32258
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
У Renault и Dacia произошла утечка пользовательских данных
Британских клиентов автопроизводителей Renault и Dacia уведомили о компрометации их персональных данных. Сообщается, что утечка произошла у стороннего подрядчика.
https://xakep.ru/2025/10/07/renault-leak/
❗️Уже ЗАВТРА! Делимся опытом прохождения проверок ФСТЭК России по КИИ.❗️
💼Кому будет интересно мероприятие:
- ИТ, ИБ, АСУТП, руководители субъектов КИИ.
📋План:
- 13:00 — 13:15 Небольшая презентация.
- 13:20 — 14:00 Ответы на ваши вопросы.
📣Какие темы затронем:
- Как именно проходит проверка от лица субъекта КИИ
- Что запрашивает ФСТЭК России у субъекта перед проверкой
- Перечень мероприятий, которые необходимо выполнить до проверки (Дорожная карта)
- Какие альтернативные мероприятия можно выполнить, если не успели выполнить всеобъемлющие
- На что обращает внимание ФСТЭК России по организационной защите информации?
- На что обращает внимание ФСТЭК России по технической защите информации?
- Подход к моделированию угроз
- Компенсирующие меры защиты информации
- За что можно получить предписание ФСТЭК России
- Как правильно принять СБ ЗОКИИ в эксплуатацию
- Импортозамещение и безопасная разработка ПО
📌Регистрация
Реклама. ООО «Альтирикс системс». ИНН 7811463860.
В движке Unity обнаружили уязвимость восьмилетней давности
В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода на Android и для повышения привилегий в Windows. Разработчики Valve уже обновили Steam, а Microsoft — Microsoft Defender и рекомендовали пользователям удалить уязвимые игры, пока они не получат патчи.
https://xakep.ru/2025/10/06/unity-flaw/
Астрологи объявили неделю опросов. Каждый день мы будем публиковать опрос, а ты — выбирать нужные пункты (или проматывать дальше со зловещим хохотом). Обещаем: на выбор ответов уйдет не больше 10 секунд!
Читать полностью…
Атака CometJacking превращает ИИ-браузер Perplexity в инструмент для кражи данных
Исследователи рассказали об атаке CometJacking, которая эксплуатирует параметры URL для передачи ИИ-браузеру Comet от Perplexity скрытых инструкций. Атака позволяет получить доступ к конфиденциальным данным из подключенных сервисов, включая электронную почту и календарь.
https://xakep.ru/2025/10/06/cometjacking/
РКН обязал добавлять в Telegram-каналы бота trustchannelbot с правами администратора
Представители Роскомнадзора (РКН) сообщили, что все владельцы каналов в Telegram, аудитория которых превышает 10 000 человек, должны добавить в канал бота trustchannelbot и дать ему права администратора. В ведомстве заявляют, что это единственный способ подтвердить владение каналом.
https://xakep.ru/2025/10/06/trustchannelbot/
Баги в OpenSSL позволяли восстановить приватный ключ, выполнить код и проводить DoS-атаки
Разработчики OpenSSL объявили о выпуске нескольких новых версий опенсорсного SSL/TLS-тулкита, в которых исправлены сразу три уязвимости.
https://xakep.ru/2025/10/03/openssl-cves/
Ваша киска сломала бы Cisco. Практический цикл исследования CVE: от адвайзори до рабочих PoC #статьи #подписчикам
Прошивки сетевого оборудования нередко скрывают баги, поэтому их diff-анализ остается основным способом найти уязвимости и потенциальные точки для RCE. В сегодняшней статье я покажу общие техники и методы, которые применяю на практике при анализе 1-day-уязвимостей роутеров, файрволов и других подобных сетевых устройств.
https://xakep.ru/2025/10/03/cisco-cve/
Уязвимости Gemini Trifecta заставляли ИИ-помощника Gemini похищать данные
Специалисты раскрыли детали трех уже исправленных уязвимостей в ИИ-помощнике Google Gemini, получивших общее название Gemini Trifecta. В случае успешной эксплуатации эти проблемы позволяли обмануть ИИ и вынудить его участвовать в краже данных и другой вредоносной активности.
https://xakep.ru/2025/10/03/gemini-trifecta/
Критический баг в WD My Cloud допускает удаленное внедрение команд
Компания Western Digital выпустила обновления прошивки для нескольких моделей NAS My Cloud. Обновление исправляет критическую уязвимость, которая могла использоваться для удаленного выполнения произвольных команд.
https://xakep.ru/2025/10/02/wd-my-cloud-bug/
OTP — не проблема! Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2
В этой статье я покажу, как мне удалось организовать фишинговую рассылку, используя критическую уязвимость в Exchange Server, чтобы повысить доверие к рассылаемым письмам. Начал с получения списка корпоративных адресов через устаревшую версию мобильного приложения, затем с помощью Evilginx2 и Telegram-бота создал неотличимый от оригинала лендинг и в итоге закрепился в сети организации.
https://xakep.ru/2025/10/02/telegram-app-phishing/
В Афганистане начал восстанавливаться доступ к интернету
Аналитики международной организации NetBlocks сообщили, что после двух суток полного отключения в Афганистане начали восстанавливаться интернет-соединения. При этом власти страны заявили, что причиной отключений стало устаревание оптоволоконных кабелей, которые требовали замены.
https://xakep.ru/2025/10/02/af-internet-ban/
Positive Technologies представит обновленную платформу Standoff 365 на Positive Security Day
В рамках конференции Positive Security Day 2025, которая пройдет 8 октября во Дворце Ирины Винер в «Лужниках», будет представлена обновленная платформа Standoff 365. На ней организации улучшают навыки специалистов по безопасности и повышают защищенность ИТ-активов, а более 27 000 белых хакеров практикуются в анализе защищенности и зарабатывают, находя уязвимости.
https://xakep.ru/2025/10/02/standoff-365-psd/
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887. Erid: 2SDnjc2cUfx
Трекеры Tile передают данные открытым текстом
Группа исследователей из Технологического института Джорджии утверждает, что Bluetooth-трекеры Tile передают идентификационные данные открытым текстом. Это позволяет легко идентифицировать и отслеживать их владельцев.
https://xakep.ru/2025/10/01/tile-flaws/
MatrixPDF преобразовывает файлы PDF в фишинговые приманки
Обнаружен новый фишинговый инструментарий MatrixPDF, который позволяет злоумышленникам превращать обычные PDF-файлы в интерактивные приманки, обходящие email-защиту и перенаправляющие жертв на сайты для кражи учетных данных или загрузки вредоносного ПО.
https://xakep.ru/2025/10/01/matrixpdf/
Атака WireTap нарушает безопасность анклавов Intel SGX
Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку WireTap. Специалисты показали, что пассивный DIMM-интерпозер может использоваться для компрометации механизма аттестации DCAP в Intel Software Guard Extensions (Intel SGX).
https://xakep.ru/2025/10/07/wiretap/
Пользователей WhatsApp атакует самораспространяющийся червь SORVEPOTEL
Аналитики Trend Micro предупредили, что бразильские пользователи WhatsApp стали целью новой самораспространяющейся малвари SORVEPOTEL, ориентированной на заражение Windows-систем.
https://xakep.ru/2025/10/06/sorvepotel/
Хочешь разбираться в Linux?
Для тебя уже всё сделали.
🐧 Канал Секреты Сисадмина делится полезными инструментами, приёмами и лайфхаками системного администрирования, DevOps и Linux.
Подписывайтесь и прокачивайте свои навыки: @sysadmin_library
Реклама. ИП Анисимов М.Н. ИНН: 590424523100.
HTB Certificate. Захватываем домен при помощи техники Golden Certificate #статьи #подписчикам
Сегодня я покажу, как использовать привилегию SeManageVolume для получения «золотого сертификата» и захвата домена на Windows. Перед этим нас ждет череда других уязвимостей: мы загрузим склеенные ZIP-архивы на сайт, чтобы обойти фильтр, получим шелл, вытащим учетки из базы данных, проанализируем трафик для атаки на Kerberos и применим технику ESC3 AD CS.
https://xakep.ru/2025/10/06/htb-certificate/
Хакеры похитили данные и удостоверения личности пользователей Discord
Хакеры похитили платежную информацию и персональные данные (включая настоящие имена и удостоверения личности) некоторых пользователей Discord. Атака произошла 20 сентября 2025 года и связана со взломом стороннего поставщика, предоставляющего компании услуги клиентской поддержки.
https://xakep.ru/2025/10/06/discord-new-leak/
Лучшие статьи «Хакера» за 2025 год. Завершается прием ранних предзаказов
Завершается сбор ранних предварительных заказов на бумажный выпуск «Хакера», в который войдут самые важные и интересные материалы за 2025 год. Скоро цена возрастет!
https://xakep.ru/2025/10/03/best-2025/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
В маршрутизаторах DrayTek патчат RCE-уязвимость
Компания DrayTek, производящая сетевое оборудование, выпустила предупреждение об уязвимости, которая затрагивает несколько моделей роутеров Vigor. Проблема позволяет удаленным неаутентифицированным атакующим выполнять произвольный код.
https://xakep.ru/2025/10/03/cve-2025-10547/
Атака Battering RAM обходит новейшие средства защиты на процессорах Intel и AMD
Эксперты продемонстрировали аппаратную атаку Battering RAM, которая обходит защиту новейших процессоров Intel и AMD, используемых в облачной инфраструктуре. Однако производители не слишком обеспокоены, поскольку атака требует физического доступа к целевому устройству.
https://xakep.ru/2025/10/03/battering-ram/
Ошибку в работе Outlook можно исправить только через службу поддержки Microsoft
Компания Microsoft изучает проблему, из-за которой классический почтовый клиент Outlook «вылетает» при запуске. Устранить ошибку пока можно только через поддержку Exchange Online.
https://xakep.ru/2025/10/03/outlook-crash/
Хакеры Crimson Collective заявляют, что похитили 570 ГБ данных у Red Hat
Вымогательская группировка Crimson Collective заявила о краже 570 ГБ данных из 28 000 внутренних репозиториев Red Hat. Представители компании подтвердили, что был взломан один из ее инстансов GitLab.
https://xakep.ru/2025/10/02/redhat-leak/
Хакеры рассылают SMS через уязвимые промышленные маршрутизаторы Milesight
Мошенники эксплуатируют незащищенные промышленные маршрутизаторы Milesight для рассылки фишинговых SMS-сообщений. Специалисты Sekoia обнаружили, что такие кампании продолжаются с 2023 года.
https://xakep.ru/2025/10/02/milesight-sms/
Новый Android-банкер Klopatra использует VNC для управления зараженными смартфонами
Банковский троян и RAT для Android под названием Klopatra маскируется под приложение для IPTV и VPN, и уже заразил более 3000 устройств. Вредонос представляет собой троян, способный отслеживать экран устройства в режиме реального времени, перехватывать ввод данных, имитировать жестовую навигацию и оснащенный скрытым режимом VNC (Virtual Network Computing).
https://xakep.ru/2025/10/02/klopatra/
ИИ будет обнаруживать вымогательское ПО в Google Drive
Google представила новый ИИ-инструмент, предназначенный для Drive для настольных компьютеров. Утверждается, что модель обучена на миллионах реальных образцов вымогательского ПО и может приостановить синхронизацию для уменьшения ущерба от атаки шифровальщика.
https://xakep.ru/2025/10/01/ai-in-google-drive/
ReDisclosure. Разбираем инъекции в полнотекстовый поиск на примере MyBB #статьи #подписчикам
В течение многих лет атаки с использованием SQL-инъекций в основном сводились к попыткам нарушить синтаксис запросов. Однако с развитием инструментов акцент сместился на создание «крутых нагрузок» и разбор предупреждений SAST, которые многие игнорируют. Я же попробовал поискать возможность инъекции без экранирования.
https://xakep.ru/2025/10/01/search-sql-injections/
Критическая уязвимость в sudo находится под атаками
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что хакеры активно эксплуатируют критическую уязвимость (CVE-2025-32463) в утилите sudo, которая позволяет выполнять команды в Linux с привилегиями уровня root.
https://xakep.ru/2025/10/01/cve-2025-32463/