📋 По порядку рассчитайсь! User Enumeration в Secure-T Исследователь СайберОК обнаружил несколько уязвимостей в Secure-T Awareness Platform — платформе для повышения осведомленности сотрудников в области информационной безопасности. Мы благодарим команду Secure-T Awareness Platform за оперативное устранение выявленных недочетов. Данное ПО зачастую используется внутри корпоративных сетей, однако, по данным СКИПА, встречается в российском сегменте Интернет. 📣 Клиенты СКИПА PentOps были уведомлены 24 ноября 2025 года. 👤 User Enumeration через функционал восстановления пароля • COK-2025-11-06 / BDU:2025-14446 • CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 🔸5.3 — средний уровень опасности Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе. 🔐 User Enumeration через функционал аутентификации • COK-2025-11-07 / BDU:2025-14447 • CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 🔸 5.3 — средний уровень опасности Описание: позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе 🖥 Уязвимые версии • до 4.4.6. ⚠️ Риски • Сбор списка «живых» пользователей. • Повышение эффективности brute-force и credential stuffing атак. • Использование уязвимости как разведывательного этапа перед целенаправленными атаками. В настоящее время уязвимость устранена в SaaS, выпущено обновление безопасности. Пользователям on-prem решений рекомендуется обновится до последней версии. 🛠 Компенсирующие меры 1. Ограничение возможности подключения к ПО путем внедрения механизма «белых» списков. 2. Ограничение доступа к ПО из внешних сетей (Интернет). 3. Ограничить вход в ПО исключительно через предварительную предаутентификацией сторонним провайдером (SSO). 4. Обновление ПО до версии 4.4.6. и выше.