — таков главный принцип книги.

🔗 Узнать подробнее можно здесь

🎁 В связи с этим запускаем розыгрыш!

Рандомно выберем трех человек и подарим новую книгу Андрея Жукова «Хакерская самооборона. Приемы обнаружения и предотвращения хакерских атак».

Условия участия:
▪️Быть подписанным на наш телеграм-канал
▪️Нажать на кнопку «Участвую!»

Победителей определим 13 февраля 👍

🆕 17 февраля собираемся в прямом эфире, чтобы обсудить, как сегодня выглядит DevSecOps в России — от требований ФСТЭК для КИИ до стандартов безопасности ИИ.

В программе:
▪️Приказ №117 ФСТЭК: что важно учесть разработчикам ПО в КИИ и ГИС
▪️Shift Left на практике, SCA, SBOM, отечественные анализаторы
▪️Безопасность ИИ: стандарты, доверенные данные, ИИ в ИБ
▪️Импортозамещение, кадровый голод, баланс скорости и безопасности
▪️Прогноз на 2026–2027 и экономика безопасности

Регистрация

🎁Подводим итоги розыгрыша!

Книгу «Хакерская самооборона» с автографом Андрея Жукова получают:

1. Александр (@djalexandrkonovalov)
2. Ольга (@HelgaBum)
3. ___ (@Ne_naverno)

✔️Проверить результаты

Наш менеджер свяжется со всеми в личных сообщениях

Поздравляем победителей и благодарим всех, кто участвовал! 🔥

📜 В обзоре изменений за январь разбираем:

▪️КИИ: отраслевые особенности категорирования объектов в атомной энергетике

▪️Персональные данные: новые правила использования биометрии в СКУД и ответственность за незаконную автоматизированную обработку ПДн

▪️ФСТЭК России: аттестация объектов информатизации по требованиям защиты информации, лицензирование ТЗКИ, разработка и производство СЗКИ

▪️Другое: административная ответственность в сфере связи

Предыдущие обзоры по хештегу #УЦСБ_аналитика

🛡Наши эксперты продолжают делиться опытом

В новом выпуске собрали материалы и комментарии по актуальным вопросам ИБ:

✨ Что поменялось в подходах к безопасности разработки ПО в последние годы и какие архитектурные решения сейчас выигрывают — поделился Евгений Тодышев, руководитель направления безопасной разработки.

✨ Вадим Штырев, старший аналитик УЦСБ SOC, в своей статье рассмотрел важные моменты построения отказоустойчивой и управляемой системы сбора логов

✨ Как изменения от ФСТЭК России повлияют на анализ защищенности для российского бизнеса и госкомпаний объяснил Иван Агафонов, аналитик направления аудитов и соответствия требованиям ИБ

✨ Старший аналитик Юлия Сонина рассказала, как ИИ меняет профиль атак, как безопасно внедрять его в защиту и какие метрики действительно показывают эффективность

В любой инфраструктуре есть учетки, ошибка в которых стоит дороже всего

Речь идет про привилегированные аккаунты: пока в рамках мониторинга ИБ все внимание уделяется рядовым сотрудникам, именно они дают максимум возможностей и «легитимности» любым действиям в инфраструктуре — и полезным, и не очень.

🛡 На примере внедрения PAM-системы на пермском заводе «Машиностроитель» показываем, как решения этого класса помогают:
▪️Исключать случайные ошибки, которые могут нанести вред ИТ-инфраструктуре
▪️Бороться со злоумышленниками внутри предприятия
▪️Обеспечивать полный контроль доступа к конфиденциальной информации

🔗 Подробнее на нашем сайте