39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Cisco предупреждает, что Unified Communications Manager (CUCM) имеет жестко запрограммированные учетные данные root SSH, которые позволяют удаленным злоумышленникам входить в систему устройств без обновлений с правами root.
CUCM, ранее известный как Cisco CallManager, служит центральной системой управления для систем IP-телефонии Cisco, обеспечивая маршрутизацию вызовов, управление устройствами и функциями телефонии.
Уязвимость отслеживается как CVE-2025-20309 и имеет максимально серьезную оценку, в виду наличия статических учетных данных пользователя для учетной записи root, которые предназначались для использования во время разработки и тестирования.
Согласно рекомендациям Cisco, CVE-2025-20309 затрагивает версии Cisco Unified CM и Unified CM SME Engineering Special (ES) с 15.0.1.13010-1 по 15.0.1.13017-1, независимо от конфигурации устройства.
Компания отметила также, что обходных путей, устраняющих уязвимость, нет.
Администраторы могут исправить уязвимость и удалить учетную запись бэкдора, только обновив уязвимые устройства до Cisco Unified CM и Unified CM SME 15SU3 (июль 2025 г.) или применив файл исправления CSCwp27755 (доступный здесь).
После успешной эксплуатации злоумышленники могут получить доступ к уязвимым системам и выполнять произвольные команды с привилегиями root.
Несмотря на отсутствие у Cisco PSIRT данных о существовании доступного PoC-эксплойта или задействовании уязвимости в реальных атаках, компания представила индикаторы, которые помогут идентифицировать затронутые устройства.
Как заявила Cisco, эксплуатация CVE-2025-20309 приведет к записи журнала в /var/log/active/syslog/secure для пользователя с правами root.
Поскольку ведение журнала этого события включено по умолчанию, администраторы могут извлекать журналы для поиска попыток эксплуатации, выполнив следующую команду из командной строки: file get activelog syslog/secure
Исследователь mr.d0x представил подробности новой атаки FileFix, которая позволяет выполнять вредоносные скрипты, обходя защиту Mark of the Web (MoTW) в Windows, полагаясь на особенности обработки браузерами сохраненных веб-страниц HTML.
На прошлой неделе исследователь продемонстрировал, как изначальный метод FileFix работал в качестве альтернативы атакам ClickFix, обманывая пользователей и заставляя их вставлять замаскированную команду PowerShell в адресную строку Проводника.
Атака включает в себя фишинговую страницу, которая путем обмана жертвы заставить скопировать вредоносную команду PowerShell.
Как только она попадает в Проводник, Windows запускает PowerShell, что делает атаку очень тонкой.
С помощью нового варианта атаки FileFix злоумышленник использует социальную инженерию, обманом заставляя пользователя сохранить HTML-страницу (используя Ctrl+S) и переименовать ее в .HTA, что автоматически запускает встроенный JScript через mshta.exe.
HTML-приложения (.HTA) считаются устаревшей технологией. Тем не менее, этот тип файла Windows может использоваться для выполнения HTML и скриптового контента с использованием легитимного mshta.exe в контексте текущего пользователя.
Исследователь обнаружил, что в случае сохранения HTML-файлов как «Веб-страница, полностью» (с типом MIME text/html), тег MoTW не присваивается, что позволяет выполнять скрипты без предупреждений для пользователя.
Когда жертва открывает файл .HTA, встроенный вредоносный скрипт запускается мгновенно, без какого-либо предупреждения.
Наиболее сложной частью атаки является этап социнженерии, когда жертву нужно обманом заставить сохранить веб-страницу и затем ее переименовать.
Одним из способов решения этой проблемы является разработка более эффективной приманки, например вредоносного веб-сайта, предлагающего пользователям сохранять коды MFA для обеспечения последующего доступа к услуге.
На странице пользователю будет предложено нажать Ctrl+S (Сохранить как), выбрать «Веб-страница, Завершить» и сохранить файл как MfaBackupCodes2025.hta.
Безусловно, такой алгоритм требует взаимодействия, однако если пользователь не особо продвинут, а вредоносная веб-страница выглядит достаточно прилично - шанс на успех весьма высок.
В качестве одной из мер защиты от этого варианта атаки FileFix можно рассматривать изъятие mshta.exe из среды (располагается в C:\Windows\System32 и C:\Windows\SysWOW64).
Кроме того, целесообразно активировать видимость расширений файлов в Windows и заблокировать HTML-вложения в электронных письмах.
Вслед за Великобританией и США Scattered Spider, по всей видимости, нацелились на авиотрасль Австралии.
В начале этой недели австралийская авиакомпания Qantas сообщила об обнаружении кибератаки после того, как злоумышленники получили доступ к сторонней платформе с данныами ее клиентов.
Qantas - крупнейшая авиакомпания в Австралии, которая выполняет внутренние и международные рейсы на шести континентах и насчитывающая около 24 000 сотрудников.
Согласно пресс-релизу, авиакомпания заявляет, что атака была локализована, но был украден «значительный» объем данных. Инцидент произошел после того, как злоумышленник нацелился на колл-центр Qantas и получил доступ к сторонней платформе обслуживания клиентов.
Она содержала данные 6 миллионов клиентов с записями об услугах, включая сведения об именах, адресах электронной почты, номерах телефонов, датах рождений и идентификационных номерах часто летающих пассажиров.
Как утверждает Qantas, никакие данные по банковским картам или иные персональные финансовые данные не были раскрыты, как и пароли к аккаунтам часто летающих пассажиров, PIN-коды и данные для входа в систему.
После обнаружения нарушения Qantas уведомила Австралийский центр кибербезопасности, Офис австралийского комиссара по информации и Австралийскую федеральную полицию. Начато официаольное расследование.
Учитывая недавние предупреждения о таргетировании Scattered Spider на авиаперевозчиков и логистический сектор, атака на Qantas, по всей видимости, - проделки той же группы, что также подтверждают ряд источников в отрасли.
Исследователи OX Security выкатили отчет с результатами исследования интегрированных сред разработки (IDE), Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA и Cursor, который позволил выявить ряд серьезных проблем в процессах проверки расширений, приводящих к RCE.
Некорректные проверки верификации в Visual Studio Code позволяют издателям добавлять функциональность к расширениям, сохраняя при этом значок проверки, а это приводит к тому, что вредоносные расширения могут выглядеть проверенными и одобренными.
В частности, анализ показал, что Visual Studio Code отправляет HTTP-запрос POST на домен «marketplace.visualstudio[.]com», чтобы определить, проверено ли расширение или нет.
Метод эксплуатации по сути заключается в создании вредоносного расширения с теми же проверяемыми значениями, что и уже проверенное расширение, например, Microsoft, и обходе проверок доверия.
В результате это позволяет мошенническим расширениям выглядеть проверенными для ничего не подозревающих разработчиков, хотя они также содержат код, способный выполнять команды ОС.
С точки зрения безопасности это классический случай злоупотребления сторонними загрузками расширений, когда злоумышленники распространяют плагины за пределами официальной среды.
Без надлежащего обеспечения подписи кода или проверки доверенного издателя даже легитимные на вид расширения могут скрывать опасные скрипты.
Для злоумышленников это открывает простую точку входа для удаленного выполнения кода, что особенно критично в средах разработки, где часто доступны конфиденциальные учетные данные и исходный код.
Определяя значения, используемые в запросах на проверку и изменяя их, исследователям удалось подтвердить возможность создания файла пакета VSIX таким образом, чтобы вредоносное расширение выглядело как легитимное.
Кроме того, исследователи OX Security также смогли воспроизвести уязвимость в других IDE, таких как IntelliJ IDEA и Cursor, изменив значения, используемые для проверки, не теряя при этом их проверенный статус.
В ответ на отчет Microsoft заявила, что такое поведение является намеренным, а изменения не позволят опубликовать расширение VSIX в Marketplace из-за проверки подписи расширения, которая по умолчанию включена на всех платформах.
Тем не менее, уязвимость можно эксплуатировать, что было доказано OX Security уже позже раскрытия, 29 июня 2025 года.
Так что возможность внедрять вредоносный код в расширения, упаковывать их в VSIX/ZIP и устанавливать, сохраняя проверенные символы на нескольких основных платформах разработки, представляет все же несет в себе серьезные риски.
Самый «справедливый и гуманный» суд в мире вновь подвергся кибератаке после аналогичного инцидента 2023 года.
Тот самый Международный Уголовный Суд (МУС) в Гааге на этот раз смог отбиться от «изощренной и целенаправленной» кибератаки, которая затронула его инфраструктуру в конце прошлой недели.
Как сообщают в МУС, штатные средства реагирования «оперативно обнаружили, подтвердили и локализовали инцидент, прежде чем сетевым системам был нанесен какой-либо существенный ущерб».
Тем не менее, ведомство проводит криминалистический анализ и оценку последствий, предпринимая меры по смягчению последствий инцидента.
По данным Reuters, в последние месяцы МУС находится под пристальным вниманием с тех пор, как в ноябре прошлого года был выдал ордер на арест премьер-министра Израиля Биньямина Нетаньяху по обвинению в военных преступлениях в рамках операции в Секторе Газа.
Если предыдущее нападение описывалось как «беспрецедентный акт шпионажа», то характер нового инцидента до сих пор пока остается неясным, особенно по части того, каким объемом украденной информации представителям МУС удалось «отбиться» от атаки.
Но будем посмотреть.
Правительство Швейцарии сообщает об инциденте, в результате которого конфиденциальная информация различных федеральных ведомств была скомпрометирована и зашифрована после атаки на подрядную организацию Radix.
По данным швейцарского правительства, хакеры выкрали данные из систем Radix, а затем выложили их все на свой DLS. Последствия утечки оценивают специалисты Национального центра кибербезопасности страны (NCSC).
Radix представляет собой некоммерческую организацию со штаб-квартирой в Цюрихе.
Она осуществляет управление центрами компетенции, которые реализуют проекты и услуги для швейцарского федерального правительства, кантональных и муниципальных властей, а также других ведущих государственных и частных компаний.
Согласно заявлению Radix, 16 июня ее системы были взломаны операторами Sarcoma.
Банда впервые засветилась в октябре 2024 года и быстро вошла в перечень самых активных банд вымогателей, выкатив 36 жертв в свой первый месяц работы.
Одной из резонансных стала атака на гиганта PCB Unimicron.
Sarcoma реализует доступ через фишинг, известные уязвимости и атаки на цепочки поставок.
Затем хакеры обычно задействуют RDP-подключения и перемещаются по сети.
На последнем этапе атаки злоумышленник крадет данные и может также их шифровать.
Злоумышленник опубликовал украденные у Radix данные на своем портале DLS в даркнете 29 июня, вероятно, после того, как переговоры по выкупу провалились.
Намечается новая атака на цепочку мудаков, на этот раз числа пользователей NetScaler ADC и NetScaler Gateway, которая в последние дни столкнулась сразу с двумя критическими проблемами, одну из которых уже окрестили как Citrix Bleed 2.
Упомянутая CVE-2025-5777 обусловлена недостаточной проверкой входных данных, что позволяет неавторизованным злоумышленникам получать доступ к ограниченным областям памяти.
Схожая предыдущая уязвимость тогда получила CitrixBleed и попала под активную эксплуатацию в 2023 году со стороны банд вымогателей.
Успешная эксплуатация CVE-2025-5777 позволяет красть токены сеансов, учетные данные и другие конфиденциальные данные с общедоступных шлюзов и виртуальных серверов, и по итогу - перехватывать сеансы пользователей и обходить MFA.
В своем бюллетене от 17 июня компания Citrix предупредила клиентов о необходимости завершить все активные сеансы ICA и PCoIP после обновления всех устройств NetScaler до исправленной версии для блокировки потенциальных атак.
В свою очередь, аналитики Shadowserver Foundation обнаружили в глобальной сети более 1200 устройств, которые по-прежнему остаются уязвимыми для атак с использованием CVE-2025-5777.
Несмотря на то, что официальных упоминаний об эксплуатации в дикой природе со стороны Citrix не последовало, исследователи ReliaQuest в прошлый четверг все же задетектили CVE-2025-5777 в целевых атаках.
ReliaQuest выявила артефакты, указывающие на активность после несанкционированного доступа Citrix, включая перехваченный веб-сеанс, указывающий на успешную попытку обхода MFA, повторное использование сеанса на нескольких IP-адресах и запросы LDAP, связанные с Active Directory.
Помимо этого Shadowserver также сообщает, что более 2100 устройств NetScaler не имеют исправлений для другой критической CVE-2025-6543, которая также теперь задействуется в атаках типа DoS.
Учитывая особую привлекательность Citrix Bleed 2 для киберподполья, представленные Shadowserver цифры в ближайшей перспективе начнут трансформироваться в инциденты. Будем следить.
😷🥷 Краткий обзор основных инцидентов в области промышленной кибербезопасности за первый квартал 2025 года
Специалисты Kaspersky ICS CERT сообщают, что в первом квартале 2025 года жертвами было публично подтверждено 118 инцидентов.
В этом квартале довольно много организаций из различных отраслей и уголков мира сообщили о серьезных инцидентах вследствие кибератак.
Атаки привели к утрате конфиденциальных данных, сбоям в работе ИТ-сервисов и ключевых операционных процессов, в том числе в производстве и поставке продукции.
✈️ Громкой историей стала атака на аэропорт Куала-Лумпура, в результате которой на 10 часов были выведены из строя многие информационные системы: табло вылета и прилета, терминалы регистрации и системы обработки багажа.
Инциденты включены в таблицу в конце обзора, а некоторые из них описаны подробно.
Подробнее 📄 тут.
✋ @Russian_OSINT
Исследователи Varonis сообщают о задействовании Microsoft 365 Direct Send для рассылки фишинговых писем и кражи учетных данных, обходя при этом средства защиты электронной почты.
Direct Send - это функция Microsoft 365, которая позволяет локальным устройствам, приложениям или облачным службам отправлять электронные письма через смарт-хост арендатора, как если бы они исходили из домена организации.
По данным Varonis, злоумышленники нашли способ злоупотребления отсутствием аутентификации в этой функции для отправки поддельных электронных писем, которые обходят средства безопасности, и все это без необходимости взлома учетной записи в целевой организации.
Поскольку адреса смарт-хостов следуют предсказуемому шаблону, злоумышленнику нужно только определить домен организации и действительного получателя, а затем использовать настройку Direct Send для отправки фишинговых писем, даже не входя в систему и не взаимодействуя с клиентом.
В ходе фишинговой кампании было замечено, что атаки осуществляются через PowerShell с использованием смарт-хоста целевой компании (company-com.mail.protection.outlook.com), что позволяет злоумышленнику отправлять сообщения внутреннего характера с внешних IP-адресов (украинского IP 139.28.36[.]230 и других в том же диапазоне).
Кампания началась в мае 2025 года и была нацелена на более чем 70 организаций из всех отраслей, причем 95% жертв находились в США.
Более 90% выявленных целей - в сфере финансовых услуг, строительства, инжиниринга, производства, здравоохранения и страхования.
Электронные письма напоминали уведомления голосовой почты и содержали вложение в формате PDF с QR-кодом, направляющим получателей на фишинговую страницу Microsoft 365.
Как отмечают ресерчеры, письмо пришло с внешнего IP, не прошло проверки SPF и DMARC и не имело подписей DKIM, однако оно было принято и доставлено внутри через смарт-хост, что наглядно показывает, как Direct Send может эксплуатироваться, если его не защитить.
Для предотвращения подобных атак организациям рекомендуется включить опцию «Отклонить прямую отправку» в центре администрирования Exchange, обеспечить соблюдение строгих политик DMARC и мер безопасности электронной почты.
Внедрение многофакторной аутентификации (MFA) и статического IP-адреса в записи SPF также должно снизить риск, связанный с таким злоупотреблением.
Для выявления злоупотреблений Direct Send, следует анализировать заголовки сообщений на предмет внешних IP-адресов, отправленные на смарт-хост, анализировать сбои SPF, DKIM и DMARC и смарт-хосты в записи SPF.
Microsoft рекомендует использовать эту функцию только опытным клиентам, поскольку ее безопасность зависит от правильности настройки Microsoft 365 и надлежащей блокировки смарт-хоста.
В свою очередь, Varonis в своем отчете поделилась дополнительными IOC, включая домены, которые используются в кампании.
Исследователи F6 обнаружили новую волну вредоносных рассылок, инициированную Werewolves и минирующую под фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.
Werewolves - группа вымогателей, действующая с 2023 года, в арсенале которой Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit.
Хакеры нацелены на российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Банда использует традиционную технику двойного вымогательства: помимо требований выкупа за расшифровку данных, злоумышленники выкладывают на DLS информацию о тех, кто отказался платить.
Предыдущая кампания Werewolves фиксировалась в марте 2025 года, а еще ранее весной 24-го, вымогатели проводили массовые рассылки на тему весеннего призыва, а также создали домен kzst45[.]ru, маскирующийся под сайт российского производителя спецтехники.
С помощью него Werewolves также рассылали письма с темами «Досудебная претензия» и «Рекламация», в которых содержались вредоносные вложения, загружавшие Cobalt Strike's Beacon.
Весной 2025 года исследователи F6 отрабатывали вредоносную рассылку на компании из различных сфер, включая банки, промышленные предприятия, ритейл и логистические компании.
После чего в июне хакеры вновь реализовали рассылку, на этот раз - в адрес промышленных, финансовых, энергетических организаций и ритейлеров.
Для доставки вредоносного ПО злоумышленники использовались письма правовой и финансовой тематики. Группа продолжила использовать тот же инструментарий, что и в предыдущих атаках.
В качестве тем в июньских рассылках использовались: «Досудебная претензия», «Досудебное», «Уведомление (досудебное)».
Во вложении рассылался архив с LNK-файл, имеющим двойное расширение, документ Microsoft Office для эксплуатации уязвимости CVE-2017-11882.
В распространяемом архиве содержался файл с двойным расширением .pdf.lnk, который выглядел как обычный документ (PDF, DOC и т.д.).
Расчет на то, что при стандартных настройках Windows реальные расширения могут быть скрыты, т.е. пользователь видит только ".pdf», что снижает бдительность, и жертва может попытаться открыть файл, при этом запустив вредоносный код.
Запуск файла приводит к эксплуатации CVE-2017-11882, которая позволяет злоумышленнику выполнить произвольный код с привилегиями пользователя, открывшего файл.
Злоумышленники по-прежнему продолжают использовать тот же домен для отправки писем, что и в предыдущих рассылках: kzst45[.]ru, мимикрирующий под легитимный ресурс kzst45[.]com.
Такой же подход к рассылке наблюдался при регистрации домена отправителя из свежих атак – mysterykamchatka[.]ru, оригинальный домен располагается в доменной зоне .com.
Кроме того, злоумышленники продолжили использовать спуфинг в своих рассылках: в одном из писем группа подменила адрес отправителя, чтобы направить письмо от имени главного бухгалтера одного из российских аэропортов.
В качестве финальной нагрузки - Cobalt Strike's Beacon.
Индикаторы компрометации - в отчете.
Cisco предупреждает о двух критических RCE-уязвимостях в Cisco Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC).
CVE-2025-20281 и CVE-2025-20282 имеют максимальную степень серьезности (оценка CVSS: 10,0).
Первая влияет на версии ISE и ISE-PIC 3.4 и 3.3, тогда как вторая - только на версию 3.4.
Основная причина CVE-2025-20281 - недостаточная проверка вводимых пользователем данных в определенном открытом API, что позволяет неаутентифицированному удаленному злоумышленнику отправлять специально созданный запрос API для выполнения произвольных команд операционной системы в качестве пользователя root.
Вторая CVE-2025-20282 вызвана некачественной проверкой файлов во внутреннем API, что позволяет записывать файлы в привилегированные каталоги.
Уязвимость позволяет неаутентифицированным удаленным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Обе уязвимости могут привести к полной компрометации и удаленному захвату целевого устройства без какой-либо аутентификации или взаимодействия с пользователем.
При этом в бюллетене Cisco отмечает, что ей неизвестно об активной эксплуатации этих двух уязвимостей в дикой природе, в связи с чем считает установку новых обновлений приоритетом для своих клиентов.
Пользователям рекомендуется обновиться до 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4) и 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) или более поздней версии.
Обходные пути для устранения недостатков отсутствуют, поэтому единственно рекомендуемым решением являются обновления.
Cisco также выкатила отдельный бюллетень, касающийся уязвимости обхода аутентификации средней степени серьезности, CVE-2025-20264, которая также затрагивает ISE.
Уязвимость вызвана неадекватным применением авторизации для пользователей, созданных посредством интеграции SAML SSO с внешним поставщиком удостоверений.
Злоумышленник с действительными учетными данными, аутентифицированными с помощью SSO, может отправить определенную последовательность команд для изменения настроек системы или выполнить перезапуск системы.
CVE-2025-20264 влияет на все версии ISE до ветки 3.4. Исправления были доступны в 3.4 Patch 2 и 3.3 Patch 5.
Поставщик обещал исправить уязвимость для 3.2 с выпуском 3.2 Patch 8, запланированным на ноябрь 2025 года.
ISE 3.1 и более ранние версии также затронуты, но больше не поддерживаются, и пользователям рекомендуется перейти на более новую ветку выпуска.
🔐 Безопасность в сети: S.E.Virus Detect v.3.2
• Помните про тулзу Shotstars, которая позволяет определить накрутку звезд в GitHub репозиториях? Дело в том, что совсем недавно данный функционал был добавлен в бота S.E.Virus Detect, который анализирует файлы, ссылки, ip и QR-коды на предмет угроз и вирусов. Теперь вы можете отправить в бота ссылку на репозиторий и получить мини-отчет со всей необходимой информацией (кол-во звезд, дата создания, максимальное кол-во звезд в день, среднее кол-во звезд в день, факт накрутки и т.д.).
➡ S.E. Virus Detect.
• Кстати, в декабре 2024 года исследователи из Северной Каролины выкатили интересное исследование, в рамках которого было выявлено 3.1 млн. фиктивно выставленных звёзд, охватывающих 15.835 репозиториев. Для накрутки были задействованы 278 тысяч учётных записей. Звёзды GitHub — один из основных показателей одобрения сообществом в GitHub. Если смотреть с точки информационной безопасности, то подобные репо нужно тщательно проверять перед использованием и быть максимально осторожным, либо не использовать вовсе. Всем безопасности❤
• P.S. Если нашли баг, недоработку, ошибку в тексте, либо у вас есть предложение по новому функционалу, то пишите по контактам, которые указаны в описании канала \ бота.
S.E. ▪️ infosec.work ▪️ VT
Разработчики WinRAR устранили уязвимость обхода каталогов, которая при определенных обстоятельствах позволяет запустить вредоносное ПО после извлечения вредоносного архива.
Уязвимость отслеживается как CVE-2025-6218 и получила оценку CVSS 7,8.
Проблема была обнаружена исследователем whs3-detonator, который сообщил о ней через Zero Day Initiative 5 июня 2025 года.
Ошибка затрагивает только Windows-версию WinRAR, начиная с 7.11 и более ранние версий.
Исправление было выпущено в рамках WinRAR 7.12 beta 1, которая на днях стала доступна.
Согласно журналу изменений, при извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, исходный код переносимого UnRAR и UnRAR.dll могут использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.
Вредоносный архив может содержать файлы со специально созданными относительными путями, заставляющими WinRAR «скрыто» извлекать их в конфиденциальные места, такие как системные каталоги и папки автозапуска.
В случае, если содержимое архива включает вредоносный контент, эти файлы могут запуститься автоматически и вызвать выполнение кода при следующем входе пользователя в Windows.
Правда, все это будет реализовано с доступом на уровне пользователя (не с правами администратора или SYSTEM), но кража конфиденциальных данных из браузера будет возможна.
Кроме того, это позволит задействовать механизмы сохранения или обеспечить удаленный доступ для дальнейшего горизонтального перемещения.
Вместе с тем, эксплуатация CVE-2025-6218 требует взаимодействия с пользователем, например открытие вредоносного архива или посещение специально созданной страницы.
Однако с учетом повсеместной практики использования пользователями старых версии WinRar и наличия множества способов распространения вредоносных архивов, связанные с CVE-2025-6218 риски можно квалифицировать как очень высокие.
Помимо CVE-2025-6218, WinRAR 7.12 beta 1 также устраняет проблему HTML-инъекции при генерации отчетов, когда имена архивных файлов, содержащие <или>, могли быть внедрены в HTML-отчет как необработанные HTML-теги, что приводило к внедрению HTML/JS в браузере.
Еще два незначительных недостатка, исправленных в последней версии WinRAR, включают неполное тестирование томов восстановления и потерю точности временных меток для записей Unix.
В настоящее время сообщений об эксплуатации CVE-2025-6218 нет, но, учитывая широкое распространение WinRAR по всему миру и давнюю любовь киберподполья к этому ПО, пользователям следует немедленно обновиться до последней версии.
Исследователи Rapid7 обнаружили восемь серьезных уязвимостей, которые затрагивают более 700 моделей принтеров, сканеров и этикетировочных машин Brother и ряда других производителей.
Помимо 689 моделей различных устройств Brother уязвимости также затронули 46 моделей принтеров Fujifilm Business Innovation, 5 - Ricoh, 6 - Konica Minolta и 2 - Toshiba.
В общем, как полагают исследователи Rapid7, выявленный набор подвергает риску эксплуатации миллионы корпоративных и домашних принтеров.
Самая серьезная из уязвимостей, критическая CVE-2024-51978, позволяет удаленному и неавторизованному злоумышленнику обойти аутентификацию и получить пароль администратора устройства по умолчанию.
CVE-2024-51978 может быть связана с уязвимостью раскрытия информации, CVE-2024-51977, которая, в свою очередь, может быть использована для излечения серийного номера устройства. Он необходим для генерации пароля администратора по умолчанию.
Как поясняют в Rapid7, это связано с обнаружением процедуры генерации пароля по умолчанию, используемой устройствами Brother.
У затронутых устройств пароль по умолчанию устанавливается на основе уникального серийного номера каждого устройства в процессе производства.
Наличие пароля администратора позволяет злоумышленнику перенастроить устройство или злоупотребить функционалом, предназначенным для аутентифицированных пользователей.
Оставшиеся уязвимости, имеющие уровни серьезности «средний» и «высокий», могут быть использованы для DoS-атак, заставляя принтер открывать TCP-соединение, получать пароль настроенной внешней службы, вызывать переполнение стека и выполнять произвольные HTTP-запросы.
Шесть из восьми уязвимостей, обнаруженных Rapid7, могут быть использованы без аутентификации.
Ресерчеры сообщили о своих выводах в Brother примерно год назад через японский JPCERT/CC.
Поставщик, свои очередь, выпустил соответствующие рекомендации, информируя клиентов об уязвимостях.
Brother исправила большинство уязвимостей, но заявляет, что CVE-2024-51978 не может быть полностью исправлена в прошивке. Для закрытия компания внесла изменения в производственный процесс.
Для существующих устройств доступен обходной путь.
Кроме того, отдельные рекомендации по выявленным проблемам также были опубликованы JPCERT/CC, Ricoh, Fujifilm, Toshiba и Konica Minolta.
Серьезный инцидент произошел в апреле этого года: неустановленные хакеры взломали системы норвежской плотины и открыли ее водяной клапан на полную мощность.
Инцидент затронул плотину озера Ризеватнет недалеко от города Свельген на юго-западе Норвегии.
Клапан работал на полную мощность в течение четырех часов, прежде чем было обнаружено и локализовано несанкционированное вмешательство.
По данным норвежского информагентства Energiteknikk, в результате атаки реального ущерба удалось избежать, объем воды лишь незначительно превысил минимальные пороховые значения, необходимые для штатного функционирования плотины.
Уровень воды превысил минимальную норму на 497 литров, при этом, как заверяют местные власти, русло реки могло выдержать и до 20 000 литров в секунду.
Расследование познало, что взлом стал возможен в виду слабого пароля к веб-панели управления Valve, что ими рассматривается как общераспространенная проблема для многих ICS.
При этом утверждается, что так и неясно, было ли включение клапана на полную мощность преднамеренным.
В общем, как бы не приуменьшали значимость инцидента, очевидно, что атака могла привести к более серьезным последствиям.
Впрочем, это не первый такой случай, в 2016 году, согласно отчету Verizon, хакеры взломали неназванное водоочистное сооружение и изменили химические уровни, что респонденты инцидента описали как «случайное».
В 2021 году взлом водопроводной компании в Олдсмаре, штат Флорида, был переквалифицирован на «случайный щелчок» одного из ее сотрудников.
Были, конечно, и «преднамеренные» инциденты.
В 2020 году пропалестинские хактивисты неоднократно взламывали израильские водоочистные сооружения и безуспешно пытались изменить уровень хлора в воде. Но это уже другая история.
В завершение трудового дня пробежимся по наиболее актуальным и серьезным уязвимостям, в числе которых отмечаем следующие:
1. CyberArk опубликовала подробности атаки, которая позволяет расшифровывать файлы cookie, зашифрованные с помощью нового алгоритма шифрования AppBound от Chromium, используемого браузерами для защиты файлов cookie от кражи.
2. XBOW представила технический анализ уязвимости XXE, обнаруженной в инструменте нагрузочного тестирования Akamai CloudTest.
3. Searchlight Cyber обнаружила и раскрыла XSS-уязвимость в Adobe Experience Manager CMS.
4. RCE Security расчехлила серьезные уязвимости в сервере Wind FTP.
Злоумышленники могут обойти аутентификацию на веб-интерфейсе сервера, просто добавив байт NULL к имени пользователя, за которым следует любая случайная строка.
Проблема может быть использована для получения прав root на сервере FTP и запуска вредоносного кода. Wind исправила только две из трех выявленных проблем.
5. Разработчики CentOS Web Panel устранили CVE-2025-48703, которая позволяла злоумышленникам захватывать серверы веб-хостинга, зная хотя бы одно имя пользователя на панели.
Атака обходит аутентификацию, а PoC доступен в киберподполье.
6. Исследователи Modzero обнаружили утечку учетных данных (CVE-2025-4679), которая открывала любому пользователю несанкционированный доступ ко всем клиентам Microsoft организаций, использующих Active Backup for Microsoft 365 (ABM) от Synology.
7. Pathlock выкатила отчет о двух ошибках, обнаруженных в функции истории ввода SAP Graphical User Interface (SAP GUI) (CVE-2025-0056 и CVE-2025-0055).
⚙️ Black Hat Tools.
• Держите очень крутой репозиторий, где собрали все инструменты, которые когда-либо были представлены на конференциях Black Hat.
• Инструменты аккуратно структурированы по странам, где проходила конференция, по годам и категориям:
➡Red Teaming;
➡Blue Teaming;
➡OSINT & Recon;
➡Exploit Development;
➡Malware Analysis;
➡DFIR & Forensics;
➡Threat Intelligence;
➡ICS/IoT/SCADA;
➡Application Security (AppSec).
➡️ https://github.com/UCYBERS/Awesome-Blackhat-Tools
• Не забывайте, что все презентации с выступлений, начиная с 2023 года, собраны вот тут:
➡️ https://github.com/onhexgroup/Conferences
S.E. ▪️ infosec.work ▪️ VT
Уязвимость плагина Forminator WordPress позволяет злоумышленникам удалять произвольные файлы и получить контроль потенциально над более чем 400 000 уязвимых веб-сайтами.
Forminator - популярный плагин для создания форм, имеющий более 600 000 активных установок. Он поддерживает различные типы форм, включая контактные и платежные, опросы и многое другое.
Упоминаемая CVE-2025-6463 (оценка CVSS 8,8) представляет собой ошибку произвольного удаления файлов, существующую из-за того, что пути к файлам недостаточно проверяются в функции, используемой для удаления загруженных файлов отправки формы.
Исследователь, обнаруживший ошибку и сообщивший о ней через Wordfence Bug Bounty Program, получил вознаграждение в размере 8100 долларов США.
По данным Defiant, функция, которую Forminator использует для сохранения полей ввода форм в базу данных, не выполняет надлежащую очистку значений в поле, что позволяет злоумышленникам отправлять массивы файлов в поля формы.
Кроме того, функция, отвечающая за удаление файлов, отправленных через форму, при удалении формы не выполняет необходимые проверки типа поля, расширения файла и ограничений каталога загрузки.
Уязвимость может быть использована неавторизованными злоумышленниками для указания произвольных файлов на сервере, которые будут удалены при удалении формы, вручную или автоматически, в зависимости от настроек установки.
Как отмечают в Defiant, злоумышленники могут указать файл wp-config.php для удаления, в результате чего сайт перейдет в состояние настройки, что позволит злоумышленнику получить контроль над ним.
Несмотря на то, что для эксплуатации уязвимости требуется этап пассивного или активного взаимодействия, исследователи полагают, что удаление отправленной формы является весьма вероятной ситуацией, что делает эту уязвимость весьма привлекательной для злоумышленников.
CVE-2025-6463 была устранена в версии Forminator 1.44.3 с добавлением проверки пути к файлу в функцию удаления, которая теперь удаляет только файлы, загруженные через поля формы, имеющие метку «загрузка» или «подпись» и помещенные в каталог загрузок WordPress.
Исправленная версия плагина была выпущена 30 июня.
При этом телеметрия WordPress показывают, что за последние два дня ее загрузили менее 200 000 раз, что говорит о том, что уязвимыми остаются более 400 000 сайтов.
Учитывая риск, который представляет CVE-2025-6463, пользователям рекомендуется как можно скорее обновить свои установки Forminator до последней версии.
CISA предупреждает о критических уязвимостях обхода аутентификации и удаленного выполнения, влияющих на NMP Web+ немецкой компании Microsens, которые могут быть использованы хакерами для проведения удаленных атак на организации.
Microsens реализует широкий спектр решений для автоматизации промышленных предприятий, включая коммутаторы, преобразователи, контроллеры и трансиверы.
Упоминаемый NMP Web+ обеспечивает пользователям управление, контроль и настройку промышленных коммутаторов и другого сетевого оборудования Microsens.
Критические уязвимости могут быть использованы неаутентифицированным злоумышленником для создания поддельных JSON Web Tokens и обхода аутентификации (CVE-2025-49151), а также для перезаписи файлов и выполнения произвольного кода (CVE-2025-49153).
Проблема высокой степени серьезности связана с тем, что JSON Web Tokens не имеют срока действия. Обнаружение приписывается исследователям из команды Team82 компании Claroty, которые полагают, что злоумышленник может объединить эти уязвимости в цепочку.
Одну уязвимость можно использовать для получения действительного токена аутентификации, который обеспечивает доступ к целевой системе, в то время как вторая ошибка позволяет перезаписывать критически важные файлы на сервере.
Обе уязвимости в совокупности позволяют злоумышленнику и получить полный контроль над системой на уровне ОС без необходимости иметь какие-либо предварительные учетные данные для доступа к серверу.
Исследователи Claroty отмечают, что для эксплуатации уязвимостей злоумышленнику необходим доступ к веб-серверу, связанному с целевым экземпляром Microsens NMP Web+.
При этом таковые, согласно результатам сканирования, имеются.
CISA не располагает данными о задействовании уязвимостей в реальных атаках.
Однако с учетом широкого распространения Microsens NMP Web+ по всему миру, в том числе в критически важном производственном секторе, следует накатить обновления (версия 3.3.0 для Windows и Linux).
Google выпустила обновление Chrome 138 для устранения уязвимости высокой степени серьезности, эксплойт для которой уже активно циркулирует в дикой природе.
Ошибка отслеживается как CVE-2025-6554 и связана с путаницей типов в движке V8 JavaScript и WebAssembly с открытым исходным кодом.
Различные ошибки безопасности памяти, проблемы путаницы типов могут быть использованы для запуска неожиданного поведения программного обеспечения, что приводит к DoS, RCE и другим типам атак.
Согласно рекомендации NIST, успешная эксплуатация новой уязвимости в Chrome может позволить удаленным злоумышленникам выполнять произвольные операции чтения/записи с использованием специально созданных HTML-страниц.
Как отмечает Google, компании известно о существовании эксплойта для CVE-2025-6554. Э
Раскрытие уязвимости состоялась 25 июня, а меры по ее устранению были предприняты уже на следующий день.
Проблема была устранена 26 июня 2025 года путем изменения конфигурации, внесенного в стабильную версию на всех платформах.
Традиционно Google не предоставила никаких подробностей в отношении CVE, равно как и об обнаруженном эксплойте, однако формулировка и поспешные исправления указывают на то, что ошибка, вероятно, активно использовалась в реальных атаках.
При этом обнаружение ошибки компания приписывает Клементу Лесиню из подразделения Google Threat Analysis Group (TAG), благодаря которому за последнее время было препарировано достаточно длинная череда уязвимостей, задействуемых в spyware.
Последняя итерация Chrome теперь доступна в качестве версий 138.0.7204.96/.97, 138.0.7204.92/.93 и 138.0.7204.96 для Windows, macOS и Linux соответственно.
Пользователям рекомендуется как можно скорее обновить свои браузеры.
Scattered Spider расширяет свою активность и теперь нацеливается на новые сектора, включая авиатранспорт и логистику, после отработки ритейла (M&S и Co-op) и страхования (Aflac, Erie Insurance и Philadelphia Insurance Companies) в Великобритании и США.
12 июня вторая по величине авиакомпания Канады WestJet подверглась кибератаке, в результате которой на короткое время вышли из строя корпоративные сервисы и мобильное приложение компании.
Расследование проводилось Palo Alto Networks и Microsoft.
Атаку приписали Scattered Spider (0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest и Muddled Libra), который предположительно скомпрометировал ЦОДы и облачную среду Microsoft.
Как и ранее, хакеры провернули целенаправленную атаку на сотрудников с использованием социнженерии и сбросом MFA.
Затем на днях пострадала также Hawaiian Airlines, которая подверглась кибератаке, но не предоставила никаких подробностей.
Однако исследователи полагают, что ответственность те же самые злоумышленники.
В связи с чем, исследователи Palo Alto Networks резонно отмечают, что в прицеле Scattered Spider теперь - авиационная промышленность, а в Mandiant дополнительно выделяют и транспортный сектор.
Примечательно, что также в настоящее время сбои в работе IT также наблюдаются в American Airlines, но пока не ясно является ли это инцидентом в области киербезопасности.
Будем посмотреть.
Исследователи Sophos обобщили хронологию кейса BreachForums, который весьма эффективно отработали зарубежные спецслужбы.
По всей видимости, из бренда выжали все возможные галки да палки, реализация которых ожидается в скором времени.
Продолжаем знакомить с наиболее трендовыми уязвимостями и связанными с ними угрозами.
На конец недели расклад такой:
1. Исследователи ReliaQuest заявляют об обнаружении доказательств, указывающих на то, что CitrixBleed 2 эксплуатируется в реальных условиях.
Как отмечает Кевин Бомонт, если CVE-2025-6543 действительно эксплуатируется, то атаки, вероятно, проводятся группой вымогателей.
2. Исследователи Almond обнаружили, что защищенная платформа обмена сообщениями Wire фактически не удаляет общие файлы со своих серверов после их удаления пользователями.
3. Спецы в области ИИ из XBOW выкатили отчет, в котором отразили результаты отработки своих ИИ-систем, обнаружившим XSS-уязвимостей в прошивке VPN GlobalProtect от Palo Alto.
4. Semperis раскрывает результаты сканирования 104 SaaS-приложений, которые свидетельствуют об уязвимости девяти из них к n0Auth, уязвимости двухлетней давности, которая позволяет злоумышленникам захватывать учетные записи пользователей через Entra ID.
При этом, как полагают в Semperis, тысячи приложений также по-прежнему уязвимы.
5. Платформа OpenVSX исправила уязвимость, которая позволяет злоумышленникам захватить ее инфраструктуру. Платформа является независимым маркетплейсом для расширений VS Code.
По данным Koi Security, злоумышленники могли злоупотребить доступом, чтобы взять под контроль все расширения и внедрить вредоносный код для более чем восьми миллионов разработчиков.
6. Backlash Seанcurity ализируют различные неправильные конфигурации серверов MCP, обнаруженные в реальных условиях.
7. Исследователи обнаружили серьезную уязвимость в брандмауэрах Kerio Control, которая позволяет злоумышленникам обойти аутентификацию и получить root-доступ к устройству через его компонент прокси-сервера.
Исследователи представили подробности и PoC после того, как поставщик проигнорировал выпуск исправлений.
В настоящее время в сети выявлено почти 300 брандмауэров Kerio Control, которые, вероятно, остаются уязвимыми.
8. Bluetooth-наушники с чипами Airoha уязвимы для атак, которые приводят к извлечению данных из сопряженных смартфонов и по факту могут превратить наушники в устройства для негласного прослушивания.
Проблемы связаны с пользовательским протоколом, поставляемым совместно с чипами Airoha.
Исследователи ERNW полагают, что протокол не аутентифицирован и может быть изменен как через соединения BLE, так и через соединения Bluetooth Classic.
Уязвимости затрагивают наушники, вкладыши, донглы и микрофоны таких брендов, как Sony, Marshall, JBL и Beyerdynamic. Для эксплуатации уязвимостей необходимо находиться вблизи цели на расстоянии до 10 метров.
9. CISA подтверждает эксплуатацию уязвимости максимальной степени серьезности в программном обеспечении MegaRAC Baseboard Management Controller (BMC) компании AMI в реальных атаках, обновив свою базу KEV.
Ресерчеры Лаборатории Касперского выкатили отчет об угрозах для малого и среднего бизнеса в 2025 году, который традиционно рассматривается злоумышленниками как менее защищенный, нежели крупный корпоративный сектор.
В этом контексте в ЛК отмечают, что атаки через подрядчиков, также известные как атаки через доверительные отношения, по-прежнему входят в тройку самых популярных методов проникновения в корпоративные сети.
Поскольку малый и средний бизнес действительно в большинстве случаев менее защищен, он привлекает внимание как оппортунистов, так и организованных групп.
Атаки с использованием ИИ становятся все более распространенными, обеспечивая оперативную подготовку и адаптацию фишинговых и вредоносных кампаний, что позволяет увеличивать их масштаб и эффективность.
Тем временем на малый и средний бизнес реализуется достаточно мощное давление со стороны регулятора, выдвигающего все более строгие требованиями к кибербезопасности
В новом отчете Касперы постарались выделить ключевые векторы атак, к которым следует быть готовы представителям малого и среднего бизнеса.
Согласно телеметрии Kaspersky Security Network (KSN), в первом квартале около 8500 пользователей МСБ подверглись кибератакам, в которых вредоносное или потенциально нежелательное ПО было замаскировано под популярные: ChatGPT, Zoom, Cisco AnyConnect, Google Drive и Meet, DeepSeek, Salesforce, а также приложения Microsoft Office.
При этом среди обнаруженных угроз больше всего уникальных вредоносных и потенциально нежелательных файлов - 1652, имитировали Zoom (41% от общего числа).
Программы Microsoft Office по-прежнему остаются популярной приманкой: Outlook и PowerPoint - по 16% каждая, Excel - почти 12%, а на Word и Teams приходится 9% и 5% соответственно.
Количество уникальных вредоносных файлов, имитирующих ChatGPT, выросло на 115% и составило 177 за первые четыре месяца 2025 года.
Кроме того, в этот список сразу же попала большая языковая модель DeepSeek, выпущенная в 2025 году.
Другая актуальная тактика злоумышленников в 2025 году заключается в том, чтобы обманным путем заставлять пользователей загружать или запускать вредоносное ПО под прикрытием брендов платформ для совместной работы.
Доля угроз, маскирующихся под Zoom, выросла на 14 процентных пунктов, достигнув отметки 1652 уникальных файла, в то время как доли Microsoft Teams и Google Drive увеличились чуть более чем на 3 и 1 процентных пункта, что соответствует 206 и 132 файлам.
Общее число уникальных вредоносных и нежелательных файлов, имитирующих легитимные программы, немного снизилось в 2025 году по сравнению с 2024 годом - с 5587 до 4043.
Число файлов, затронувших российских пользователей, также незначительно снизилось и составило 2185 (против 2344 в аналогичный период 2024 года).
Среди самых опасных угроз для малого и среднего бизнеса в 2025 году - загрузчики, троянцы и рекламное ПО.
Кроме того, фиксируется широкий спектр фишинговых и мошеннических схем, нацеленных на малый и средний бизнес.
Подробная инфографика, статистика, разбор популярных схем и рекомендации - в отчет.
GreyNoise сообщает о аномальном всплеске активности сканирования систем Progress MOVEit Transfer, который наблюдается начиная с 27 мая 2025 года.
По всей видимости, злоумышленники готовятся к очередной кампании по массовому использованию уязвимостей или ищут неисправленные системы.
MOVEit Transfer - популярное решение для управляемой передачи файлов, используемое крупным бизнесом и госсектором для безопасного обмена конфиденциальными данными. В последне время стало излюбленной целью киберподполья.
До отмеченной даты показатели сканирование укладывались в минимальные значения - обычно в день наблюдалось менее 10 IP-адресов, но 27 мая это число резко возросло до более чем 100 уникальных IP-адресов, а 28 мая — до 319 IP-адресов.
При этом с тех пор ежедневный объем таких IP-адресов периодически увеличивался и составлял от 200 до 300 IP-адресов в день, что является серьезным отклонением от обычной активности.
За последние 90 дней было выявлено 682 уникальных IP-адреса, а за последние 24 часа - и вовсе 449, из которых 344 были отнесены к категории подозрительных, а 77 были отмечены как вредоносные.
Большинство IP-адресов дислоцированы в США, за которыми следуют Германия, Япония, Сингапур, Бразилия, Нидерланды, Южная Корея, Гонконг и Индонезия.
GreyNoise также сообщила, что 12 июня 2025 года она обнаружила попытки локальной эксплуатации двух известных уязвимостей MOVEit Transfer (CVE-2023-34362 и CVE-2023-36934).
CVE-2023-34362 интересная тем, что ранее задействовалась бандой вымогателей Cl0p в ходе широкомасштабной кампании в 2023 году, затронувшей более 2770 организаций.
Очевидно, последние показатели вредоносной активно также могут указывать на признаки новой волны атак на экземпляры MOVEit Transfer.
В общем, будем посмотреть.
Недавняя уязвимость в Citrix NetScaler ADC и Gateway получила название CitrixBleed 2 в виду ее сходства с более старой эксплуатируемой уязвимостью, которая позволяла неавторизованным злоумышленникам перехватывать файлы cookie сеанса аутентификации с уязвимых устройств.
На прошлой неделе Citrix выкатила бюллетень с предупреждением об уязвимостях, отлеживаемых как CVE-2025-5777 и CVE-2025-5349, которые затрагивают NetScaler ADC и Gateway до 14.1-43.56, выпуски до 13.1-58.32, а также 13.1-37.235-FIPS/NDcPP и 2.1-55.328-FIPS.
CVE-2025-5777 представляет собой критическую уязвимость, вызванную чтением за пределами выделенного пространства памяти и затрагивает устройства NetScaler, настроенные как шлюз (виртуальный VPN, прокси ICA, бесклиентский VPN (CVPN), прокси RDP) или виртуальный сервер AAA.
Исследователь Кевин Бомонт полагает, что эта уязвимость перекликается с печально известной CitrixBleed (CVE-2023-4966), которая широко задействовалась злоумышленниками, в том числе при проведении атак использованием ransomware, а также в APT-кампаниях.
Бомонт окрестил CVE-2025-5777 как CitrixBleed 2, заявляя, что она может позволить злоумышленникам получить доступ к токенам сеансов, учетным данным и другим конфиденциальным данным с общедоступных шлюзов и виртуальных серверов.
При этом утечка токенов может быть использована для перехвата сеансов пользователей и обхода MFA.
В том же бюллетене фигурирует вторая уязвимость высокой степени серьезности - CVE-2025-5349, которая связана с некорректным управлением доступом в интерфейсе NetScaler.
Ее эксплуатация возможна, если злоумышленник имеет доступ к NSIP (NetScaler Management IP), Cluster Management IP или Local GSLB Site IP.
Для устранения обоих проблем пользователям рекомендуется установить NetScaler ADC и Gateway 14.1-43.56, 13.1-58.32 и более поздние версии, 13.1-NDcPP 13.1-37.235 (FIPS) и 12.1-55.328 (FIPS).
В Citrix пока не раскрывают никаких сведений о возможной эксплуатации CitrixBleed 2. Однако рекомендуют администраторам завершать все активные сеансы ICA и PCoIP сразу после обновления всех устройств.
Аналогичный совет Citrix также давала в отношении CitrixBleed.
Технический директор Mandiant Чарльз Кармакал также предупреждает о крайне важном завершении сеансов после обновления устройств, дабы предотвратить использование ранее украденных сеансов даже после того, как устройства больше не будут в зоне риска.
При этом указывая на то, что многие организации не завершили сеансы при устранении аналогичной уязвимости в 2023 году (CVE-2023-4966, также известной как CitrixBleed.
Тогда секреты сеансов были украдены до того, как компании установили исправления, а сеансы были перехвачены после установки исправлений.
Многие из этих компрометаций привели к серьезным инцидентам, связанным с кибершпионажем или развертыванием программ-вымогателей.
Следует отметить, что уязвимости также затрагивают ADC/Gateway 12.1 (не FIPS) и ADC/Gateway 13.0, которые не более не получают исправлений. Всем использующим эти версии, следует обновиться до активно поддерживаемой как можно скорее.
Результаты сканирования глобальной сети позволило выявить более 56 500 публично доступных конечных точек NetScaler ADC и Gateway, их подверженность CVE-2025-5349 и CVE-2025-5777, конечно, не ясна, но определенно существует.
Так что будем следить.
Французская полиция рапортует об успехах силовой операции, в ходе которой правоохранители арестовали пятерых авторитетных участников BreachForum.
По сообщению газеты Le Parisien, операцию провернули в понедельник через возможности подразделения по борьбе с киберпреступностью (BL2C) полиции Парижа.
Накрыть кибепреступников удалось сразу в нескольких локациях: О-де-Сен (Париж), Сена-Приморская (Нормандия) и Реюньон.
В числе задержанных фигурируют: ShinyHunters, Hollow, Noct и Depressed.
Кроме того, в публикации Le Parisien указывается, что в феврале 2025 года французские спецслужбы вышли на IntelBroker, которого еще тогда и упаковали. Возможно, он и помог подкрепить своих «кентов».
Вообще же, после первого наката на BreachForums в 2023 году и отправления админа Конора Брайана Фицпатрика (Pompompurin) по этапу, дальнейшие иттерации форума больше походили на игру в кошки-мышки, где основную модерацию, вели уже не админы, а люди в погонах.
Так что, BreachForums v2 под руководством ShinyHunters, Baphomet и, позднее, IntelBroker, катился ровно по той дорожке, о которой мы не раз сообщали.
Согласно данным силовиков, ShinyHunters и IntelBroker выступали администраторами/владельцами сайта, а архивные посты показывают, что Hollow выступал в качестве модератора.
Но пока не раскрывается, какое участие в работе сайта принимали depressed и noct.
Тем не менее, всем предъявлены обвинения в непосредственном участии в организации утечек данных таких французских организаций, как Boulanger, SFR, France Travail и Французская федерация футбола.
Причем в ходе атаки на France Travail (ранее Pôle Emploi) были раскрыты конфиденциальные данные 43 млн. пользователей.
BreachForums v2 в апреле 2025 года якобы был взломан с помощью 0-day MyBB, что, по всей видимости, было легендой для прикрытия деталей более глубокой многолетней разработки, в результате которой спецслужбы накрыли наиболее серьезных участников киберподполья.
Далее последуют новые этапы международных операции по мере того, как будут колоться задержанные и изыматься инфа с изъятой техники.
Но будем посмотреть.
GitHub выступила исправления для уязвимости высокой степени серьезности в нескольких версиях Enterprise Server, которая позволяет удаленно выполнить произвольный код.
Ошибка отслеживается как CVE-2025-3509 и имеет оценку CVSS 7,1.
Она связана с возможностью задействования функционала предварительного приема для привязки к портам, которые динамически выделяются и становятся доступными.
По данным GitHub, эксплуатация уязвимости возможна только при определенных условиях, например, во время процесса горячего исправления, и требует либо разрешений администратора сайта, либо пользователя с правами на изменение репозиториев, содержащих pre-receive hooks.
Первоначальное исправление уязвимости не было реализовано должным образом, что открывало возможности в определенных случаях воспользоваться ею, в связи с чем был выпущен новый патч.
Успешная эксплуатация CVE-2025-3509 могла позволить злоумышленникам выполнить произвольный код и повысить свои привилегии, что потенциально могло привести к полной компрометации системы.
Согласно GitHub, затронуты все выпуски Enterprise Server до 3.18.
Исправления ошибки были включены в версии Enterprise Server 3.17.1, 3.16.4, 3.15.8, 3.14.13 и 3.13.16, которые были выпущены на прошлой неделе.
Раскрытие CVE-2025-3509 произошло через программу вознаграждения за обнаружение ошибок.
Как отмечает в GitHub, какие-либо упоминания о ее реальной эксплуатации не встречались.
Мы хотели написать пост по поводу материала от команды CTI DomainTools в отношении иранской группы CyberAv3ngers, но дальше второго абзаца уйти не смогли:
The ongoing conflict between Iran and Israel has intensified across both physical and digital fronts. In the last two weeks alone, Iran has launched multi-warhead missile attacks targeting major Israeli cities such as Tel Aviv and Haifa. In response, Israel conducted retaliatory airstrikes against Iranian military installations, nuclear sites, and key IRGC-Cyber Electronic Command (IRGC-CEC) facilities in cities like Isfahan and Tehran.
В принципе, это все, что надо знать об объективности в современной инфосек индустрии. И эти люди втирают нам про "достоверные TTP's".