Post #1175

ИНЦИДЕНТЫ В СФЕРЕ БЕЗОПАСНОСТИ, УТЕЧКИ ДАННЫХ ЗА ТЕКУЩУЮ КАЛЕНДАРНУЮ НЕДЕЛЮ ЧАСТЬ 1 Двенадцатая календарная неделя была не неделей громких отдельных инцидентов, а скорее неделей системных тревожных сигналов. Выделялось не только количество инцидентов, но, прежде всего, их расположение в общей структуре. Пострадали, как ни странно, те уровни, от которых зависит архитектура безопасности, построение доверия и централизованное администрирование — а именно GitHub Actions, управление брандмауэром, веб-почта, SharePoint и службы идентификации. Именно там ущерб от каждой успешной атаки особенно высок, поскольку одна ошибка не только скомпрометирует систему, но и очень быстро запустит целые каскады доверия. TRIVY: КОГДА САМ СКАНЕР СТАНОВИТСЯ ВЕКТОРОМ АТАКИ Самым технически значимым инцидентом недели стала вторая за несколько недель компрометация Trivy. Компания Aqua Security подтвердила в своем уведомлении, что 19 марта 2026 года злоумышленник, используя скомпрометированные учетные данные, опубликовал модифицированную версию Trivy 0.69.4, перенаправив 76 из 77 тегов версии из trivy action на код кражи учетных данных, а также заменив все 7 тегов из setup trivy. Особенно взрывоопасным было не только само модифицированное бинарное имя, но и злоупотребление моделью доверия к тегам. Любой, кто полагается на теги вместо неизменяемых хешей коммитов в конвейерах CI/CD, может продолжать использовать тот же номер версии и при этом внезапно запустить другую, вредоносную сборку. Таким образом, реальное влияние этого инцидента заключается не в скомпрометированном компоненте с открытым исходным кодом, а в возможности обойти дополнительные границы безопасности внутри этого компонента. CISCO, SHAREPOINT И ORACLE: ДАВЛЕНИЕ НА ВНЕДРЕНИЕ ОБНОВЛЕНИЙ СМЕЩАЕТСЯ НА ЦЕНТРАЛЬНЫЕ КОНСОЛИ В то же время значительно возросла нагрузка на центральные системы управления. В отношении Cisco Secure Firewall Management Center компания Cisco описала уязвимость удаленного выполнения кода без аутентификации как критическую в веб-интерфейсе управления, CVE-2026-20131. Amazon Threat Intelligence сообщила, что Interlock активно использовала эту уязвимость с конца января — задолго до ее публичного раскрытия 4 марта. Аналогичная ситуация наблюдается и с Microsoft SharePoint. Издание SecurityWeek со ссылкой на CISA сообщило, что уязвимость CVE-2026-20963 уже используется злоумышленниками и была добавлена в каталог известных эксплуатируемых уязвимостей 18 марта. Даже без подтвержденной широкомасштабной эксплуатации, наиболее критические риски теперь лежат не только на периферии, но и на платформах, которые объединяют разрешения, политики и доверие. УТЕЧКИ ДАННЫХ - ЧЕЛОВЕЧЕСКИЙ ФАКТОР Среди подтвержденных случаев утечки данных выделяется Navia. Согласно официальному уведомлению об инциденте и сопутствующим отчетам, пострадали 2 697 540 человек. Несанкционированный доступ произошел в период с 22 декабря 2025 года по 15 января 2026 года; активность была обнаружена 23 января. Были скомпрометированы персональные данные, а в зависимости от человека, также пострадала информация, связанная с производительностью или здоровьем. Этот случай еще раз демонстрирует значительное влияние сторонних поставщиков услуг, работающих в фоновом режиме. Те, кто защищает только самое ценное, часто теряют из-за второстепенных моментов. Эта оценка основана на инцидентах, подтвержденных на 12-й неделе.