7679
Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению.
0️⃣Раскрыты детали атаки на Sitecore через Zero Day
🎯 Злоумышленники атаковали устаревшие установки Sitecore через уязвимость CVE-2025-53690, эксплуатируя демонстрационный ASP.NET-ключ из старой документации. Атака начиналась с обращения к незащищенной странице /sitecore/blocked.aspx, где через механизм ViewState внедрялся вредоносный код.
🧑💻 После проникновения хакеры развернули инструмент WEEPSTEEL для разведки системы и создали скрытых администраторов asp$ и sawadmin. Для постоянного доступа использовался арсенал из EARTHWORM, DWAGENT и SHARPHOUND, а управление осуществлялось через RDP-туннели с маскировкой трафика.
⚠️ Под угрозой находятся Sitecore XP до версии 9.0 и модули Active Directory до версии 1.4 с дефолтными значениями machineKey. Администраторам критически важно заменить стандартные ключи на уникальные и активировать проверку MAC для ViewState во избежание компрометации.
#sitecore #инцидент #viewstate #mandiant
@ZerodayAlert
FreePBX под ударом: нулевой день парализует корпоративную телефонию
☎️ Sangoma срочно латает критическую дыру в FreePBX — с 21 августа хакеры массово взламывают IP-АТС через веб-интерфейс администратора, оставленный открытым в интернет. Проблема затрагивает популярные версии 16 и 17 с установленным модулем Endpoint. Уже есть жертвы с тысячами скомпрометированных номеров, админы в панике восстанавливают системы из бэкапов.
🛠 Временный EDGE-патч решает проблему только наполовину — он защищает от новых атак, но не лечит уже взломанные системы. Пострадавшим рекомендуют полную переустановку, смену всех паролей и тщательную проверку биллинговых записей. А пользователи без действующей поддержки вообще остались за бортом до выхода публичного исправления.
🔍 Самое неприятное — обнаружить взлом непросто. Атакующие прячут следы, создавая скрытые аккаунты и веб-шеллы с невинными именами вроде .clean.sh. Проверить систему можно только по индикаторам компрометации: подозрительные файлы в веб-корне, странные записи в базе данных, необычные вызовы на внутренний номер 9998. Если что-то из этого есть — система уже захвачена.
#freepbx #zeroday #телефония #ip-атс
@ZerodayAlert
0️⃣Активная эксплуатация Zero Day в NetScaler
⚠️ Компания NetScaler экстренно предупредила администраторов о трёх критических уязвимостях в продуктах NetScaler ADC и NetScaler Gateway, одна из которых уже активно эксплуатируется злоумышленниками. Особую опасность представляет CVE-2025-7775 с оценкой CVSS 9.2, для которой зафиксированы реальные атаки на незащищённые устройства в корпоративных сетях.
🧾 Обнаруженные уязвимости затрагивают широкий спектр конфигураций NetScaler, включая шлюзы VPN, балансировщики нагрузки HTTP/SSL и системы управления доступом. Проблемы связаны с переполнением буфера памяти, что может привести к удалённому выполнению кода, отказу в обслуживании и компрометации интерфейса управления устройством.
⚙️ Citrix категорически рекомендует немедленно развернуть обновления до версий 14.1-47.48, 13.1-59.22 и соответствующих FIPS-сборок, поскольку альтернативных методов защиты не существует. Хотя управляемые облачные сервисы производителя уже получили исправления автоматически, все клиентские инсталляции требуют ручного вмешательства администраторов для установки критических исправлений.
#netscaler #citrix #уязвимости #безопасность
@ZerodayAlert
CVE-2025-8088: WinRAR без автообновлений — бомба замедленного действия
🎯 В популярном архиваторе WinRAR обнаружили серьёзную дыру в безопасности, но худшая новость — хакеры уже знали о ней и активно использовали до выхода исправления. Уязвимость CVE-2025-8088 позволяет злоумышленникам создавать коварные архивы, которые при распаковке подкладывают файлы не туда, куда выбрал пользователь, а в автозагрузочные папки Windows. Так вредоносная программа попадает в систему и запускается при каждом включении компьютера.
💣 Группа RomCom уже вовсю использует эту фишку в фишинговых рассылках — присылают письма с "безобидными" RAR-архивами, а внутри сидит эксплойт. Пользователь думает, что распаковывает документы в выбранную папку, а на самом деле вредонос тихо устанавливается в автозагрузку. При следующем включении компьютера — сюрприз, система уже под контролем злоумышленников.
🔧 Проблема усугубляется тем, что WinRAR до сих пор не умеет обновляться автоматически. Миллионы пользователей могут месяцами сидеть на уязвимых версиях, даже не подозревая об угрозе. Если у вас стоит WinRAR старше версии 7.13 — самое время обновиться вручную, пока не стали жертвой вымогателей.
#winrar #cve20258088 #romcom #уязвимость #malware #вредонос
@ZerodayAlert
🪲 Старая брешь, новые возможности для атак
🔍 Исходно описанный в 2022 году Retbleed считался опасным, но управляемым риском. Новая же реализация меняет картину: усовершенствованные методы спекулятивного исполнения позволяют считывать память произвольных процессов с высокой скоростью и точностью. На практике это означает, что атака может быть запущена из среды с минимальными правами — вплоть до браузерной песочницы.
🌐 Для дата-центров и облаков последствия критичны. Виртуальная машина, принадлежащая злоумышленнику, получает возможность читать содержимое памяти хост-системы и других виртуальных машин, минуя любые логические границы. Это подрывает основополагающую модель безопасности, на которой держится многопользовательская инфраструктура.
⚠️ Попытка защититься жёсткими барьерами ветвлений оборачивается колоссальными издержками: падение производительности может достигать 60 %. Для высоконагруженных систем это неприемлемо. История Retbleed показывает, что архитектурные изъяны не исчезают с течением времени, а, напротив, становятся инструментом всё более изощрённых атак.
#retbleed #amd #уязвимость #виртуализация
@ZerodayAlert
SonicWall в осаде: Akira эксплуатирует неизвестную 0-day?
🔍 Группировка Akira в июле развернула настоящую охоту на SSL VPN от SonicWall, и картина выглядит тревожно. Злоумышленники подключаются не через обычных провайдеров, а через хостинг-платформы — хитрый трюк, который маскирует вредоносный трафик под облачную активность.
⚡️ После получения доступа злоумышленники работают по заранее отработанной схеме, которую исследователи отслеживают с октября 2024 года. Сначала полное уничтожение всех резервных копий — без права на восстановление, затем молниеносное шифрование критически важных данных. За год с небольшим хакеры выколотили из жертв более 42 миллионов долларов по данным ФБР.
🎯 Рекомендация Arctic Wolf временно отключить SSL VPN отражает серьёзность ситуации — исследователи фиксируют активные атаки с 15 июля и пока не могут точно определить вектор проникновения. В качестве альтернативных мер предлагается усилить мониторинг через расширенное ведение журналов и блокировку VPN-подключений с хостинговых адресов до выхода патчей.
#zeroday #sonicwall #вымогательство #уязвимость
@ZerodayAlert
📉 Песочница под угрозой: 0day-брешь в Chrome нарушает главный принцип браузерной безопасности
🧱 Технология «песочницы» десятилетиями считалась краеугольным камнем безопасности браузеров. Но CVE-2025-6558 в Chrome нарушает этот принцип: злоумышленник может покинуть изолированную среду, просто подкинув вредоносный фрагмент в графический стек. Это не просто баг — это концептуальный удар по архитектуре безопасности браузера.
⚙️ Проекты вроде ANGLE выступают связующим звеном между веб-контентом и аппаратным обеспечением. И это тонкая прослойка, где одна ошибка — и вы уже не в браузере, а в ядре ОС. Такие уязвимости почти неотличимы от уязвимостей драйверов и при этом легко попадают в цепочки таргетированных атак.
📊 Мы наблюдаем тренд: уязвимости перемещаются ближе к аппаратному уровню, особенно в тех зонах, где разработчики привыкли полагаться на прослойки и абстракции. Защита «на верхах» уже не справляется. Нужно уделять внимание рендер-стекам, архитектуре драйверов и их взаимодействию с браузером как с системой, а не как с приложением.
#chrome #google #браузер #кибератаки
@ZerodayAlert
🛡 GPUHammer: уязвимость, которую нельзя исправить патчем
🚧 Не всё, что вычисляется — безопасно. GPUHammer — первая реализация RowHammer-атаки против графических ускорителей, и это делает её особенно опасной. В отличие от CPU, GPU часто работают в многопользовательских средах без должной изоляции. Это создаёт новые векторы атак, в том числе в арендуемых облаках и VDI.
🔎 Цель — сама структура модели. Один искажённый бит в весах ИИ может разрушить всю модель, а значит, речь идёт не просто о сбое, а о контролируемой деградации. Это открывает путь к новым формам атак: от отравления данных до подмены логики принятия решений. И самое опасное — всё это происходит ниже уровня операционной системы и инструментов мониторинга.
🧱 Архитектура становится уязвимостью. Даже если вы включите ECC, это лишь частично решит проблему — с потерями в производительности и объёме памяти. А другие современные атаки вроде CrowHammer указывают на то, что криптография, машинное обучение и инфраструктура доверия всё чаще бьются о границы аппаратной реальности. Нам нужно думать уже не о защите данных, а о защите самой возможности их обработки.
#hardwaresecurity #gpuhammer #искусственныйинтеллект #уязвимости
@ZerodayAlert
⚠️ Размытые границы привилегий: TSA бьёт по актуальным процессорам AMD
🧠 В чём суть проблемы? TSA демонстрирует, что даже строгое разграничение прав на уровне ОС и гипервизоров может быть обойдено. Уязвимость проявляется не на уровне логики программ, а в самой сути исполнения инструкций — при ложной интерпретации статуса операций загрузки данных.
🔬 Почему это тревожно? Потому что подобные ошибки нельзя «залатать» патчем — они встроены в само поведение процессора. Преждевременный доступ к кэшам или регистраторам — результат микрооптимизаций, которые в погоне за скоростью оборачиваются риском. И TSA-SQ с TSA-L1 как раз показывают, где тонко.
📉 Тренд, который нельзя игнорировать — развитие побочных каналов из «экзотики» превращается в системную угрозу. От Meltdown до TSA: атаки становятся всё более узкоспециализированными, но и более реалистичными. Каждое новое открытие — это не просто уязвимость, а звоночек к пересмотру архитектурных приоритетов.
#amd #tsa #cpu #уязвимость
@ZerodayAlert
🔒 Ещё одна 0day-брешь в Chrome: что скрывается за CVE-2025-6554?
🛠 Google снова закрывает дыру в безопасности браузера Chrome — и не просто теоретическую, а активно эксплуатируемую. Ошибка типа «путаница типов» (Type Confusion) в движке V8 — классическая лазейка, через которую можно запустить произвольный код прямо в вашей системе. В этот раз уязвимость уже попала на вооружение злоумышленников.
🎯 Почему это важно? Потому что движок V8 — сердце не только Chrome, но и всего, что построено на Chromium: от Edge до Яндекс Браузера. Ошибки такого уровня — это не просто сбои, а реальная возможность вмешательства в работу устройства, обхода изоляции процессов и установки шпионских программ без ведома пользователя. И, что особенно тревожно, проблема вскрылась благодаря команде Google TAG, которая обычно ловит следы кибершпионов и спецслужб.
📉 Обновления вышли, но CVE-2025-6554 — уже четвёртая подобная угроза в этом году. Это явно не случайность, а тревожный тренд: атакующие активно тестируют границы защищённости браузеров. Если вы работаете с конфиденциальной информацией — обновление должно быть для вас приоритетной задачей.
#chrome #v8 #уязвимость #обновления
@ZerodayAlert
🛡 Офисные устройства — новый рубеж в атаке на инфраструктуру
📠 Слабые звенья давно переместились за пределы серверных. Теперь точкой входа в вашу сеть может стать... обычный принтер. Особенно если его пароль сгенерирован по наивному, легко просчитываемому алгоритму — как в случае с уязвимостью CVE-2024-51978.
🧩 Проблема гораздо шире, чем кажется. Помимо уязвимости с паролем, эксперты нашли ещё семь лазеек — от утечки данных до полного сбоя устройств. Все они могут быть объединены злоумышленниками в цепочку для комплексной атаки.
💡 Вывод прост, но тревожен: периферия давно вышла из-под внимания IT-служб, а производители продолжают экономить на безопасности. Пришло время пересмотреть подход к защите даже самых "обычных" устройств.
#brother #уязвимости #инфобезопасность #сетевыеугрозы
@ZerodayAlert
CISA официально признала опасную уязвимость ядра Linux активно эксплуатируемой
🚨 Американское агентство по кибербезопасности CISA добавило в список активно эксплуатируемых уязвимостей опасную дыру в ядре Linux — CVE-2023-0386. Это баг в подсистеме OverlayFS, который хакеры активно используют в реальных атаках, хотя патч вышел ещё в начале 2023 года.
⚙️ Уязвимость позволяет атакующему создать файл с флагом SUID в директории вроде /tmp и получить полные права root-пользователя. Такой способ атаки настолько простой, что его легко автоматизировать и использовать в массовых кампаниях — именно это и показало исследование Datadog.
📅 Из-за растущих рисков CISA обязала все федеральные ведомства поставить обновления до 8 июля 2025 года. Под угрозой особенно серверы с публичным доступом, облачные платформы и CI/CD-системы, которые зависят от правильной работы механизмов изоляции Linux.
#linux #cisa #уязвимость #кибербезопасность
@ZerodayAlert
Zero-Click в Copilot
📎 EchoLeak — первая уязвимость, где искусственный интеллект сам инициирует утечку. Пользователь ничего не открывает, не нажимает и не подозревает. А Copilot уже отправил часть внутренних данных за пределы компании.
🧬 Вся атака строится на обмане модели: обычное письмо проходит фильтры и ждёт, пока сотрудник обратится к ИИ. В этот момент включается RAG, подгружает текст, и LLM вставляет чувствительную информацию в ответ. Markdown-ссылка уходит наружу — браузер открывает её автоматически.
📉 Microsoft устранила уязвимость, но фундаментальные риски остались. ИИ слишком широк в восприятии, а защита — слишком узка. Без контроля контекста и фильтрации запросов такие атаки станут частью новой реальности.
#copilot #zeroclick #уязвимость #ии
@ZerodayAlert
Защита на словах: как Secure Boot подставил миллионы компьютеров
🔍 Secure Boot задумывался как самая первая линия обороны — ещё до запуска операционной системы. Но на практике именно в этот момент ОС оказывается уязвима. Подписанная Microsoft BIOS-утилита, созданная для одного устройства, благодаря универсальному сертификату внезапно стала работать на любом ПК. Это открывает прямой путь к внедрению вредоносного кода до старта ядра.
💣 Суть уязвимости CVE-2025-3052 — в работе с переменной IhisiParamBuffer, записываемой в энергонезависимую память. Отсутствие валидации позволяет атакующему с правами администратора подменить поведение загрузки. По сути, эксплойт выключает Secure Boot, давая зелёный свет буткиту — вредоносному загрузчику, невидимому для антивирусов и самой ОС.
📉 Проблема не в баге, а в доверительной архитектуре. Один подписанный компонент ломает всю модель. Обновление dbx частично закрывает дыру, но фундаментальные вопросы остаются: стоит ли по-прежнему полагаться на централизованную модель доверия, если она не защищает даже на этапе загрузки?
#secureboot #uefi #уязвимость #инфобез
@ZerodayAlert
Эксплойт для Roundcube уже на форумах
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
Пентест-инструмент стал любимой игрушкой киберпреступников
🤖 HexStrike AI — новый пентест-фреймворк с открытым кодом — попал в руки киберпреступников почти мгновенно после релиза. Теперь создание эксплойтов для свежих уязвимостей вроде CVE-2025-7775 в Citrix NetScaler занимает минуты вместо недель. Искусственный интеллект автоматически генерирует цепочки атак и находит уязвимые системы, превращая работу, для которой когда-то требовался большой опыт и много времени, в рутинный процесс.
⚡️ Скорость эскалации поражает: всего через 12 часов после раскрытия критической дыры в NetScaler злоумышленники уже хвастались на даркнет-форумах готовыми атаками. Раньше для понимания архитектуры системы, обхода защиты и написания стабильного эксплойта требовались недели изучения. Сейчас HexStrike интегрируется со 150+ инструментами и десятками ИИ-агентов, которые делают всю грязную работу самостоятельно.
🔥 Мы наблюдаем коренной сдвиг в ландшафте киберугроз. Барьер входа в мир серьёзных атак рухнул — теперь не нужно быть гуру реверс-инжиниринга, чтобы эксплуатировать zero-day в корпоративных системах. Защитникам придётся кардинально менять подходы к реагированию на инциденты.
#artificialintelligence #exploit #пентест #автоматизацияатак
@ZerodayAlert
🌎Обнаружено свыше 28 000 уязвимых устройств Citrix NetScaler по всему миру
🌍 Специалисты The Shadowserver Foundation выявили более 28 000 уязвимых экземпляров NetScaler ADC и NetScaler Gateway, подверженных критической уязвимости CVE-2025-7775. Больше всего незакрытых инстансов обнаружено в США (свыше 10 тысяч), Германии (4,3 тысячи) и Великобритании (1,4 тысячи).
0️⃣Уязвимость затрагивает версии NetScaler 14.1 до 14.1-47.48, 13.1 до 13.1-59.22 и ряд FIPS/NDcPP версий. Citrix подчёркивает отсутствие временных защитных мер и требует немедленного обновления прошивки для всех администраторов.
📂CISA оперативно включила CVE-2025-7775 в каталог KEV и установила жёсткий дедлайн для федеральных агентств — до 28 августа. В случае невыполнения требований им предписано прекратить использование уязвимых продуктов.
#citrix #netscaler #уязвимость #кибербезопасность
@ZerodayAlert
🚨 Уязвимость памяти в ИИ-средах
🧩 Когда система с искусственным интеллектом получает способность к долговременному запоминанию, её слабым местом становится именно память. В Windsurf Cascade механизм create_memory оказался незащищённым: злоумышленник может встроить в него инструкции, которые сохраняются навсегда.
🔍 В отличие от разовой атаки, это превращает модель в управляемый канал связи. Любая сессия после заражения уже работает под невидимым сценарием, а пользователь зачастую даже не видит признаков манипуляции. Это не ошибка интерфейса — это архитектурная уязвимость.
⚠️ Ситуация показывает, что ИИ-платформы должны пересматривать сам принцип «автоматической памяти». Без барьеров на этапе записи любое воспоминание становится потенциальным бэкдором. Для отрасли это важный сигнал: долговременное хранение — не только удобство, но и новая поверхность атаки.
#spaiware #windsurf #уязвимость #кибербезопасность
@ZerodayAlert
🚀Кибербезопасность космических технологий под угрозой из-за уязвимостей в ПО
🛰 На конференции Black Hat исследователи из VisionSpace Technologies продемонстрировали возможность вывода спутников из строя через программные уязвимости. Этот метод оказался значительно дешевле и проще традиционного противоспутникового оружия.
📈 За последние два десятилетия количество активных спутников выросло с менее чем 1000 до примерно 12300 аппаратов. Основную долю составляют устройства Starlink, но также увеличилось число военных платформ на фоне геополитической напряженности.
🔓 В открытых системах управления спутниками обнаружены десятки критических уязвимостей, включая 5 в NASA Yamcs, 7 в OpenC3 Cosmos и 4 в Core Flight System. Некоторые из них позволяют получить полный контроль над орбитальными аппаратами через простые неаутентифицированные запросы.
#спутники #кибербезопасность #уязвимости #космос
@ZerodayAlert
0️⃣ Zero-Click-атака на ChatGPT: интеграция с внешними сервисами открывает новые векторы для взлома
🕵️ Исследователи продемонстрировали атаку AgentFlayer на систему Connectors в ChatGPT, которая позволяет боту просматривать файлы в Google Drive. Злоумышленники могут спрятать вредоносную инструкцию в обычном документе, используя белый цвет текста и минимальный размер шрифта — для человека она незаметна, но ИИ легко её прочтёт.
🔓 Для обхода защитного механизма url_safe исследователи использовали легитимные URL от Microsoft Azure Blob Storage. Когда пользователь просит ChatGPT подвести итоги встречи, модель следует скрытой инструкции и отправляет найденные API-ключи на сервер злоумышленников через поддельную ссылку на изображение.
🛡 OpenAI оперативно внедрила меры защиты после получения отчёта о проблеме, ограничив поведение Connectors в подобных сценариях. Google заявил, что развитие защит от промпт-инъекций стало одним из ключевых векторов стратегии информационной безопасности компании.
#chatgpt #промптинъекции #ии #кибербезопасность
@ZerodayAlert
🦑 Критическая брешь в Squid: риск удалённого захвата сервера
🛑 RCE-уязвимость в Squid затрагивает один из базовых элементов интернет-инфраструктуры — HTTP-прокси, на котором держатся корпоративные сети, CDN и операторские шлюзы. Проблема кроется в переполнении буфера при обработке URN-запросов, что открывает путь к удалённому исполнению кода без аутентификации. Под ударом миллионы систем, где Squid служит звеном между клиентом и веб-сервером.
⚙️ Уязвимость охватывает почти все активно используемые версии, включая серии 4.x, 5.x и 6.x до выхода 6.4. Техническая особенность в том, что атака инициируется через малосложное сетевое соединение, а в процессе эксплуатации возможна утечка до 4 КБ оперативной памяти прокси, где могут находиться токены, ключи и другие чувствительные данные. Для атакующего это — возможность совместить удалённое выполнение кода с кражей критической информации в одном сценарии.
📉 Инцидент демонстрирует, что даже зрелые проекты с многолетней историей могут содержать уязвимости, критичные для всей экосистемы. Обновление до 6.4 или блокировка URN-запросов — минимальные меры, но стратегически важнее выстраивать постоянный процесс аудита сетевых компонентов, которые традиционно считались стабильными.
#squid #cve #уязвимость #прокси
@ZerodayAlert
⚒️Материнские платы Gigabyte подвержены уязвимостям на уровне SMM
В прошивке UEFI более 240 моделей плат Gigabyte обнаружены четыре критические уязвимости, позволяющие атакующему получить привилегии уровня System Management Mode. Это наивысший уровень доступа в x86-архитектуре, недоступный для операционной системы и традиционных средств защиты.
Ошибки касаются обработчиков OverClockSmiHandler, SmiFlash и доступа к SMRAM. Все они позволяют произвольную запись в защищённые области памяти, что может привести к установке стойкого вредоносного кода с сохранением даже после переустановки ОС. Проблема затрагивает платформу AMI и усугубляется тем, что патчи были доступны по NDA, а часть устройств уже признана устаревшими.
Вендор не выпустил публичных обновлений. Пользователям рекомендуется использовать инструмент Binarly Risk Hunt для выявления уязвимостей и проверять наличие прошивок вручную. В корпоративной и критической инфраструктуре наличие уязвимых плат следует считать фактором высокого риска.
#gigabyte #uefi #firmware #уязвимости
@ZerodayAlert
0-day пробил Nippon Steel: снова утечка, снова молчание
💣 Уязвимость в сетевом железе — и хакеры уже внутри. Nippon Steel, один из крупнейших металлургических концернов мира, снова стала жертвой атаки. Сотни тысяч персональных данных — партнёры, сотрудники, клиенты — оказались в чужих руках. Всё началось с 0-day бага, которым злоумышленники воспользовались ещё в марте. Пока бизнес обсуждал слияние с US Steel, кто-то уже читал рабочую переписку топ-менеджеров.
🕵️ В компании говорят, что всё под контролем: сервер отрубили, угрозу локализовали, облака не пострадали. Но есть нюанс — это второй инцидент за полгода. В феврале BianLian уже утащили 500 гигабайт данных и, по слухам, получили за это выкуп. Тогда страница с утечкой внезапно исчезла. Теперь всё повторяется по сценарию двойного шантажа — сначала взлом, потом молчание.
⚠️ Nippon Steel — глобальный игрок. А значит, атака на неё — это не просто про киберпреступность, а про бизнес и геополитику. Сегодня 0-day ломает сетевое устройство, а завтра рушит сделку на миллиарды. И если кто-то думает, что защита — это вопрос IT-отдела, то этот кейс — наглядный ответ.
#0day #ransomware #утечка #кибератака
@CyberStrikeNews
0️⃣ Обнаружена эксплуатация новой 0day уязвимости в серверах Exchange
🔓 Кибергруппировка NightEagle эксплуатирует ранее неизвестную 0day уязвимость в Microsoft Exchange для получения machineKey сервера. С помощью этого ключа хакеры проводят удалённую десериализацию и устанавливают вредоносное ПО на серверы любой совместимой версии Exchange.
🎯 Группа целенаправленно атакует ведущие китайские компании в сфере высоких технологий, производства чипов, квантовых разработок и искусственного интеллекта. Для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки.
💻 Хакеры используют уникальный вредонос, работающий исключительно в памяти и остающийся невидимым для систем защиты. Все атаки происходят строго с 21:00 до 6:00 по пекинскому времени, что указывает на вероятное происхождение группы из Северной Америки.
#0day #exchange #кибератаки #китай
@ZerodayAlert
📡 Bluetooth снова под прицелом — теперь через наушники
💡 Вы думали, что уязвимые "умные" устройства — это камеры и замки? А как насчёт ваших наушников? Оказалось, что популярные модели с чипами Airoha несут куда больший риск, чем просто перехват музыки. Через эти уязвимости злоумышленник может заполучить контроль над вашим смартфоном.
⚙️ Проблема кроется в глубокой архитектуре: отсутствие проверки соединений, слабые протоколы и возможность извлечения ключей связи. Сценарии атак уже продемонстрированы — подмена устройств, перехват вызовов и превращение смартфона в микрофон для шпионажа.
🔧 Производители пока только готовят обновления, а пользователи остаются без защиты. Особенно опасна перспектива скрытой перепрошивки устройств, когда Bluetooth-уязвимость превращается в платформу для "самораспространяющихся" вредоносных программ.
#bluetooth #уязвимость #прослушка #гаджеты
@ZerodayAlert
🔧 Архиватор стал точкой входа: WinRAR снова под угрозой
🗂 Уязвимость CVE-2025-6218 в WinRAR — наглядное напоминание, что даже привычные утилиты могут стать элементом атаки. Благодаря манипуляциям с путями внутри архива злоумышленник получает возможность подкинуть файлы прямиком в автозагрузку или системные каталоги Windows. И это срабатывает без всплывающих предупреждений.
🔍 Технический нюанс — обход стандартного поведения архиватора за счёт поддельных относительных путей. Сценарий кажется простым: пользователь распаковывает архив — троян сам устанавливает себя в нужное место. Причём эксплойт работает с правами текущего пользователя, что вполне достаточно для кражи паролей и скрытого удержания доступа.
🛡 Исправление уже доступно, но привычка игнорировать обновления — самая уязвимая часть безопасности. Особенно учитывая популярность WinRAR и постоянное внимание к нему со стороны атакующих. Если ещё не обновились — самое время.
#winrar #cve #уязвимость #безопасность
@ZerodayAlert
Apple закрыла брешь, используемую для скрытых Zero Click атак через iCloud
🔒Apple устранила уязвимость CVE-2025-43200 в приложении Messages 10 февраля 2025 года. Ошибка позволяла проводить zero-click атаки через специально подготовленные iCloud-ссылки без взаимодействия с пользователем.
🎯 Брешь использовалась для заражения iPhone двух европейских журналистов шпионским ПО Graphite. Инструмент слежки разработан израильской компанией Paragon и позволяет получать доступ к сообщениям, камере, микрофону и местоположению устройства.
⚖️ После скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. Италия отказалась от независимой проверки использования Graphite, сославшись на соображения национальной безопасности.
#apple #уязвимость #шпионскоепо #журналисты
@ZerodayAlert
Встроенные утилиты Windows использовались для скрытого взлома
🧩 Уязвимость CVE-2025-33053 — не просто ошибка в обработке пути. Это иллюстрация более широкой проблемы: среды выполнения и приоритетов поиска исполняемых файлов в Windows. Возможность заставить «iediagcmd.exe» обратиться не к системному каталогу, а к внешнему WebDAV-серверу, открывает путь к любой замене — при этом сама утилита подписана и не вызывает подозрений.
🧠 Такая схема требует не только инженерного расчёта, но и стратегического понимания, как можно встроиться в доверенный контекст. Не используется ни один традиционный скрипт — атака полностью строится на встроенных компонентах ОС. Это возвращает нас к старому, но снова актуальному вопросу: насколько безопасна сама операционная среда без внешних загрузчиков?
🧱 Тот факт, что PDF инициирует запуск C++-загрузчика с внедрением в Edge через ZwAllocateVirtualMemory — это не эстетика вредоносного кода, это архитектурное оружие. Его целью может быть не только компрометация, но и обход любых механизмов защиты, построенных на мониторинге внешней активности.
#horusagent #stealthfalcon #webdav #windows
@ZerodayAlert
Выявлен новый тип атак через iMessage в iOS
🔍Специалисты с конца 2024 года фиксировали серию необычных инцидентов на iPhone представителей политических кампаний, СМИ и правительств США и ЕС. Анализ выявил крайне редкие сбои iOS, характерные для Zero Click атак через iMessage — класса эксплойтов, не требующих взаимодействия пользователя.
⚙️Форензика скомпрометированных устройств позволила обнаружить неизвестную уязвимость в системном процессе «imagent», получившую обозначение NICKNAME. Механизм атаки связан с функцией установки никнеймов в контактах iOS — при отправке большого числа быстрых обновлений возникает ошибка use-after-free, позволяющая выполнить произвольный код.
🎯Сбои были зафиксированы исключительно на устройствах высокоценных целей — лишь в 0.0001% логов из 50 000 проанализированных iPhone. Все жертвы либо ранее подвергались атакам группировки Salt Typhoon, либо занимались деятельностью, представляющей интерес для китайских властей.
#ios #iphone #уязвимость #безопасность
@ZerodayAlert
Когда обновление важнее, чем бэкап
📍 Уязвимость в StoreOnce — напоминание: безопасность системы хранения данных важна не меньше, чем её надёжность. CVE-2025-37093 показывает, как уязвимость на уровне аутентификации превращает инструмент резервного копирования в точку риска, а не защиты. Особенно когда речь о платформах, стоящих в центре ИТ-ландшафта.
🔍 Стратегически важно другое: как StoreOnce оказался уязвим в течение полугода без публичных признаков активности? Это иллюстрация слепой зоны, когда инфраструктурные продукты кажутся «молчащими» и якобы безопасными. Но именно такие тихие узлы — идеальные цели: никто не ожидает атаки на решение, защищающее данные.
📌 Сейчас StoreOnce не предлагает временных мер защиты — только обновление. Если платформа используется в критических средах, отложенное обновление — не просто риск, это возможная точка отказа всей бизнес-непрерывности.
#hpe #storeonce #уязвимость #резервноекопирование
@ZerodayAlert