Новости информационной безопасности

Введение Sudo — это консольная утилита, установленная на Linux-системах, позволяющая разрешённым пользователям выполнять команды от имени суперпользователя (root) или другого пользователя, согласно политике безопасности. Она широко применяется для реализации модели минимально необходимых привилегий, позволяя делегировать задачи, требующие повышенных прав, без разглашения пароля root, а также создаёт журнал действий в системном логе. Команда Stratascale Cyber Research Unit (CRU) обнаружила две локальные уязвимости повышения привилегий в Sudo. Эти уязвимости могут привести к получению прав root на затронутой системе. Исследование фокусировалось на редко используемых опциях командной строки. В этой публикации рассматривается, как опция...

Операция Hunters International, предоставлявшая услуги программ-вымогателей как сервис (Ransomware-as-a-Service, RaaS), объявила сегодня о полном закрытии своей деятельности и предложила бесплатные дешифраторы для помощи жертвам в восстановлении данных без выплаты выкупа. Группировка также удалила все записи с портала вымогательства и сообщила, что компании, чьи системы были зашифрованы в результате атак Hunters International, могут запросить инструменты дешифрования и инструкции по восстановлению через их официальный сайт. Хотя в заявлении не уточняется, какие именно "последние события" стали причиной закрытия, оно прозвучало вскоре после публикации от 17 ноября, где говорилось о планах завершить работу из-за усиления внимания...

Стабильный канал Chrome обновлён до версий 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для Mac и 138.0.7204.96 для Linux. Распространение обновлений ожидается в течение ближайших дней или недель. Полный список изменений доступен в журнале сборки (Log). Исправления безопасности и вознаграждения Обратите внимание: доступ к деталям уязвимостей и связанным ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не установит обновление. Ограничения также сохраняются, если уязвимость присутствует в сторонней библиотеке, от которой зависят и другие проекты, но которая ещё не исправлена. В этом обновлении содержится одно исправление безопасности. Ниже выделены исправления, внесённые внешними исследователями...

Скандальные sextortion-письма, начинающиеся с фразы “Hello pervert”, снова обновились. В таких письмах злоумышленники утверждают, что наблюдали за вашей онлайн-активностью и имеют компрометирующие видео. Как выглядит подобное письмо Полный текст одного из новых писем: Как работает обман Spoofing отправителя Злоумышленники подменяют адрес отправителя, чтобы выглядело, будто письмо пришло с вашей учетной записи Microsoft. На практике система электронной почты не проверяет реальность отправителя, поэтому это легко реализуется. Ошибки кодировки В исходном тексте встречаются последовательности вроде =D1=96, которые являются результатом неправильной обработки кириллических символов (например, украинской или русской буквы “і”). Это...

Исследователи из ERNW сообщили о трёх уязвимостях в Bluetooth-чипсетах Airoha, которые используются более чем в 29 аудиоустройствах от десяти производителей, включая Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs и Teufel. Под угрозой оказались колонки, наушники, гарнитуры и беспроводные микрофоны. Суть проблем: CVE-2025-20700 (оценка 6.7/10) – отсутствие аутентификации для GATT-сервисов. CVE-2025-20701 (оценка 6.7/10) – отсутствие аутентификации для Bluetooth BR/EDR. CVE-2025-20702 (оценка 7.5/10) – критические возможности кастомного протокола. Для успешной атаки злоумышленнику нужно находиться в зоне действия Bluetooth и обладать высокой технической квалификацией. Исследователи продемонстрировали...

Кибербезопасностная компания ReliaQuest сообщает, что уязвимость CVE-2025-5777, известная как Citrix Bleed 2, вероятно, уже используется в целевых атаках. Об этом свидетельствует рост подозрительных сессий на устройствах Citrix. Что известно об уязвимости Название: Citrix Bleed 2 Тип: Out-of-bounds memory read Описание: Позволяет неаутентифицированным злоумышленникам читать участки памяти, которые обычно недоступны, включая session tokens, учетные данные и другие конфиденциальные данные. Последствия: Перехват пользовательских сессий Обход многофакторной аутентификации (MFA) Хронология 17 июня 2025: Citrix выпустила обновления безопасности для CVE-2025-5777, изначально без подтвержденной эксплуатации. Позже на этой неделе...

Критическая уязвимость CVE-2024-51978 в принтерах Brother и других производителей Всего 689 моделей принтеров Brother и 53 модели Fujifilm, Toshiba и Konica Minolta содержат уязвимость, позволяющую удалённым злоумышленникам сгенерировать дефолтный пароль администратора. Проблема в том, что невозможно полностью устранить эту уязвимость прошивкой на уже выпущенных устройствах. Описание уязвимости CVE-2024-51978 Тип: удалённое определение пароля администратора без аутентификации CVSS: 9.8 (Critical) Причина: алгоритм генерации пароля основан на серийном номере устройства и легко обратим. Как генерируется дефолтный пароль Берутся первые 16 символов серийного номера. Добавляются 8 байт из статической таблицы "salt". Результат хешируется...

Введение В 2025 году на киберпреступном форуме RAMP произошёл инцидент, который может иметь серьёзные последствия для кибербезопасности: исходный код VanHelsing — одного из активных операторов программ-вымогателей — был опубликован в открытый доступ. Утечка включает панели для партнёров, сайт для утечек данных, а также сборщик шифровальщика для Windows. Что такое VanHelsing? VanHelsing — это операция ransomware-as-a-service (RaaS), запущенная в марте 2025 года. Заявленная особенность — возможность атаковать системы на базе Windows, Linux, BSD, ARM и ESXi. По данным Ransomware.live, на текущий момент подтверждено восемь жертв, ставших объектом атак этой группировки. Утечка исходного кода: что произошло? Пользователь под псевдонимом...

Вчера произошла крупная утечка данных, затронувшая около 89 миллионов учетных записей Steam — примерно две трети всех аккаунтов платформы. Изначально считалось, что взлом напрямую коснулся Steam, однако новые данные указывают на компрометацию стороннего сервиса, используемого платформой, — так называемый взлом цепочки поставок. Украденные данные, включающие конфиденциальную информацию пользователей, продаются за сумму, превышающую 5 000 долларов, на сайте, напоминающем Mipped, известный своей сомнительной репутацией. Обновление: Взлом через Twilio Новые данные свидетельствуют, что утечка не связана с прямым взломом серверов или баз данных Steam. Вместо этого целью стал Twilio — сторонний поставщик услуг связи, который Steam использует...

Профильные эксперты по ИБ выяснили, что опция удалённого рабочего стола в Windows по протоколу RDP (Remote Desktop Protocol) позволяет пользователям входить в систему, используя пароли, отозванные ранее системным администратором. Причём разработчиков из Microsoft такая ситуация устраивает, в компании не считают подобное поведение системным багом. Исследователи, наоборот, говорят, что такая ситуация равносильна постоянному бэкдору в корпоративной системе. Смена пароля — один из первых шагов, которые пользователи должны предпринять в случае утечки пароля или взлома учётной записи. Пользователи ожидают, что после того, как они сделают этот шаг, ни одно из устройств, которые полагались на пароль, не будет доступно. Протокол удаленного...

Архив весом 1 МБ превращается в гигабайтную ловушку для сканеров. Программист Ибрагим Диалло ведёт блог, размещённый на собственном небольшом сервере. По его наблюдениям, основную часть трафика составляют автоматические боты, которые сканируют интернет в поисках контента. Большинство из них безвредны, но встречаются и те, что пытаются атаковать сервер, внедряя вредоносный код или проверяя его на уязвимости. В таких случаях Диалло не тратит время на блокировки или жалобы — он сразу подаёт ботам «горячую» zip-бомбу, которая при распаковке увеличивается в тысячу раз и с высокой вероятностью выводит из строя систему атакующего. Zip-бомбы — это крошечные архивы, скрывающие огромный объём данных. Один из известных примеров — архив весом...

Один клик — и ребёнок попадает в цифровую изоляцию. В Китае официально запустили обновлённый режим для несовершеннолетних в мобильном интернете — на фоне растущих тревог по поводу влияния онлайн-контента на детей и подростков. Новый режим стал результатом системной работы, организованной по инициативе Государственного управления по делам киберпространства Китая (CAC), и теперь охватывает как устройства, так и приложения. Обновлённая версия режима для несовершеннолетних преодолела ряд технических барьеров и прошла полную переработку. Система теперь объединяет усилия производителей мобильных устройств, разработчиков ПО и платформ распространения приложений, обеспечивая «трёхстороннюю» синхронизацию. Родителям достаточно нажать на...

Когда речь заходит о защите персональных данных, ЕС часто называют лидером, подающим пример остальному миру. С принятием в 2018 году эпохального GDPR, который считается стандартом защиты персональных данных, такая похвала более чем уместна. Однако в последние годы различные группы в ЕС выдвигают инициативы, которые угрожают подорвать другое фундаментальное цифровое право, тесно переплетённое с защитой персональных данных, — право на неприкосновенность частной жизни. До недавнего времени наибольшую угрозу представляло так называемое предложение о «контроле чатов», которое могло привести к тому, что приложения для обмена сообщениями со сквозным шифрованием будут вынуждены сканировать все фотографии, видео и ссылки, которыми вы делитесь с...

Ivanti, Cisco и PAN — хакеры обошли тех, кто должен был защищать. Количество уязвимостей нулевого дня, которые активно использовались злоумышленниками в 2024 году, составило 75 — этот показатель ниже, чем в 2023 году, когда было зафиксировано 98 случаев, но заметно выше значений 2022 года. Анализ Google Threat Intelligence Group показывает, что, несмотря на общий спад, злоумышленники всё активнее переключаются с привычных целей на сложные корпоративные решения — прежде всего продукты в сфере безопасности и сетевой инфраструктуры. Наибольший сдвиг произошёл в балансе между пользовательскими и корпоративными технологиями. Если ранее злоумышленники в основном атаковали браузеры, мобильные устройства и операционные системы, то теперь...

Он просто подключился к Wi-Fi — и заразил всё здание. Специалисты Oligo Security обнаружили 23 уязвимости в протоколе Apple AirPlay и AirPlay SDK, которые позволяют удалённо захватывать контроль над устройствами Apple и сторонними гаджетами, поддерживающими AirPlay. Вектор атак получил название AirBorne — не только из-за воздушного характера передачи данных, но и из-за того, что уязвимости позволяют запускать «червеобразные» атаки, передающиеся от устройства к устройству без участия пользователя. Самые опасные уязвимости — это Zero-Click и One-Click RCE, которые позволяют выполнять произвольный код на уязвимых устройствах. Некоторые из них могут распространяться без вмешательства пользователя, используя локальную сеть, Wi-Fi или...

Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев. Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным. Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware). M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий...

В индустрии видеоигр разгорается громкий скандал. Один из крупнейших издателей в Европе компания 🇫🇷Ubisoft оказалась в центре разбирательства после того, как активисты noyb подали официальную жалобу в Австрийский орган по защите данных. Поводом стало требование со стороны Ubisoft обязательного подключения к интернету и авторизации в аккаунте Ubisoft даже в играх, лишённых каких-либо сетевых функций. Инцидент привлёк внимание общественности после того, как пользователь попытался запустить Far Cry Primal в оффлайн-режиме и получил отказ в доступе. При дополнительной проверке выяснилось, что за десять минут игры система инициировала около 150 DNS-запросов и передала данные третьим сторонам, в числе которых оказались Google, Amazon и...

Microsoft: Папка «inetpub» в Windows 11 и Windows 10 создаётся по соображениям безопасности — не удаляйте её После апрельского обновления Windows 11 и 10 создаётся пустая папка C:\inetpub, даже если служб IIS не установлен. Microsoft подтвердила, что это связано с исправлением уязвимости CVE-2025-21204 и предупредила: папку удалять нельзя — это часть защиты системы. Компания Microsoft официально подтвердила, что появление новой пустой папки C:\inetpub после установки апрельских обновлений Windows связано с установленным исправлением безопасности. Пользователям рекомендуется не удалять её. Обычно эта папка используется веб-сервером Internet Information Services (IIS), который можно включить через компонент «Компоненты Windows» для...

Индустрия программ-вымогателей продолжает развиваться: банда DragonForce кардинально обновила свою программу RaaS (Ransomware-as-a-Service) и теперь выстраивает структуру, напоминающую картель. Новая модель: аренда инфраструктуры Теперь DragonForce предоставляет другим группировкам доступ к своей инфраструктуре, позволяя запускать собственные RaaS-операции на базе платформы DragonForce, но под другим именем или брендом. Это создаёт дистрибутивную модель партнерского брендинга, в которой «партнёры» могут вести бизнес без затрат на поддержку вредоносной инфраструктуры. Строго бизнес — но с оговорками Представители DragonForce утверждают, что движимы исключительно финансовыми интересами, но при этом якобы следуют моральным принципам и...

Уязвимость настолько проста, что её может использовать даже новичок. Обнаружение серьёзной уязвимости нулевого дня в спутниковых модемах Viasat снова напомнило о хрупкости скрытых компонентов в критических инфраструктурах. Исследователи из компании ONEKEY с помощью автоматизированного статического анализа бинарных файлов выявили опасный баг в моделях RM4100, RM4200, EM4100, RM5110, RM5111, RG1000, RG1100, EG1000 и EG1020. Уязвимость, получившая идентификатор CVE-2024-6198 и оценённая в 7,7 балла по шкале CVSS, затрагивает веб-интерфейс SNORE, работающий через lighttpd на портах TCP 3030 и 9882. Проблема заключается в небезопасной обработке HTTP-запросов в CGI-бинарнике, расположенном в /usr/local/SNORE. Неверная обработка переменных...