Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Aktualności

Jak wygrać CTFa na konferencji DEF CON? – relacja Wiktora Sędkowskiego

21 sierpnia 2025, 17:48 | Aktualności | 0 komentarzy
Jak wygrać CTFa na konferencji DEF CON? – relacja Wiktora Sędkowskiego

Wiktor Sędkowski – którego możecie znać jako współautora naszych książek i prelegenta na konferencjach, a na codzień pracujący senior pensterer master blaster car destroyer w firmie Auxilium Pentest Labs, wraz z zespołem wygrał zawody CTF, zostając najlepszą drużyną na świecie podczas konferencji DEF CON. Zapraszamy do przeczytania jego relacji z…

Czytaj dalej »

Trywialna podatność w FortiWeb Fabric Connector pozwalająca na obejście uwierzytelniania – FortMajeure

21 sierpnia 2025, 01:09 | W biegu | 0 komentarzy
Trywialna podatność w FortiWeb Fabric Connector pozwalająca na obejście uwierzytelniania – FortMajeure

W tym tygodniu, na sekuraku, ogłaszamy tydzień fortinetowy. Przybliżamy już drugą podatność w oprogramowaniu tego producenta. Tym razem chodzi o FortMajeure (w wolnym tłumaczeniu: siła wyższa), która otrzymała identyfikator CVE-2025-52970. Wyceniona na 7.7 w skali CVSS, FortMajeure pozwala na obejście procesu uwierzytelniania. Atakujący jest w stanie uzyskać dostęp do panelu…

Czytaj dalej »

OpenAI we współpracy z Ollamą udostępnia pierwsze modele lokalne dostępne dla każdego – przetestowaliśmy je

21 sierpnia 2025, 01:02 | W biegu | 1 komentarz
OpenAI we współpracy z Ollamą udostępnia pierwsze modele lokalne dostępne dla każdego – przetestowaliśmy je

OpenAI w końcu udostępniło dwa modele do wykorzystania lokalnie: gpt-oss-120b i gpt-oss20b. Najnowsze modele językowe z otwartymi wagami (pierwsze od czasu GPT-2) zapewniają wysoką wydajność podczas rzeczywistego wykorzystania przy niskich kosztach mocy obliczeniowych. Architektura ww. modeli składa się z wielu tzw. ekspertów (ang. mixture of experts, MoE), czyli mniejszych sieci neuronowych,…

Czytaj dalej »

Konieczność aktualizacji Plex Media Server, ale podatność jeszcze nie ma numeru CVE

20 sierpnia 2025, 09:04 | W biegu | 0 komentarzy
Konieczność aktualizacji Plex Media Server, ale podatność jeszcze nie ma numeru CVE

Została wydana nowa wersja Plex Media Server czyli oprogramowania umożliwiającego samodzielne hostowanie i streamowanie multimediów. Aktualizacja jest istotna, a – jak donosi serwis BleepingComputer – użytkownicy określonych wersji otrzymali maile o konieczności aktualizacji wersji. Sytuacja jest dość nietypowa w świecie security, bo podatność – zgłoszona w programie bug bounty – nie otrzymała…

Czytaj dalej »

Od renderera Chrome’a do kernela Linuksa: kompleksowy exploit Google Project Zero

19 sierpnia 2025, 05:11 | W biegu | komentarze 4
Od renderera Chrome’a do kernela Linuksa: kompleksowy exploit Google Project Zero

W 2021 roku programista z Oracle postanowił dodać do kernela Linuksa nową funkcję komunikacji między procesami. Chodziło o możliwość wysyłania pilnych sygnałów przez lokalne gniazda sieciowe – coś, co wcześniej działało tylko w połączeniach TCP. Funkcjonalność trafiła do kernela i wylądowała w Linuksie 5.15. Cóż, jak się okazuje, ta niszowa…

Czytaj dalej »

Kolejny problem Fortineta – podatne FortiSIEM pod ostrzałem

18 sierpnia 2025, 02:32 | W biegu | 0 komentarzy
Kolejny problem Fortineta – podatne FortiSIEM pod ostrzałem

Mamy wrażenie, że nie tylko nas zaczynają nużyć problemy produktów bezpieczeństwa, zwłaszcza od kilku firm… . Tym razem legendarny badacz SinSinology prezentuje krytyczną podatność (9.8 w skali CVSS w biuletynie bezpieczeństwa producenta) w produkcie dedykowanym dużym organizacjom – FortiSIEM. TLDR: Sprawa nie jest błaha, ponieważ jak informuje Fortinet luka ta…

Czytaj dalej »

Amerykańskie trackery w przesyłkach z chipami AI. Tak wygląda technologiczna zimna wojna

18 sierpnia 2025, 02:15 | W biegu | komentarze 4
Amerykańskie trackery w przesyłkach z chipami AI. Tak wygląda technologiczna zimna wojna

Nie tak dawno temu kontrola eksportu technologii sprowadzała się do sprawdzania dokumentów na granicy i mało spektakularnych biurowych audytów firm eksportowych. Cóż, te czasy definitywnie się skończyły. Reuters donosi o praktykach, które bardziej przypominają filmy szpiegowskie niż rutynową pracę urzędników: amerykańskie służby potajemnie umieszczają urządzenia śledzące w przesyłkach chipów AI,…

Czytaj dalej »

Mandat za niesegregowanie odpadów? Kolejny sprytny phishing

14 sierpnia 2025, 12:32 | W biegu | komentarze 2
Mandat za niesegregowanie odpadów? Kolejny sprytny phishing

Znaleźliście ostatnio w swojej skrzynce pocztowej mandacik za przekroczenie p… znaczy niesegregowanie odpadów? Jeżeli tak i przypadkowo mieszkacie w Koszalinie, to możecie wyrzucić go do śmieci.  Komenda Miejska Policji w Koszalinie poinformowała na swojej stronie, że na terenie miasta grasuje złoczyńca (lub wielu złoczyńców), który podrzuca mieszkańcom do skrzynek pocztowych…

Czytaj dalej »

Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

14 sierpnia 2025, 10:22 | W biegu | 1 komentarz
Claude Code wprowadza automatyczne przeglądy bezpieczeństwa kodu

Starsi (wiekiem) programiści pewnie dobrze pamiętają czasy, gdy przeglądy bezpieczeństwa kodu były domeną wyspecjalizowanych zespołów, pojawiających się w projektach dopiero przed samym wdrożeniem. Wtedy to przecież większość podatności odkrywano na końcu procesu developmentu, gdy koszty napraw były największe. Cóż, Anthropic postanowiło ten model przewrócić do góry nogami. TLDR: W Claude…

Czytaj dalej »

Jak środowisko Cursor pozwalało na uruchomienie złośliwego kodu – CVE-2025-54136

13 sierpnia 2025, 00:20 | Aktualności | komentarze 2
Jak środowisko Cursor pozwalało na uruchomienie złośliwego kodu – CVE-2025-54136

Nie da się ukryć, że LLMy na stałe wpisały się w krajobraz naszej rzeczywistości. Dodatkowo, szczególną rolę, odgrywają w świecie IT, gdzie stają się nieodzownym elementem narzędzi, np. środowisk programistycznych. Generowanie kodu, podpowiadanie składni, przygotowanie dokumentacji czy także także dodatkowe funkcjonalności dostępne dzięki rozwiązaniu Model Context Protocol, o którym już…

Czytaj dalej »

Grupy APT, haktywiści i ataki na łańcuch dostaw – raport CSIRT GOV 2024

13 sierpnia 2025, 00:14 | W biegu | komentarze 2
Grupy APT, haktywiści i ataki na łańcuch dostaw – raport CSIRT GOV 2024

CSIRT GOV opublikował właśnie coroczny ,,Raport o stanie bezpieczeństwa cyberprzestrzeni RP’’, w którym wskazuje na wzmożone działania grup typu APT (Advanced Persistent Threat) i haktywistycznych.  TLDR; ❌W poprzednim roku CSIRT GOV zaobserwował wzmożone działania grup APT i haktywistycznych. ❌Brak aktualizacji sprzętu/oprogramowania i wystawianie infrastruktury do sieci. Ciągle na topie wektorów…

Czytaj dalej »

Czy można z kamer Lenovo zrobić BadUSB? No prawie…

12 sierpnia 2025, 10:11 | W biegu | 0 komentarzy
Czy można z kamer Lenovo zrobić BadUSB? No prawie…

Badacze z firmy Eclypsium zaprezentowali na DEF CON 33 nowy wektor ataku. Polega on na wykorzystaniu podłączonych urządzeń – w tym przypadku kamer USB – do zdalnych ataków poprzez zmianę firmware i przekształcenie ich w urządzenia realizujące atak BadUSB. Bez odłączania ich od komputera czy dostarczania sprzętu (Rysunek 1). TLDR: Dla…

Czytaj dalej »

Ekipa sekuraka rusza ponownie w trasę!

12 sierpnia 2025, 10:01 | W biegu | 0 komentarzy
Ekipa sekuraka rusza ponownie w trasę!

Cześć  obecni i przyszli „bezpiecznicy!”. Konkretna ekipa sekuraka ponownie rusza w Polskę! Sekurak Hacking Party odwiedzi tym razem Warszawę.  Zapomnijcie o nudnych pokazach slajdów. SHP to krótkie, intensywne imprezy, podczas których ekipa etycznych hackerów z sekuraka pokaże Wam, jak przechytrzyć cyberprzestępców. Będzie również możliwość pogadania i zbicia piątek! Wszystko to…

Czytaj dalej »