SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
TGlist рейтинг
0
0
ТипАчык
Текшерүү
ТекшерилбегенИшенимдүүлүк
ИшенимсизОрдуРосія
ТилиБашка
Канал түзүлгөн датаNov 30, 2019
TGlistке кошулган дата
May 21, 2024Тиркелген топ
"SecAtor" тобундагы акыркы жазуулар
12.05.202517:28
ASUS выпустила обновления для исправления двух уязвимостей, влияющих на ASUS DriverHub, которые в случае успешной эксплуатации могут позволить злоумышленнику использовать программное обеспечение для удаленного выполнения кода.
DriverHub - это инструмент, предназначенный для автоматизации необходимых обновлений драйверов для последующей установки путем взаимодействия со специальным сайтом, размещенным по адресу driverhub.asus[.]com.
Обнаруженные проблемы отслеживаются как:
- CVE-2025-3462 (CVSS: 8,4): связана с ошибкой проверки источника, которая позволяет неавторизованным источникам взаимодействовать с функциями программного обеспечения с помощью специально созданных HTTP-запросов.
- CVE-2025-3463 (CVSS: 9,4): уязвимость неправильной проверки сертификата, которая может позволить ненадежным источникам влиять на поведение системы с помощью специально созданных HTTP-запросов.
Сообщивший об ошибках исследователь MrBruh отметил, что их можно использовать для удаленного выполнения кода в рамках атаки в один клик.
Для этого необходимо обманом заманить ничего не подозревающего пользователя на поддомен driverhub.asus[.]com (например, driverhub.asus.com.<random>.com), а затем использовать конечную точку UpdateApp DriverHub для запуска легитимной версии двоичного файла «AsusSetup.exe» с опцией запуска любого файла, размещенного на поддельном домене.
При запуске AsusSetup.exe сначала считывает данные из AsusSetup.ini. Если запускается AsusSetup.exe с флагом -s (DriverHub вызывает его, используя этот параметр для выполнения тихой установки), реализуется выполнение всего, что указано в SilentInstallRun.
Все, что нужно злоумышленнику для успешной реализации эксплойта, - это создать домен и разместить три файла: вредоносную полезную нагрузку для запуска, измененную версию AsusSetup.ini, в которой свойство SilentInstallRun установлено на вредоносный двоичный файл, и AsusSetup.exe, который затем использует это свойство для запуска полезной нагрузки.
Уведомление об уязвимостях было направлено в ASUS 8 апреля 2025 года, после чего к 9 мая все ошибки были устранены.
Свидетельств эксплуатации уязвимостей в реальных условиях не получено. Тем не менее обновиться следует.
DriverHub - это инструмент, предназначенный для автоматизации необходимых обновлений драйверов для последующей установки путем взаимодействия со специальным сайтом, размещенным по адресу driverhub.asus[.]com.
Обнаруженные проблемы отслеживаются как:
- CVE-2025-3462 (CVSS: 8,4): связана с ошибкой проверки источника, которая позволяет неавторизованным источникам взаимодействовать с функциями программного обеспечения с помощью специально созданных HTTP-запросов.
- CVE-2025-3463 (CVSS: 9,4): уязвимость неправильной проверки сертификата, которая может позволить ненадежным источникам влиять на поведение системы с помощью специально созданных HTTP-запросов.
Сообщивший об ошибках исследователь MrBruh отметил, что их можно использовать для удаленного выполнения кода в рамках атаки в один клик.
Для этого необходимо обманом заманить ничего не подозревающего пользователя на поддомен driverhub.asus[.]com (например, driverhub.asus.com.<random>.com), а затем использовать конечную точку UpdateApp DriverHub для запуска легитимной версии двоичного файла «AsusSetup.exe» с опцией запуска любого файла, размещенного на поддельном домене.
При запуске AsusSetup.exe сначала считывает данные из AsusSetup.ini. Если запускается AsusSetup.exe с флагом -s (DriverHub вызывает его, используя этот параметр для выполнения тихой установки), реализуется выполнение всего, что указано в SilentInstallRun.
Все, что нужно злоумышленнику для успешной реализации эксплойта, - это создать домен и разместить три файла: вредоносную полезную нагрузку для запуска, измененную версию AsusSetup.ini, в которой свойство SilentInstallRun установлено на вредоносный двоичный файл, и AsusSetup.exe, который затем использует это свойство для запуска полезной нагрузки.
Уведомление об уязвимостях было направлено в ASUS 8 апреля 2025 года, после чего к 9 мая все ошибки были устранены.
Свидетельств эксплуатации уязвимостей в реальных условиях не получено. Тем не менее обновиться следует.
09.05.202513:34
07.05.202517:00
Киберподполье оперативно переключилось на вторую критическую уязвимость в плагине OttoKit для WordPress для взлома сайтов WordPress.
Исследователи Defiant предупреждают об эксплуатации второй уязвимости в OttoKit, которая последовала менее чем через месяц после того, как злоумышленники были замечены в использовании другой уязвимости для захвата веб-сайтов.
Плагин OttoKit: All-in-One Automation Platform (ранее SureTriggers), установленный более 100 000 раз, предоставляет администраторам сайтов возможности автоматизации задач, позволяя им подключать приложения, веб-сайты и другие плагины.
В начале апреля была зафиксирована активность, нацеленная на уязвимость CVE-2025-3102 - проблему отсутствия проверки, которая затрагивала новые и ненастроенные установки OttoKit, - для создания новых административных учетных записей и захвата уязвимых веб-сайтов.
На этот раз Defiant обращает внимание на атаки, нацеленные на новую ошибку в плагине, CVE-2025-27007 (оценка CVSS 9,8), которая позволяет неавторизованным злоумышленникам подключаться к уязвимым сайтам.
Уязвимость связана с функцией плагина create_wp_connection(), которая не способна должным образом проверять аутентификацию пользователя, что позволяет злоумышленникам повысить свои привилегии.
Однако для успешной эксплуатации уязвимости необходимо, чтобы сайт никогда не включал и не использовал пароль приложения, а OttoKit/SureTriggers никогда ранее не подключался к веб-сайту с использованием пароля приложения.
В этом случае злоумышленник сможет успешно воспользоваться этой уязвимостью, даже не зная действительного имени пользователя.
Поскольку для успешного подключения в некоторых случаях требуется пароль приложения, сайты, которые уже подключились к плагину с помощью пароля приложения, не должны допускать неаутентифицированных подключений.
Исследователи Defiant предупреждают об эксплуатации второй уязвимости в OttoKit, которая последовала менее чем через месяц после того, как злоумышленники были замечены в использовании другой уязвимости для захвата веб-сайтов.
Плагин OttoKit: All-in-One Automation Platform (ранее SureTriggers), установленный более 100 000 раз, предоставляет администраторам сайтов возможности автоматизации задач, позволяя им подключать приложения, веб-сайты и другие плагины.
В начале апреля была зафиксирована активность, нацеленная на уязвимость CVE-2025-3102 - проблему отсутствия проверки, которая затрагивала новые и ненастроенные установки OttoKit, - для создания новых административных учетных записей и захвата уязвимых веб-сайтов.
На этот раз Defiant обращает внимание на атаки, нацеленные на новую ошибку в плагине, CVE-2025-27007 (оценка CVSS 9,8), которая позволяет неавторизованным злоумышленникам подключаться к уязвимым сайтам.
Уязвимость связана с функцией плагина create_wp_connection(), которая не способна должным образом проверять аутентификацию пользователя, что позволяет злоумышленникам повысить свои привилегии.
Однако для успешной эксплуатации уязвимости необходимо, чтобы сайт никогда не включал и не использовал пароль приложения, а OttoKit/SureTriggers никогда ранее не подключался к веб-сайту с использованием пароля приложения.
В этом случае злоумышленник сможет успешно воспользоваться этой уязвимостью, даже не зная действительного имени пользователя.
Поскольку для успешного подключения в некоторых случаях требуется пароль приложения, сайты, которые уже подключились к плагину с помощью пароля приложения, не должны допускать неаутентифицированных подключений.
07.05.202515:10
Исследователи F5 Labs выкатили в паблик инструмент (доступен на GitHub) для проверки концепции уязвимости Apache Parquet максимальной степени серьезности, отлеживаемой как CVE-2025-30065, что значительно упрощает поиск уязвимых серверов.
Как отмечают исследователи, ряд ранее вышедших PoC на практике оказались либо слабыми, либо полностью нефункциональными.
В свою очередь, представленный инструмент служит доказательством практической возможности эксплуатации уязвимости CVE-2025-30065 и способен помочь администраторам проанализировать свои среды и защитить серверы.
Уязвимость была впервые раскрыта 1 апреля 2025 года после обнаружения исследователем Amazon Кейи Ли, была отнесена к категории RCE, затрагивая все версии Apache Parquet до 1.15.0 включительно.
С технической точки зрения CVE-2025-30065 представляет собой уязвимость десериализации в модуле parquet-avro Apache Parquet Java, из-за которой библиотека не ограничивает, какие классы Java могут быть созданы при чтении данных Avro, встроенных в файлы Parquet.
2 апреля 2025 года Endor Labs опубликовала предупреждение о риске эксплуатации уязвимости и ее потенциальном влиянии на системы, импортирующие файлы Parquet из внешних точек.
Последующий анализ F5 Labs показал, что уязвимость не является полноценным RCE десериализации, но все равно может быть использована не по назначению, если класс имеет побочные эффекты во время создания экземпляра.
Например, при выполнении сетевого запроса из уязвимой системы на сервер, контролируемый злоумышленником.
Однако исследователи пришли к выводу, что практическая эксплуатация уязвимости затруднена, а CVE-2025-30065 имеет ограниченную ценность для злоумышленников.
Несмотря на то, что Parquet и Avro широко используются, эта проблема требует особого набора условий, который в целом не так уж и вероятен.
Даже в этом случае CVE позволяет злоумышленникам только инициировать создание экземпляра объекта Java, который затем должен иметь побочный эффект, полезный для злоумышленника.
Несмотря на низкую вероятность эксплуатации, исследователи признают, что некоторые организации обрабатывают файлы Parquet из внешних, часто непроверенных источников, и, следовательно, в некоторых средах риск является значительным.
По этой причине F5 Labs создала инструмент canary Exploit, который запускает HTTP-запрос GET посредством создания экземпляра javax.swing.JEditorKit, позволяя пользователям проверять уязвимость.
Помимо использования инструмента рекомендуется обновить Apache Parquet до версии 15.1.1 или более поздней и настроить org.apache.parquet.avro.SERIALIZABLE_PACKAGES, ограничивая пакеты, разрешенные для десериализации.
Как отмечают исследователи, ряд ранее вышедших PoC на практике оказались либо слабыми, либо полностью нефункциональными.
В свою очередь, представленный инструмент служит доказательством практической возможности эксплуатации уязвимости CVE-2025-30065 и способен помочь администраторам проанализировать свои среды и защитить серверы.
Уязвимость была впервые раскрыта 1 апреля 2025 года после обнаружения исследователем Amazon Кейи Ли, была отнесена к категории RCE, затрагивая все версии Apache Parquet до 1.15.0 включительно.
С технической точки зрения CVE-2025-30065 представляет собой уязвимость десериализации в модуле parquet-avro Apache Parquet Java, из-за которой библиотека не ограничивает, какие классы Java могут быть созданы при чтении данных Avro, встроенных в файлы Parquet.
2 апреля 2025 года Endor Labs опубликовала предупреждение о риске эксплуатации уязвимости и ее потенциальном влиянии на системы, импортирующие файлы Parquet из внешних точек.
Последующий анализ F5 Labs показал, что уязвимость не является полноценным RCE десериализации, но все равно может быть использована не по назначению, если класс имеет побочные эффекты во время создания экземпляра.
Например, при выполнении сетевого запроса из уязвимой системы на сервер, контролируемый злоумышленником.
Однако исследователи пришли к выводу, что практическая эксплуатация уязвимости затруднена, а CVE-2025-30065 имеет ограниченную ценность для злоумышленников.
Несмотря на то, что Parquet и Avro широко используются, эта проблема требует особого набора условий, который в целом не так уж и вероятен.
Даже в этом случае CVE позволяет злоумышленникам только инициировать создание экземпляра объекта Java, который затем должен иметь побочный эффект, полезный для злоумышленника.
Несмотря на низкую вероятность эксплуатации, исследователи признают, что некоторые организации обрабатывают файлы Parquet из внешних, часто непроверенных источников, и, следовательно, в некоторых средах риск является значительным.
По этой причине F5 Labs создала инструмент canary Exploit, который запускает HTTP-запрос GET посредством создания экземпляра javax.swing.JEditorKit, позволяя пользователям проверять уязвимость.
Помимо использования инструмента рекомендуется обновить Apache Parquet до версии 15.1.1 или более поздней и настроить org.apache.parquet.avro.SERIALIZABLE_PACKAGES, ограничивая пакеты, разрешенные для десериализации.
07.05.202513:10
Во вторник федеральное жюри присяжных поставила точку в деле NSO Group, обязав поставщика spyware выплатить WhatsApp (принадлежащей признанной в РФ экстремистской Meta) 168 миллионов долларов в качестве возмещения ущерба за атаку Pegasus на 1400 ее пользователей.
Первоначально WhatsApp подала иск в отношении NSO Group еще в 2019 году, обвинив ее в использовании Pegasus для преследования журналистов, правозащитников и политической оппозиции.
Согласно представленным на разбирательствах судебным документам, жертвами шпионской кампании стали 456 пользователей в Мексике, 100 - в Индии, 82 - в Бахрейне, 69 - в Марокко и 58 - в Пакистане. Всего в прицеле Pegasus оказались пользователи из 51 страны.
В атаках для запуска шпионского ПО задействовался 0-day в функции голосовых вызовов WhatsApp (CVE-2019-3568, оценка CVSS: 9,8).
В ходе судебных прений NSO Group пыталась уйти от ответственности, утверждая, что не имеет представления о том, что ее клиенты делают с Pegasus, но эта линия защиты провалилась.
NSO была вынуждена признать, что ежегодно тратит десятки миллионов долларов на разработку новых методов внедрения вредоносного ПО, в том числе через SMS, мессенджеры, браузеры и ОС, а ее шпионское ПО и по сей день способно вмешиваться в работу устройств iOS или Android.
В постановлении, вынесенном в декабре 2024 года, окружной судья США Филлис Дж. Гамильтон отметила, что вредоносные сообщения Pegasus отправлялись через серверы WhatsApp, расположенные в Калифорнии, 43 раза в течение соответствующего периода времени в мае 2019 года.
Судебный прецедент в деле NSO Group, по мнению главы WhatsApp Уилл Кэткарт, можно назвать историческим и станет важнейшим сдерживающим фактором для индустрии шпионского ПО по всему миру.
Помимо штрафных санкций в размере 167 254 000 долларов США, присяжные постановили, что NSO Group должна выплатить WhatsApp 444 719 долларов США в качестве компенсации за работы, предпринятые инженерами для блокировки векторов атак.
Кроме того, согласно судебному постановлению NSO вынесен запрет когда-либо снова атаковать WhatsApp.
В свою очередь, после получения судебного постановления WhatsApp намерена финансово поддержать организации, специализирующиеся на защите цифровых прав и защите пользователей от подобных атак.
Несмотря на публичные заявления NSO Group в Courthouse News и POLITICO о задействовании ее технологий в борьбе с преступлениями и терроризмом, судебное решение полностью отражает стратегию американских властей, ранее также наложивших санкции на поставщика.
В целом, можно констатировать, что назначенные судом суммы возмещения могут серьезно подорвать экономику NSO Group и наступательные возможности разрабатываемого софта.
Но будем, опять же, посмотреть.
Первоначально WhatsApp подала иск в отношении NSO Group еще в 2019 году, обвинив ее в использовании Pegasus для преследования журналистов, правозащитников и политической оппозиции.
Согласно представленным на разбирательствах судебным документам, жертвами шпионской кампании стали 456 пользователей в Мексике, 100 - в Индии, 82 - в Бахрейне, 69 - в Марокко и 58 - в Пакистане. Всего в прицеле Pegasus оказались пользователи из 51 страны.
В атаках для запуска шпионского ПО задействовался 0-day в функции голосовых вызовов WhatsApp (CVE-2019-3568, оценка CVSS: 9,8).
В ходе судебных прений NSO Group пыталась уйти от ответственности, утверждая, что не имеет представления о том, что ее клиенты делают с Pegasus, но эта линия защиты провалилась.
NSO была вынуждена признать, что ежегодно тратит десятки миллионов долларов на разработку новых методов внедрения вредоносного ПО, в том числе через SMS, мессенджеры, браузеры и ОС, а ее шпионское ПО и по сей день способно вмешиваться в работу устройств iOS или Android.
В постановлении, вынесенном в декабре 2024 года, окружной судья США Филлис Дж. Гамильтон отметила, что вредоносные сообщения Pegasus отправлялись через серверы WhatsApp, расположенные в Калифорнии, 43 раза в течение соответствующего периода времени в мае 2019 года.
Судебный прецедент в деле NSO Group, по мнению главы WhatsApp Уилл Кэткарт, можно назвать историческим и станет важнейшим сдерживающим фактором для индустрии шпионского ПО по всему миру.
Помимо штрафных санкций в размере 167 254 000 долларов США, присяжные постановили, что NSO Group должна выплатить WhatsApp 444 719 долларов США в качестве компенсации за работы, предпринятые инженерами для блокировки векторов атак.
Кроме того, согласно судебному постановлению NSO вынесен запрет когда-либо снова атаковать WhatsApp.
В свою очередь, после получения судебного постановления WhatsApp намерена финансово поддержать организации, специализирующиеся на защите цифровых прав и защите пользователей от подобных атак.
Несмотря на публичные заявления NSO Group в Courthouse News и POLITICO о задействовании ее технологий в борьбе с преступлениями и терроризмом, судебное решение полностью отражает стратегию американских властей, ранее также наложивших санкции на поставщика.
В целом, можно констатировать, что назначенные судом суммы возмещения могут серьезно подорвать экономику NSO Group и наступательные возможности разрабатываемого софта.
Но будем, опять же, посмотреть.
Кайра бөлүшүлгөн:
Social Engineering
07.05.202511:20
🔊 Акустические атаки.
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
07.05.202509:50
CISA предупреждает о том, что злоумышленники активно используют недавнюю критическую уязвимость в низкоуровневом конструкторе ИИ Langflow в неконтролируемых масштабах.
Langflow - это основанный на Python, независимый от LLM конструктор искусственного интеллекта, представляющий собой настраиваемую визуальную среду, которая поддерживает разработку многоагентных и поисковых приложений дополненной генерации (RAG).
Инструмент, имеющий почти 60 тыс. звезд и 6,3 тыс. форков на GitHub, используется разработчиками ИИ, исследователями и стартапами для создания прототипов чат-ботов, конвейеров данных, систем агентов и приложений ИИ.
Отслеживаемая как CVE-2025-3248 (CVSS 9,8) и раскрытая в начале апреля ошибка описывается как проблема внедрения кода в конечную точку проверки кода, устранена в версии Langflow 1.3.0.
Удаленный и неаутентифицированный злоумышленник может отправлять специально созданные HTTP-запросы для выполнения произвольного кода.
9 апреля Horizon3.ai опубликовала технические подробности об уязвимости, предупредив, что PoC, нацеленный на нее, уже выпущен и его можно использовать для получения полного контроля над уязвимыми серверами.
После публикации отчета Horizon3.ai и появления PoC исследователи SANS заметили всплеск обращений к уязвимой конечной точке Langflow.
Уязвимый код присутствует в самых ранних версиях Langflow, выпущенных два года назад. Проведенное исследователями тестирование показало, что большинство версий до 1.3.0, если не все, подвержены эксплуатации.
Причем Horizon3.ai отмечает, что смогла обнаружить несколько путей эксплуатации ошибки для удаленного выполнения кода.
При этом исправление в версии 1.3.0 добавило требование аутентификации, но не полностью устранило уязвимость. Ограничение сетевого доступа к фреймворку должно устранить риск эксплуатации.
Технически эта уязвимость все еще может быть использована для повышения привилегий от обычного пользователя до суперпользователя Langflow, но это уже возможно и без этой уязвимости.
Исследователи обращают внимание также на то, что не совсем понятно, зачем Langflow разделяет суперпользователей от обычных пользователей, если все обычные пользователи по умолчанию могут выполнять код на сервере.
Результаты сканирования Censys указывают на существование около 460 хостов Langflow, доступных через интернет. Однако неясно, сколько из них уязвимы.
CISA не предоставила никаких конкретных подробностей о наблюдаемой активности по эксплуатации и заявила, что в настоящее время неизвестно, используют ли уязвимость банды вымогателей.
Но будем посмотреть.
Langflow - это основанный на Python, независимый от LLM конструктор искусственного интеллекта, представляющий собой настраиваемую визуальную среду, которая поддерживает разработку многоагентных и поисковых приложений дополненной генерации (RAG).
Инструмент, имеющий почти 60 тыс. звезд и 6,3 тыс. форков на GitHub, используется разработчиками ИИ, исследователями и стартапами для создания прототипов чат-ботов, конвейеров данных, систем агентов и приложений ИИ.
Отслеживаемая как CVE-2025-3248 (CVSS 9,8) и раскрытая в начале апреля ошибка описывается как проблема внедрения кода в конечную точку проверки кода, устранена в версии Langflow 1.3.0.
Удаленный и неаутентифицированный злоумышленник может отправлять специально созданные HTTP-запросы для выполнения произвольного кода.
9 апреля Horizon3.ai опубликовала технические подробности об уязвимости, предупредив, что PoC, нацеленный на нее, уже выпущен и его можно использовать для получения полного контроля над уязвимыми серверами.
После публикации отчета Horizon3.ai и появления PoC исследователи SANS заметили всплеск обращений к уязвимой конечной точке Langflow.
Уязвимый код присутствует в самых ранних версиях Langflow, выпущенных два года назад. Проведенное исследователями тестирование показало, что большинство версий до 1.3.0, если не все, подвержены эксплуатации.
Причем Horizon3.ai отмечает, что смогла обнаружить несколько путей эксплуатации ошибки для удаленного выполнения кода.
При этом исправление в версии 1.3.0 добавило требование аутентификации, но не полностью устранило уязвимость. Ограничение сетевого доступа к фреймворку должно устранить риск эксплуатации.
Технически эта уязвимость все еще может быть использована для повышения привилегий от обычного пользователя до суперпользователя Langflow, но это уже возможно и без этой уязвимости.
Исследователи обращают внимание также на то, что не совсем понятно, зачем Langflow разделяет суперпользователей от обычных пользователей, если все обычные пользователи по умолчанию могут выполнять код на сервере.
Результаты сканирования Censys указывают на существование около 460 хостов Langflow, доступных через интернет. Однако неясно, сколько из них уязвимы.
CISA не предоставила никаких конкретных подробностей о наблюдаемой активности по эксплуатации и заявила, что в настоящее время неизвестно, используют ли уязвимость банды вымогателей.
Но будем посмотреть.
06.05.202515:30
Исследователи из Лаборатории Касперского в своем новом отчете поделились разбором реального инцидента в Бразилии, связанного с относительно простой, но крайне эффективной угрозой, нацеленной на Linux-системы.
Outlaw (также известный как Dota) - это ботнет для криптомайнинга, написанный на Perl.
Как правило, он заражает системы, где используются слабые или стандартные учетные данные SSH.
Ранее полученные с помощью ловушек образцы Outlaw также описывались в исследованиях ([1], [2]).
В своем отчете ЛК подробно изучили основные TTPs, а также проанализировали данные телеметрии по странам, которые привлекли наибольшее внимание операторов Outlaw.
Как отмечают исследователи, сосредоточив внимание на слабых или стандартных SSH-учетных данных, Outlaw продолжает улучшать и расширять свой инструментарий для платформы Linux.
Задействуются различные методы обхода защиты, включая сокрытие файлов и папок, обфускацию кода, а также скомпрометированные SSH-ключи, чтобы как можно дольше сохранять свое присутствие.
Жертвы Outlaw в основном находятся в США, однако также есть пострадавшие в Германии, Италии, Таиланде, Сингапуре, Тайване, Канаде и Бразилии.
Причем группа приостановила операции с декабря 2024 года по февраль 2025 года, а в марте 2025 года произошел резкий скачок числа жертв.
IRC-клиент ботнета действует как бэкдор в скомпрометированной системе и поддерживает широкий спектр вредоносных операций, включая выполнение команд, DDoS-атаки, сканирование портов, загрузку и выгрузку файлов через HTTP.
Также операторы эксплуатируют вычислительные ресурсы зараженных систем для добычи крипты с помощью специальной версии майнера XMRig.
Он работает в фоновом режиме, сильно нагружая процессор, подключается к нескольким майнинговым пулам, один из которых доступен через Tor.
Чтобы значительно снизить риск заражения, системным администраторам рекомендуется принимать проактивные меры для защиты своих серверов. Для этого нужно уделить внимание правильной конфигурации сервера и поддерживать службы в актуальном состоянии.
Технические подробности расследования, широкий перечень рекомендаций по защите и индикаторы компрометации - в отчете.
Outlaw (также известный как Dota) - это ботнет для криптомайнинга, написанный на Perl.
Как правило, он заражает системы, где используются слабые или стандартные учетные данные SSH.
Ранее полученные с помощью ловушек образцы Outlaw также описывались в исследованиях ([1], [2]).
В своем отчете ЛК подробно изучили основные TTPs, а также проанализировали данные телеметрии по странам, которые привлекли наибольшее внимание операторов Outlaw.
Как отмечают исследователи, сосредоточив внимание на слабых или стандартных SSH-учетных данных, Outlaw продолжает улучшать и расширять свой инструментарий для платформы Linux.
Задействуются различные методы обхода защиты, включая сокрытие файлов и папок, обфускацию кода, а также скомпрометированные SSH-ключи, чтобы как можно дольше сохранять свое присутствие.
Жертвы Outlaw в основном находятся в США, однако также есть пострадавшие в Германии, Италии, Таиланде, Сингапуре, Тайване, Канаде и Бразилии.
Причем группа приостановила операции с декабря 2024 года по февраль 2025 года, а в марте 2025 года произошел резкий скачок числа жертв.
IRC-клиент ботнета действует как бэкдор в скомпрометированной системе и поддерживает широкий спектр вредоносных операций, включая выполнение команд, DDoS-атаки, сканирование портов, загрузку и выгрузку файлов через HTTP.
Также операторы эксплуатируют вычислительные ресурсы зараженных систем для добычи крипты с помощью специальной версии майнера XMRig.
Он работает в фоновом режиме, сильно нагружая процессор, подключается к нескольким майнинговым пулам, один из которых доступен через Tor.
Чтобы значительно снизить риск заражения, системным администраторам рекомендуется принимать проактивные меры для защиты своих серверов. Для этого нужно уделить внимание правильной конфигурации сервера и поддерживать службы в актуальном состоянии.
Технические подробности расследования, широкий перечень рекомендаций по защите и индикаторы компрометации - в отчете.
06.05.202513:30
Google выкатила ежемесячные обновления безопасности для Android с исправлениями 46 уязвимостей, включая одну, которая, по данным поставщика, была использована в реальных целях.
CVE-2025-27363 имеет оценку CVSS: 8,1, затрагивает компонент System и может привести к локальному выполнению кода без необходимости получения дополнительных привилегий на выполнение.
Для эксплуатации не требуется взаимодействия с пользователем.
Уязвимость связана с библиотекой рендеринга шрифтов FreeType с открытым исходным кодом.
Впервые о проблеме сообщила Meta (признана в РФ экстремистской) в марте 2025 года, когда ее эксплуатировали в дикой природе.
Недостаток был описан как ошибка записи за пределами границ, которая могла привести к выполнению кода при разборе файлов TrueType GX и переменных шрифтов. Проблема была устранена в версиях FreeType выше 2.13.0.
Как отмечают в Google, были выявлены признаки того, что CVE-2025-27363 может подвергаться ограниченной целенаправленной эксплуатации, однако точные характеристики и обстоятельства атак в настоящее время неизвестны.
Майское обновление Google также устраняет восемь других уязвимостей в системе Android и 15 уязвимостей в модуле Framework, которые могут быть использованы для повышения привилегий, раскрытия информации и DoS.
Несмотря на то, что эксплуатация многих проблем в Android затрудняется улучшениями в новых версиях платформы, Google призывает всех пользователей скорее обновиться до последней версии.
CVE-2025-27363 имеет оценку CVSS: 8,1, затрагивает компонент System и может привести к локальному выполнению кода без необходимости получения дополнительных привилегий на выполнение.
Для эксплуатации не требуется взаимодействия с пользователем.
Уязвимость связана с библиотекой рендеринга шрифтов FreeType с открытым исходным кодом.
Впервые о проблеме сообщила Meta (признана в РФ экстремистской) в марте 2025 года, когда ее эксплуатировали в дикой природе.
Недостаток был описан как ошибка записи за пределами границ, которая могла привести к выполнению кода при разборе файлов TrueType GX и переменных шрифтов. Проблема была устранена в версиях FreeType выше 2.13.0.
Как отмечают в Google, были выявлены признаки того, что CVE-2025-27363 может подвергаться ограниченной целенаправленной эксплуатации, однако точные характеристики и обстоятельства атак в настоящее время неизвестны.
Майское обновление Google также устраняет восемь других уязвимостей в системе Android и 15 уязвимостей в модуле Framework, которые могут быть использованы для повышения привилегий, раскрытия информации и DoS.
Несмотря на то, что эксплуатация многих проблем в Android затрудняется улучшениями в новых версиях платформы, Google призывает всех пользователей скорее обновиться до последней версии.
06.05.202511:40
Исследователи из F6 продолжают отслеживать хакерскую активность, на этот под прицелом оказались Core Werewolf (отчет) и Hive0117 (отчет).
Первая имя них практикует кибершпионаж и нацелена на организации, связанные с ОПК, объекты КИИ.
Впервые в поле зрения попала еще в августе 2021 года и задействует ПО UltraVNC и MeshCentral.
2 мая в общедоступную онлайн-песочницу был загружен .eml-файл.
Электронное письмо было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение - защищенный паролем архив с именем Списки_на_нагр.7z, который F6 отнесли к арсеналу группы Core Werewolf.
Внутри архива находился 7z-архив с exe-шником под видом наградных списков.
Запуск файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа, запуску CMD-скрипта и в результате - активации на устройстве жертвы UltraVNC.
Ранее 17 апреля F6 обнаружили еще один вредоносный исполняемый файл - undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf.
PDF-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации.
Помимо него, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с exception.bat и divine.bat.
В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.
В свою очередь, Hive0117 засветилась в ходе реализации масштабной фишинговой кампании с использованием DarkWatchman.
29 апреля специалисты F6 задетектили активность группировки, нацеленную на российские компании с сфере медиа, туризма, финансов и страхования, производства, ритейла, энергетики, телекома, транспорта, биотехнологий.
Hive0117 - это финансово-мотивированная группировка, проводит атаки с февраля 2022 года с использованием DarkWatchman.
Как правило, рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
Основные цели - в России, Беларуси, Литве, Эстонии, Казахстане.
Новая массовая рассылка писем с темой «Документы от 29.04.2025» исходила с адреса manager@alliance-s[.]ru на 550+ адресов.
Внутри располагалось вложение в виде защищенного паролем архива, распространяемого под именами «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» и «Документация от 29.04.2025.rar».
Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.
Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные, что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году.
Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru - «Акт сверки №114-23 от 29.09.2023[.]zip».
Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.
Первая имя них практикует кибершпионаж и нацелена на организации, связанные с ОПК, объекты КИИ.
Впервые в поле зрения попала еще в августе 2021 года и задействует ПО UltraVNC и MeshCentral.
2 мая в общедоступную онлайн-песочницу был загружен .eml-файл.
Электронное письмо было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение - защищенный паролем архив с именем Списки_на_нагр.7z, который F6 отнесли к арсеналу группы Core Werewolf.
Внутри архива находился 7z-архив с exe-шником под видом наградных списков.
Запуск файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа, запуску CMD-скрипта и в результате - активации на устройстве жертвы UltraVNC.
Ранее 17 апреля F6 обнаружили еще один вредоносный исполняемый файл - undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf.
PDF-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации.
Помимо него, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с exception.bat и divine.bat.
В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.
В свою очередь, Hive0117 засветилась в ходе реализации масштабной фишинговой кампании с использованием DarkWatchman.
29 апреля специалисты F6 задетектили активность группировки, нацеленную на российские компании с сфере медиа, туризма, финансов и страхования, производства, ритейла, энергетики, телекома, транспорта, биотехнологий.
Hive0117 - это финансово-мотивированная группировка, проводит атаки с февраля 2022 года с использованием DarkWatchman.
Как правило, рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
Основные цели - в России, Беларуси, Литве, Эстонии, Казахстане.
Новая массовая рассылка писем с темой «Документы от 29.04.2025» исходила с адреса manager@alliance-s[.]ru на 550+ адресов.
Внутри располагалось вложение в виде защищенного паролем архива, распространяемого под именами «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» и «Документация от 29.04.2025.rar».
Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.
Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные, что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году.
Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru - «Акт сверки №114-23 от 29.09.2023[.]zip».
Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.
06.05.202509:41
Исследователи из команды реагирования на инциденты Stroz Friedberg из Aon раскрыли новый метод обхода EDR под условным наименованием Bring Your Own Installer, который задействуется в атаках с использованием ransomware Babuk.
В основе метода лежит брешь в процессе обновления агента, которая позволяет злоумышленникам завершить работу агентов EDR, оставляя устройства незащищенными.
Атака была обнаружена в ходе расследования инцидента у одного из клиентов с решением SentinelOne, который в начале этого года подвергся атаке с целью программ-вымогателей.
В реализации замеченного метода не используются сторонние инструменты или драйверы, как обычно это бывает при обходе EDR, вместо этого использовался сам установщик SentinelOne.
Исследователи пояснили, что SentinelOne защищает своего агента EDR с помощью функции защиты от несанкционированного доступа, которая требует ручного действия в консоли управления SentinelOne или уникального кода для удаления агента.
Однако, как и многие другие установщики ПО, при установке другой версии агента установщик SentinelOne завершает все связанные процессы Windows непосредственно перед тем, как существующие файлы будут перезаписаны новой версией.
Злоумышленники смогли воспользоваться этим небольшим окном, запустив легитимный установщик SentinelOne, а затем принудительно прервав процесс установки после того, как он завершит работу служб запущенного агента, оставив устройства незащищенными.
В рамках расследования атаки на сеть клиента Aon проанализировали журналы и выяснили, что злоумышленники получили административный доступ к сети клиента через уязвимость.
Затем злоумышленники использовали этот новый обходной путь, завершив msiexec.exe процесс SentinelOne Windows Installer (" ") до того, как он смог установить и запустить новую версию агента. После отключения защиты злоумышленники смогли развернуть программу-вымогатель.
При этом злоумышленники могут использовать новые или старые версии агента для проведения этой атаки, поэтому даже если на устройствах запущена последняя версия, они все равно уязвимы.
Aon ответственно уведомили об этой атаке SentinelOne, которая в частном порядке поделилась с клиентами способами ее устранения в январе 2025 года.
Для смягчения последствий необходимо включить функцию «онлайн-авторизация» в настройках политики Sentinel. Если эта функция включена, перед локальными обновлениями, понижениями или удалениями агента требуется одобрение консоли управления SentinelOne.
В свою очередь, SentinelOne также поделилась рекомендациями исследователей относительно новой техники со всеми другими крупными поставщиками EDR.
В основе метода лежит брешь в процессе обновления агента, которая позволяет злоумышленникам завершить работу агентов EDR, оставляя устройства незащищенными.
Атака была обнаружена в ходе расследования инцидента у одного из клиентов с решением SentinelOne, который в начале этого года подвергся атаке с целью программ-вымогателей.
В реализации замеченного метода не используются сторонние инструменты или драйверы, как обычно это бывает при обходе EDR, вместо этого использовался сам установщик SentinelOne.
Исследователи пояснили, что SentinelOne защищает своего агента EDR с помощью функции защиты от несанкционированного доступа, которая требует ручного действия в консоли управления SentinelOne или уникального кода для удаления агента.
Однако, как и многие другие установщики ПО, при установке другой версии агента установщик SentinelOne завершает все связанные процессы Windows непосредственно перед тем, как существующие файлы будут перезаписаны новой версией.
Злоумышленники смогли воспользоваться этим небольшим окном, запустив легитимный установщик SentinelOne, а затем принудительно прервав процесс установки после того, как он завершит работу служб запущенного агента, оставив устройства незащищенными.
В рамках расследования атаки на сеть клиента Aon проанализировали журналы и выяснили, что злоумышленники получили административный доступ к сети клиента через уязвимость.
Затем злоумышленники использовали этот новый обходной путь, завершив msiexec.exe процесс SentinelOne Windows Installer (" ") до того, как он смог установить и запустить новую версию агента. После отключения защиты злоумышленники смогли развернуть программу-вымогатель.
При этом злоумышленники могут использовать новые или старые версии агента для проведения этой атаки, поэтому даже если на устройствах запущена последняя версия, они все равно уязвимы.
Aon ответственно уведомили об этой атаке SentinelOne, которая в частном порядке поделилась с клиентами способами ее устранения в январе 2025 года.
Для смягчения последствий необходимо включить функцию «онлайн-авторизация» в настройках политики Sentinel. Если эта функция включена, перед локальными обновлениями, понижениями или удалениями агента требуется одобрение консоли управления SentinelOne.
В свою очередь, SentinelOne также поделилась рекомендациями исследователей относительно новой техники со всеми другими крупными поставщиками EDR.
05.05.202518:02
Исследователь Чжинян Пэн опубликовал PoC и подробности для ошибки DoS до аутентификации в удаленных службах на основе UDP, в том числе службе развертывания Windows (WDS) в качестве примера.
WDS широко применяется в корпоративных средах и весьма демонстративно иллюстрирует, как удаленный DoS в подобном случае может позволить злоумышленнику вывести из строя сеть WDS без аутентификации (preauth) или взаимодействия с пользователем (0-click).
WDS реализует роль сервера Microsoft, позволяя выполнять оптимизированное и безопасное сетевое развертывание ОС Windows (например, Windows 10/11, Windows Server) на нескольких компьютерах без физических носителей.
Служба развертывания Windows предоставляет удаленному пользователю простую службу FTP для загрузки некоторых ресурсов.
Каждый раз, когда пользователь отправляет пакет в службу FTP через порт 69, служба создает объект CTftpSession для управления сеансом и переключает на EndpointSessionMapEntry.
Основная проблема заключается в том, что EndpointSessionMapEntry не накладывает ограничений на количество сеансов.
Следовательно, злоумышленник может подделывать поддельные клиентские IP-адреса и номера портов, многократно создавая новые сеансы до тех пор, пока системные ресурсы не будут исчерпаны.
Фактически обнаруженная ошибка позволяет неаутентифицированным злоумышленникам вызывать сбой систем Windows с помощью некорректных FTP-запросов.
В тестовой среде при достижении показателя использования памяти достигало в 15 ГБ система выходила из строя, что приводило к DoS.
Весь процесс занял всего лишь 7 минут, при этом многопоточность могла значительно ускорить атаку.
Теперь самое интересное: после уведомления об ошибке 8 февраля Microsoft спустя месяц подтвердила проблему, но оперативно уже 8 марта поменяла регламент вознаграждения за Preauth DOS.
23 апреля Microsoft посчитала эту ошибку умеренной и не соответствующей стандартам безопасности, прекратив дальнейшие коммуникации, после чего исследователь решил обнародовать свои результаты.
WDS широко применяется в корпоративных средах и весьма демонстративно иллюстрирует, как удаленный DoS в подобном случае может позволить злоумышленнику вывести из строя сеть WDS без аутентификации (preauth) или взаимодействия с пользователем (0-click).
WDS реализует роль сервера Microsoft, позволяя выполнять оптимизированное и безопасное сетевое развертывание ОС Windows (например, Windows 10/11, Windows Server) на нескольких компьютерах без физических носителей.
Служба развертывания Windows предоставляет удаленному пользователю простую службу FTP для загрузки некоторых ресурсов.
Каждый раз, когда пользователь отправляет пакет в службу FTP через порт 69, служба создает объект CTftpSession для управления сеансом и переключает на EndpointSessionMapEntry.
Основная проблема заключается в том, что EndpointSessionMapEntry не накладывает ограничений на количество сеансов.
Следовательно, злоумышленник может подделывать поддельные клиентские IP-адреса и номера портов, многократно создавая новые сеансы до тех пор, пока системные ресурсы не будут исчерпаны.
Фактически обнаруженная ошибка позволяет неаутентифицированным злоумышленникам вызывать сбой систем Windows с помощью некорректных FTP-запросов.
В тестовой среде при достижении показателя использования памяти достигало в 15 ГБ система выходила из строя, что приводило к DoS.
Весь процесс занял всего лишь 7 минут, при этом многопоточность могла значительно ускорить атаку.
Теперь самое интересное: после уведомления об ошибке 8 февраля Microsoft спустя месяц подтвердила проблему, но оперативно уже 8 марта поменяла регламент вознаграждения за Preauth DOS.
23 апреля Microsoft посчитала эту ошибку умеренной и не соответствующей стандартам безопасности, прекратив дальнейшие коммуникации, после чего исследователь решил обнародовать свои результаты.
05.05.202517:00
Исследователи Socket обнаружили три вредоносных модуля Go, которые включают в себя запутанный код для извлечения полезных нагрузок следующего этапа, способные безвозвратно перезаписать основной системный диск Linux.
Среди найденных репозиториев: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy.
Как отмечают исследователи, несмотря на то, что эти модули выглядели легитимными, они содержали сильно запутанный код, предназначенный для извлечения и выполнения удаленных полезных нагрузок.
Пакеты разработаны для проверки относимости ОС к Linux и дальнейшего извлечения полезной нагрузки следующего этапа с удаленного сервера с помощью wget.
Последняя представляет собой разрушительный скрипт оболочки, который перезаписывает весь основной диск (/dev/sda) нулями, фактически предотвращая загрузку машины.
Причем применяемый метод гарантирует, что ни один инструмент восстановления или криминалистическая экспертиза не позволит восстановить данные, поскольку напрямую и необратимо перезаписывает их.
Вредоносный скрипт полностью парализует работу целевых серверов Linux или сред разработки, подчеркивая чрезвычайную опасность современных атак на цепочки поставок, которые могут превратить, казалось бы, надежный код в разрушительную угрозу.
Среди найденных репозиториев: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy.
Как отмечают исследователи, несмотря на то, что эти модули выглядели легитимными, они содержали сильно запутанный код, предназначенный для извлечения и выполнения удаленных полезных нагрузок.
Пакеты разработаны для проверки относимости ОС к Linux и дальнейшего извлечения полезной нагрузки следующего этапа с удаленного сервера с помощью wget.
Последняя представляет собой разрушительный скрипт оболочки, который перезаписывает весь основной диск (/dev/sda) нулями, фактически предотвращая загрузку машины.
Причем применяемый метод гарантирует, что ни один инструмент восстановления или криминалистическая экспертиза не позволит восстановить данные, поскольку напрямую и необратимо перезаписывает их.
Вредоносный скрипт полностью парализует работу целевых серверов Linux или сред разработки, подчеркивая чрезвычайную опасность современных атак на цепочки поставок, которые могут превратить, казалось бы, надежный код в разрушительную угрозу.
05.05.202515:48
FGIR Fortinet сообщают о долгосрочной кампании иранской APT, нацеленной на критически важную национальную инфраструктуру на Ближнем Востоке.
Выявленная активность продолжалась как минимум с мая 2023 года по февраль 2025 года и включала в себя масштабные шпионские операции, реализуемые с сохранением постоянного доступа к сети жертв.
Fortinet приписала атаку Lemon Sandstorm (ранее Rubidium), которая также отслеживается как Parisite, Pioneer Kitten и UNC757.
APT активна с 2017 года и фокусируется на аэрокосмической, нефтегазовой, водной и электроэнергетической сферах в США, на Ближнем Востоке, в Европе и Австралии.
По данным Dragos, злоумышленник использует известные уязвимости безопасности VPN в Fortinet, Pulse Secure и Palo Alto Networks для получения первоначального доступа.
В прошлом году американские спецслужбы обвиняли Lemon Sandstorm в развертывании программ-вымогателей в сетях компаний из США, Израиля, Азербайджана и ОАЭ.
Наблюдаемая Fortinet атака в отношении организации CNI осуществлялась в четыре этапа с использованием постоянно меняющегося арсенала инструментов по мере того, как жертва принимала контрмеры.
15 мая 2023 – 29 апреля 2024: создан плацдарм с использованием украденных учетных данных для доступа к системе SSL VPN жертвы, размещены веб-оболочки на общедоступных серверах и развернуты бэкдоры Havoc, HanifNet и HXLibrary для обеспечения долгосрочного доступа.
30 апреля 2024 – 22 ноября 2024: укрепление позиций путем внедрения дополнительных веб-оболочек и бэкдора NeoExpressRAT с задействованием инструментов plink и Ngrok для более глубокого проникновения в сеть, выполнения целенаправленной эксфильтрации электронных писем жертвы и осуществления горизонтального перемещения в инфраструктуре виртуализации.
23 ноября 2024 – 13 декабря 2024: развертывание новых веб-оболочек и двух дополнительных бэкдоров MeshCentral Agent и SystemBC в ответ на предпринимаемые меры по локализации инцидента со стороны жертвы.
14 декабря 2024 – по настоящее время: попытки повторного проникновения в сеть с использованием уязвимостей Biotime (CVE-2023-38950, CVE-2023-38951 и CVE-2023-38952) и фишинговых атак на 11 сотрудников с целью сбора учетных данных Microsoft 365.
Среди других семейств вредоносных ПО и инструментов с открытым исходным кодом, которые использовались в атаке: HanifNet, HXLibrary, CredInterceptor, RemoteInjector, RecShell, NeoExpressRAT, DropShell, DarkLoadLibrary.
Атрибуция базируется на анализе инфраструктуры C2 (apps.gist.githubapp[.]net и gupdate[.]net), которая ранее была отмечена как связанная с операциями APT, проводившимися в тот же период.
Fortinet полагает, что ключевой целью атаки была ограниченная OT-сеть жертвы, судя по характеру разведдеятельности субъекта угрозы и взломе соседних с OT систем.
При этом доказательств того, что противник проник в сеть OT, получено не было.
Большая часть вредоносной активности включала ручные операции, выполняемые разными операторами, учитывая ошибки команд и регулярный график работ.
Кроме того, более глубокое изучение инцидента показало, что злоумышленник мог иметь доступ к сети еще 15 мая 2021 года.
В ходе вторжения злоумышленник использовал цепочку прокси и пользовательские импланты, чтобы обойти сегментацию сети и перемещаться в пределах среды.
На более поздних этапах хакеры последовательно объединяли четыре различных инструмента прокси для доступа к внутренним сегментам сети, демонстрируя сложный подход к поддержанию устойчивости и уклонению от обнаружения.
Выявленная активность продолжалась как минимум с мая 2023 года по февраль 2025 года и включала в себя масштабные шпионские операции, реализуемые с сохранением постоянного доступа к сети жертв.
Fortinet приписала атаку Lemon Sandstorm (ранее Rubidium), которая также отслеживается как Parisite, Pioneer Kitten и UNC757.
APT активна с 2017 года и фокусируется на аэрокосмической, нефтегазовой, водной и электроэнергетической сферах в США, на Ближнем Востоке, в Европе и Австралии.
По данным Dragos, злоумышленник использует известные уязвимости безопасности VPN в Fortinet, Pulse Secure и Palo Alto Networks для получения первоначального доступа.
В прошлом году американские спецслужбы обвиняли Lemon Sandstorm в развертывании программ-вымогателей в сетях компаний из США, Израиля, Азербайджана и ОАЭ.
Наблюдаемая Fortinet атака в отношении организации CNI осуществлялась в четыре этапа с использованием постоянно меняющегося арсенала инструментов по мере того, как жертва принимала контрмеры.
15 мая 2023 – 29 апреля 2024: создан плацдарм с использованием украденных учетных данных для доступа к системе SSL VPN жертвы, размещены веб-оболочки на общедоступных серверах и развернуты бэкдоры Havoc, HanifNet и HXLibrary для обеспечения долгосрочного доступа.
30 апреля 2024 – 22 ноября 2024: укрепление позиций путем внедрения дополнительных веб-оболочек и бэкдора NeoExpressRAT с задействованием инструментов plink и Ngrok для более глубокого проникновения в сеть, выполнения целенаправленной эксфильтрации электронных писем жертвы и осуществления горизонтального перемещения в инфраструктуре виртуализации.
23 ноября 2024 – 13 декабря 2024: развертывание новых веб-оболочек и двух дополнительных бэкдоров MeshCentral Agent и SystemBC в ответ на предпринимаемые меры по локализации инцидента со стороны жертвы.
14 декабря 2024 – по настоящее время: попытки повторного проникновения в сеть с использованием уязвимостей Biotime (CVE-2023-38950, CVE-2023-38951 и CVE-2023-38952) и фишинговых атак на 11 сотрудников с целью сбора учетных данных Microsoft 365.
Среди других семейств вредоносных ПО и инструментов с открытым исходным кодом, которые использовались в атаке: HanifNet, HXLibrary, CredInterceptor, RemoteInjector, RecShell, NeoExpressRAT, DropShell, DarkLoadLibrary.
Атрибуция базируется на анализе инфраструктуры C2 (apps.gist.githubapp[.]net и gupdate[.]net), которая ранее была отмечена как связанная с операциями APT, проводившимися в тот же период.
Fortinet полагает, что ключевой целью атаки была ограниченная OT-сеть жертвы, судя по характеру разведдеятельности субъекта угрозы и взломе соседних с OT систем.
При этом доказательств того, что противник проник в сеть OT, получено не было.
Большая часть вредоносной активности включала ручные операции, выполняемые разными операторами, учитывая ошибки команд и регулярный график работ.
Кроме того, более глубокое изучение инцидента показало, что злоумышленник мог иметь доступ к сети еще 15 мая 2021 года.
В ходе вторжения злоумышленник использовал цепочку прокси и пользовательские импланты, чтобы обойти сегментацию сети и перемещаться в пределах среды.
На более поздних этапах хакеры последовательно объединяли четыре различных инструмента прокси для доступа к внутренним сегментам сети, демонстрируя сложный подход к поддержанию устойчивости и уклонению от обнаружения.
05.05.202514:17
Хакеры активировали секретные бэкдоры, которые им удалось внедрить еще шесть лет назад в плагины Magento, что позволило взломать почти 1000 Интернет-магазинов.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
Рекорддор
06.05.202523:59
40.3KКатталгандар05.04.202523:59
200Цитация индекси20.03.202503:27
32.7K1 посттун көрүүлөрү08.05.202518:07
6.3K1 жарнама посттун көрүүлөрү16.01.202523:59
1.93%ER19.03.202518:21
81.52%ERRӨнүгүү
Катталуучулар
Citation индекси
Бир посттун көрүүсү
Жарнамалык посттун көрүүсү
ER
ERR
29.04.202519:20
Когда решили импортозаместить IT-инфраструктуру
Кайра бөлүшүлгөн:Social Engineering
30.04.202515:00
👾 Уязвимости online.
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
Кайра бөлүшүлгөн:
Russian OSINT
24.04.202511:33
🛑 Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch
ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.
На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.
✋ @Russian_OSINT
ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.
На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.
✋ @Russian_OSINT
Кайра бөлүшүлгөн:Russian OSINT
05.05.202511:11
🇺🇸 Бывший сотрудник АНБ: ИИ вскоре будет мастерски разрабатывать🎩сложнейшие эксплойты
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
24.04.202519:30
Ответственные органы бьются за информационную безопасность (иногда друг с другом)
30.04.202520:15
Каждый раз, когда ИБ засылает тестовый фишинг сотрудникам после их обучения
Кайра бөлүшүлгөн:Social Engineering
07.05.202511:20
🔊 Акустические атаки.
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
Көбүрөөк функцияларды ачуу үчүн кириңиз.
