Инфосистемы Джет выложили "Результаты тестирования решений для управления уязвимостями" по новой версии методики (3.0). Тестировали следующие продукты:

🔸 MaxPatrol VM v. 2.8 (27.6)
🔸 SecurityVision VM v. 5.0.1773849508
🔸 ScanFactory v. 7.21.9
🔸 R-Vision VM v. 6.2
🔸 AlphaSense v. 4.57.08.04

В отличие от тестирования по второй версии методики, здесь отсутствуют RedCheck и Vulns io VM. Возможно их добавят позже.

Оценка проводилась по 12 группам требований:

⚙️ Нефункциональные требования. Автоматическое и оффлайн обновление базы уязвимостей, открытый доступ к базе, централизованное управление, агентское сканирование и работа с хостами, поддержка изолированных сегментов и распределенной установки компонентов, мультиязычность, мультитенантность, а также соответствие требованиям ФСТЭК и включение в реестр отечественного ПО.

📱 Мобильный сканер. Наличие портативного (мобильного) сканера с возможностью переноса результатов в основную инсталляцию и формирования отчетов.

🗺️ Управление активами. Интерактивная карта сети, управление активами (динамические группы, поиск, карточки), скоринг и дедупликация активов, тегирование, хранение истории изменений, патч-менеджмент и выполнение административных команд на активах.

🧠 Настройка общих правил и логики системы. Управление задачами на устранение уязвимостей с назначением ответственных и SLA, сквозной поиск, фильтрация и сортировка по активам и уязвимостям, настройка оповещений о сканированиях, патч-менеджмент и автоматическое обновление атрибутов уязвимостей (критичности, сроков устранения и рекомендаций по устранению).

📊 Функционал визуализации и отчетности. Визуализация данных через настраиваемые виджеты и дашборды, создание и планирование отчетов, расширенная кастомизация интерфейса и объектов.

💻 Поддерживаемые типы активов для сканирования. Поддержка сканирования операционных систем (Windows, Linux и отечественных ОС), сетевого и серверного оборудования, СУБД и серверного ПО, а также поддержка периферийных устройств, промышленных систем (ICS/SCADA) и контейнеров.

🔗 Возможности интеграции. Документированный API с управлением доступом через ключи, встроенный мониторинг работоспособности (health-check) и интеграции с внешними системами мониторинга, поддержка доменной аутентификации, интеграции с Service Desk/ITSM и с SIEM, получение данных об активах из смежных систем и отправка оповещений.

🛡️ Управление сканированием и уязвимостями. Кастомизация карточки и тегирование уязвимостей, планирование и управление сканированиями (расписания, профили, ретроскан, исключения, технологические окна, пауза, клонирование), настройка правил и параметров сканирования, проверка доступности и учетных записей, в том числе брутфорс с пользовательскими словарями и несколькими типами учетных записей, управление исключениями, прогресс в реальном времени, расширенная работа с уязвимостями (CVE/CWE/БДУ, CVSS v2–v4 и кастомные метрики, скоринг, дедупликация, эксплуатируемость, вероятность использования, наличие эксплойтов, путь атаки, трендовость), а также рекомендации, внешние ссылки и методики ФСТЭК и НКЦКИ, плюс оповещения о событиях системы.

📏 Оценка соответствия. Проверка активов на соответствие стандартам безопасной конфигурации, создание пользовательских проверок и требований через конструктор, точечная переоценка активов, рекомендации по устранению несоответствий, ведение истории оценок и встроенное сравнение результатов.

🌐 Сканирование веб-ресурсов. Аутентификация в веб-приложениях, сканирование веб-ресурсов (поиск поддоменов, скрытых файлов и директорий), режимы имитации и активной атаки, а также обнаружение широкого спектра уязвимостей (инъекции, CSRF, загрузка файлов и доступ к ФС, клиентские атаки, редиректы, слабая криптография, небезопасные security headers, утечки информации, cookie и сессионные уязвимости, memory corruption).

🔐 Безопасность. Настраиваемая ролевая модель, управление парольной политикой (сложность, история, минимальная длина, срок действия), блокировка учетных записей после неудачных попыток входа, шифрование критичных данных с поддержкой пользовательских ключей и создание/восстановление из резервных копий.

⚡ Производительность и эффективность. Скорость обновления базы уязвимостей (от появления в публичных источниках до добавления в сканер), настройка интенсивности сканирования через веб-интерфейс, поддержка геораспределенных филиалов и мультитенантности, а также возможность выбора нескольких модулей сканирования в одной задаче.

Возможные значения для каждого требования: ✅ Да, ❌ Нет, Частично. За исключением "Производительность и эффективность" → "Скорость добавления новых уязвимостей в базу уязвимостей решения…", где указывается значение в часах. По некоторым требованиям доступны 💬 комментарии вендоров.

Работа была проделана, вне всяких сомнений, большая и основательная. 🔥 Но, как и в случае тестирования по первой версии методики, мне не хватает оценки качества детектирования. Большая часть этой функциональности скрывается за пунктом "Поддержка сканирования ОС: Windows Server, Windows, AlmaLinux, Ubuntu, Debian" с галочкой у всех вендоров и без каких-либо комментариев. А ведь там самое интересное, ради чего, собственно, пользователи и покупают САЗы. Очень хотелось бы гораздо большей детализации поддерживаемых типов активов и подробного сравнения результатов детектирования на стендах с детализацией до конкретных CVE-шек, чтобы была видна разница в реализованной логике детектирования. Возможно, когда-нибудь и это сделают. 🙂

На прошлой неделе CISA запустили публичную форму "номинации новых KEV". Форма предназначена для безопасной подачи информации об уязвимостях, эксплуатируемых в атаках, для их включения в каталог CISA KEV. В целом это изменение выглядит позитивно, но с оговорками:

🟢 Плюсы: CISA могут получить более быстрый и более структурированный поток данных об уже эксплуатируемых уязвимостях, что может ускорить их проверку и добавление в KEV. Это особенно важно, поскольку исследование и эксплуатация уязвимостей сейчас сильно ускорились, в том числе за счёт использования AI.

🔴 Минусы: появляется зависимость от качества поступающей информации, а также возникает дополнительная нагрузка на её проверку со стороны аналитиков CISA. Если валидация будет слабой, достоверность каталога KEV снизится, если слишком строгой, может снизиться скорость наполнения каталога. А ведь ради увеличения скорости всё это и затевается.

А возможно, это первый шаг в сторону децентрализации процесса классификации уязвимостей как эксплуатируемых. Появятся какие-нибудь KNA - KEV Nominating Authorities, по аналогии с CVE CNA? 🤔 Посмотрим. 🙂

Для добавления уязвимости нужны:

🔹 CVE-ID
🔹 Рекомендации по устранению
🔹 Подтверждения эксплуатации

Сначала нужно ответить да/нет на вопросы:

🔹 Есть ли доказательства того, что CVE уязвимость, о которой вы сообщаете, активно эксплуатируется или эксплуатировалась в прошлом?
🔹 Считаете ли вы, что эта уязвимость затрагивает несколько вендоров или продуктов?

Затем нужно заполнить текстовые поля:

🔹 CVE-ID, о котором вы сообщаете (пожалуйста, ещё раз проверьте, что CVE-ID указан правильно)
🔹 Доказательства эксплуатации
🔹 Ссылка на патч или меры по устранению

На странице содержится предупреждение: "Не отправляйте в этой форме секретную или конфиденциальную информацию".

Последнее поле опционально: "Пожалуйста, предоставьте любую дополнительную информацию, которую вы хотите добавить. Не указывайте в этой форме персональные данные. Если у вас есть дополнительные доказательства, которые вы хотите предоставить, свяжитесь с нами напрямую по электронной почте kev@cisa.dhs.gov. Если у вас есть конфиденциальная информация для отправки, пожалуйста, сначала согласуйте с нами, чтобы мы могли организовать безопасную передачу данных."

Для отправки заявки нужно пройти reCAPTCHA. Авторизация не требуется. В случае успеха показывают сообщение: "Благодарим вас за время, потраченное на прохождение этого опроса. Ваш ответ был записан."

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Если в прошлом апрельском выпуске была всего одна уязвимость, то в этот раз уже четыре и весьма разноплановых.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431). Уязвимость позволяет получить права root на Linux-хосте.

🔻 RCE - Apache ActiveMQ (CVE-2026-34197). Уязвимость в решении, широко используемом в корпоративных системах и интеграционных платформах.

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость в решении Microsoft, широко используемом в корпоративных системах для организации совместной работы, управления документами и построения внутренних порталов.

🔻 RCE - Adobe Reader (CVE-2026-34621). Уязвимость в распространенном решении для просмотра PDF-документов; эксплуатируется в фишинговых атаках.

🟥 Полный список трендовых уязвимостей смотрите на портале

Напишу несколько слов про прошедшую в пятницу конференцию "ПЕРИМЕТР" от Metascan. Мои ожидания оправдались на 100%. Получилась настоящая VM-ная конфа с фокусом на детектировании уязвимостей. Давненько не был на мероприятиях, где программа была бы НАСТОЛЬКО интересной и профильной для меня. 😇 Я отсмотрел все выступления, которые планировал и по ходу дела вёл трансляцию в своём Live-канале в MAX (начиная с этого сообщения). Также слайды с комментариями к конфе выкладывал Василий Пластунов в свой ТГ-канал VP Cybersecurity Brief. Больше всего мне понравились кейноты Давида Ордяна про недостатки детектирования сервисов в ванильном Nmap и про то, как Metascan их решает собственными доработками ("Пробы не появятся сами по себе!" 😉), а также про статистику по уязвимостям корпоративных инфраструктур. На стенде Xello узнал, что они делают собственное VM-решение. 🔍 На стенде Сбера обсудили развитие SBER X-TI.

Небольшой ложкой дёгтя стало то, что в малом зале, где я выступал, были проблемы с экраном. Большая часть текста отображалась очень блекло и не читалась. В какой-то момент преза вообще зависла. 🤷‍♂️ Пришлось как-то выкручиваться и импровизировать. 😅 В итоге доклад фактически перешёл в интерактивное общение с залом о том, что такое "exposure", Gartner CTEM и EASM/EASA, насколько имеет смысл использовать западную терминологию в России и, если использовать, то на что делать акценты, чтобы это не было маркетинговыми играми, а способствовало повышению реальной защищённости организаций. Благо аудитория собралась глубоко погружённая в тему. Всем большое спасибо за вопросы и комментарии! Отдельно хотелось бы поблагодарить за участие Наталью Георгиевну Милославскую, у которой на днях вышла монография по Управлению Уязвимостями. 🔥

В развлекательной программе тоже поучаствовал. С удовольствием поиграл в ретроигрушки на приставках. 😅👍

Большое спасибо организаторам за мероприятие! Очень надеюсь, что оно станет ежегодным. 😉

У конференции "ПЕРИМЕТР", которая пройдёт в эту пятницу, финализировалось расписание. Я отобрал для себя выступления, на которые собираюсь сходить. Как и предполагалось, подавляющее число докладов профильные VM-ные. Даже приходится выбирать, что смотреть вживую, а что потом в записи (очень надеюсь, что запись будет, т.к. темы ТОПовые 🙏).

Вживую собираюсь смотреть:

10:45 - Блеск и нищета сетевого сканирования. О векторах атак, которые пропустили и пентестеры и blueteam. Метаскан. В главном зале.

11:40 - Сравнение OnPrem VM-вендоров, что работает, а что - нет. Диалог Наука. В малом зале.

12:20 - Периметр 2026 Обзорный доклад о состоянии защищенности корпоративных инфраструктур. Метаскан. В главном зале.

13:00 - Защита внешнего периметра крупной организации. СБЕР. В главном зале.

14:50 - Impact 25-26: Самые интересные находки 25-26 позволившие проникнуть через внешний периметр. Метаскан. В главном зале.

16:00 - Периметр в облаке: что должен сделать CISO, чтобы не остаться один на один с РКН. Б-152. В малом зале.

✳️ 16:40 - Роль и место EASM в VM/CTEM-процессе. Александр Леонов. В малом зале. Приходите поддержать и пообщаться. 😉

Круглый стол, который планировался, не собрался. Поэтому у меня будет только доклад.

Таймстемпы:

00:00 Приветствие, медиа-партнёры
03:25 Справедливо ли мнение, что CVSS как основная метрика приоритизации - это уже "технология 2002 года"? Почему в 2026 году компании всё ещё живут в логике "сортируем по CVSS", хотя есть EPSS, KEV и трендовые метрики? Это лень, незнание или инерция?
07:49 Насколько вопросы триажа, ранжирования и приоритизации уязвимостей делаются лучше с помощью нейросетей? Будет ли в будущем происходить быстрое сопоставление по разным шкалам и интегральная оценка с учётом искажений, которые есть в тех или иных системах метрик?
10:09 Автономные AI-агенты и VM
12:00 System-hardening и патчинг уязвимостей агентами без участия человека - уже реальность?
15:33 Насколько справедливо утверждение, что Exposure Management - это не просто "VM 2.0", а действительно другой взгляд на управление риском? В твоём понимании это эволюция или всё-таки революция, но с новым ценником? (Я тут попутал "croûton" и "croissant" в известной кино-цитате - сорян 🤦‍♂️🤷‍♂️🙂)
20:32 Про зашивание безопасности в IT/разработку, почему так много Linux-уязвимостей, и нужна ли замена Linux Kernel
30:08 Если завтра появится "идеальный ИИ", который с точностью 99% предсказывает, что уязвимость будет эксплуатирована в течение 30 дней, - правда ли, что роль VM-специалиста всё равно не исчезнет? В чём тогда останется человеческая зона ответственности?
32:31 О реализуемости полного моделирования путей атаки и автоматизированном реагировании
37:46 Насколько справедливо утверждение, что IT-отделы часто фактически саботируют VM? Как это выглядит на практике: это злой умысел, защита своих интересов или просто боль от перегрузки?
42:43 Как выглядит VM-процесс для систем, которые нельзя патчить или даже активно сканировать?
45:51 Как превратить IT-шников в ответственных хозяев своих активов?
48:48 Насколько сильно отличается подход к детектированию и управлению уязвимостями в Linux, контейнерах, Kubernetes и облаках от классического сканирования Windows-хостов? Где сегодня самые большие слепые зоны?
51:30 Детектирование - это только начало, а вся драма начинается после? Какие этапы после детекции чаще всего "рассыпаются" в реальных компаниях?
54:26 Блиц-вопросы
56:11 Заключение

📺 Смотрите на платформах: VK Видео, RUTUBE, YouTube.
🎧 Слушайте на платформах: Яндекс Музыка, Звук, Spotify, Pocket Casts, Deezer, Podcast Addict, Mave.

Майский Microsoft Patch Tuesday. Всего 119 уязвимостей, примерно в 1,5 раза меньше, чем в апреле. Уязвимостей с признаком эксплуатации вживую пока нет. Но есть одна уязвимость с публичным эксплоитом:

🔸 EoP - Windows Kernel (CVE-2026-40369). Подробный write-up и эксплойт по этой уязвимости были опубликованы 14 мая, через 2 дня после майского MSPT. Исследователь описывает эксплуатацию уязвимости так: "Всего один системный вызов (syscall) из любого непривилегированного процесса - включая песочницу рендерера Chrome - позволяет увеличивать значения по произвольным адресам памяти ядра. Без состояний гонки (race conditions). Без спреинга кучи (heap spray). Без специальных токенов. 100% детерминированное повышение привилегий до уровня SYSTEM."

Из остальных можно выделить:

🔹 RСE - Windows DNS Client (CVE-2026-41096). Аналитик ZDI прокомментировал эту уязвимость так: "Этот патч устраняет переполнение буфера в куче (heap-based buffer overflow) в DNS-клиенте, которое провоцируется вредоносным DNS-ответом. Не требуется ни аутентификация, ни взаимодействие с пользователем. А поскольку DNS-клиент запущен практически на каждой машине под управлением Windows, поверхность атаки огромна. Злоумышленник, способный повлиять на DNS-ответы (через MitM-атаку или поддельный DNS-сервер), может получить несанкционированное удаленное выполнение кода (RCE) во всей вашей корпоративной сети."

🔹 RСE - Windows Netlogon (CVE-2026-41089). Уязвимость позволяет неавторизованному удаленному атакующему выполнить произвольный код на контроллере домена путем отправки специально сформированного сетевого запроса. Для эксплуатации не требуются учетные данные или взаимодействие с пользователем, что классифицирует эту уязвимость как wormable. Компрометация контроллера домена означает полную компрометацию всего домена организации. Аналитик Rapid7 в своём комментарии добавил: "Не требуется никаких привилегий или взаимодействия с пользователем, а сложность атаки (attack complexity) оценивается как низкая. Это указывает на то, что создание надежного эксплоита вряд ли вызовет особые трудности у любого, кто знаком с конкретным механизмом работы уязвимости. Microsoft оценивает вероятность эксплуатации как "менее вероятную" (less likely), однако, поскольку эти оценки публикуются без сопутствующих объяснений, неясно, насколько защитники могут на них полагаться. Каждый, кто помнит активно обсуждавшуюся в 2020 году уязвимость CVE-2020-1472 (также известную как ZeroLogon), заметит, что CVE-2026-41089 позволяет атакующему гораздо быстрее и проще скомпрометировать контроллер домена. Патчи уже доступны для всех версий Windows Server, начиная с 2012."

🔹 RСE - Windows TCP/IP (CVE-2026-40415). Комментарий аналитика ZDI: "Эта уязвимость в стеке TCP/IP вызвана ошибкой использования памяти после освобождения (use-after-free, UAF) и может позволить удаленному неавторизованному злоумышленнику выполнить код без какого-либо взаимодействия с пользователем. Это делает её еще одной wormable уязвимостью. Однако вероятность её реальной эксплуатации гораздо ниже. Целевая система должна находиться в условиях длительной нехватки оперативной памяти (memory pressure), что встречается довольно редко."

🔹 RСE - Microsoft Word (CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367). Злоумышленник может эксплуатировать эти уязвимости с помощью социальной инженерии, отправив вредоносный файл намеченной жертве. Успешная эксплуатация предоставит атакующему права на выполнение кода. Исследователи Microsoft отмечают, что область предварительного просмотра (Preview Pane) является вектором атаки для каждой из этих уязвимостей

🔹 RСE - Microsoft Office (CVE-2026-40363, CVE-2026-42831). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в Microsoft Office, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Windows GDI (CVE-2026-35421). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в компоненте Windows GDI, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Microsoft Dynamics 365 On-Premises (CVE-2026-42898). Комментарий аналитика ZDI: "Уязвимость позволяет любому аутентифицированному пользователю выполнять код с изменением области действия (scope change). Это означает, что в процессе эксплуатации атака может выйти за рамки уязвимого компонента и затронуть другие ресурсы. Изменения области действия (scope changes) встречаются довольно редко, поэтому, если вы используете Dynamics 365 On-Premises, обязательно протестируйте и разверните этот патч как можно скорее."

🔹 EoP - Windows Kernel (CVE-2026-33841, CVE-2026-35420, CVE-2026-40369). Уязвимости CVE-2026-33841 и CVE-2026-40369 получили оценку "Эксплуатация более вероятна" (Exploitation More Likely). Локальный атакующий может использовать их для повышения своих привилегий до уровня SYSTEM. В случае с CVE-2026-33841, он может повысить привилегии до Medium/High integrity level

🗒 Полный отчёт Vulristics

Про уязвимость Remote Code Execution - Apache ActiveMQ (CVE-2026-34197). Apache ActiveMQ - популярный брокер сообщений с открытым исходным кодом, написанный на языке Java. Его основная задача - передавать сообщения между разными сервисами, системами и микросервисами без прямого соединения между ними.

Уязвимость из апрельского Linux Patch Wednesday. Подробности об уязвимости были опубликованы 7 апреля в блоге компании HORIZON3.ai. Они утверждают, что эта уязвимость в Apache ActiveMQ Classic оставалась незамеченной на протяжении 13 лет. Атакующий может вызвать управляющую операцию ("invoke a management operation") через API Jolokia в ActiveMQ, чтобы заставить брокер загрузить удалённый файл конфигурации и выполнить произвольные команды операционной системы. В результате злоумышленник может получить доступ к конфиденциальной информации, включая сообщения, учётные данные и файлы конфигурации, внедрить вредоносное ПО или использовать скомпрометированный сервер для дальнейшего развития атаки внутри инфраструктуры.

Для эксплуатации уязвимости требуются учётные данные, однако во многих средах по-прежнему используются стандартные учётные данные (admin:admin). В некоторых версиях (6.0.0-6.1.1) учётные данные не требуются вовсе из-за другой уязвимости, CVE-2024-32114, которая непреднамеренно открывает доступ к API Jolokia без аутентификации. В этих версиях CVE-2026-34197 фактически является unauthenticated RCE.

🛠 Публичные эксплоиты доступны на GitHub с 8 апреля.

👾 Признаки эксплуатации уязвимости в реальных атаках были зафиксированы экспертами компании FortiGuard 13 апреля. Уязвимость была добавлена в CISA KEV 16 апреля.

🌐 По данным The Shadowserver Foundation на 14 мая в интернете оставалось доступно около 7000 уязвимых серверов Apache ActiveMQ.

⚙️ Согласно бюллетеню вендора, уязвимость устранена в версиях ActiveMQ 5.19.4 и 6.2.3. Но, по данным HORIZON3.ai, она была устранена в 5.19.6 и 6.2.5. Лучше установить более старшие версии. 😉

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость из апрельского Microsoft Patch Tuesday. Описание, которое дали эксперты Microsoft, максимально неконкретное: "Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить спуфинг по сети. Атакующий, успешно проэксплуатировавший эту уязвимость, может просматривать некоторую чувствительную информацию (конфиденциальность), вносить изменения в раскрытую информацию (целостность), но не может ограничить доступ к ресурсу (доступность)." Спуфинг - это атака, при которой злоумышленник подделывает данные, адрес, идентификатор или доверенный источник, чтобы выдать себя за легитимного пользователя, сервис или систему.

Что же скрывается за этим описанием на самом деле? В апрельском обзоре на MSPT эксперт ZDI заметил, что уязвимости такого рода в SharePoint часто связаны с XSS-атаками.

🛠 23 апреля на GitHub был опубликован эксплойт, автор которого утверждает, что уязвимость сводится к следующему: "Неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос для внедрения вредоносного JavaScript-кода (reflected XSS), который будет выполнен в контексте безопасности сайта SharePoint."

Иными словами, атакующий отправляет специально сформированный запрос на сервер SharePoint, из-за чего SharePoint формирует вредоносную ссылку от имени доверенного источника. Атакующий передаёт эту ссылку пользователю. Когда пользователь открывает такую ссылку, внедрённый вредоносный JavaScript выполняется в контексте SharePoint, что может использоваться для кражи данных из текущей сессии, перехвата токенов аутентификации, а также выполнения действий от имени пользователя через его активную сессию.

👾 Эксперты Microsoft отметили уязвимость как эксплуатируемую вживую в день публикации апрельского Microsoft Patch Tuesday, 14 апреля. Уязвимость была добавлена в CISA KEV. В тот же день исследователи из компании Defused сообщили о скоординированной разведывательной активности, нацеленной на уязвимые серверы SharePoint, которая осуществлялась с четырех IP-адресов в период с 1 по 11 апреля.

⚙️ Обновления доступны для Microsoft SharePoint Server 2016, 2019 и Subscription Edition.

С Днём Великой Победы! Советский народ заплатил чудовищную цену, чтобы победа над объединённой людоедами Европой стала реальностью. Повторение войны такого масштаба было бы ужасной трагедией. Но с каждым годом мы всё ближе к тому, что повторять всё-таки придётся. 😔

А потому нужно готовиться, наращивать потенциал по всем направлениям. Включая, безусловно, наступательный и оборонный киберпотенциал.

И обязательно нужно помнить главный урок Великой Войны: при необходимости хвалёную объединённую Европу можно успешно бить. Размолотить в руины, в хлам, в пепел, добраться до самого их чёртова логова. И делать это столько, сколько потребуется. До самой Победы!

Преданность Родине - высшая правота! С праздником всех нас!

На фото майор Крупенников поздравляет расчёт орудия лейтенанта Вашулина с падением Рейхстага.