Ловите вкусные баги прошедшей недели
#CVE #RCE #SiliconLabsZigbee #IBM_Db2 #Open5GS #Podman #Apache

➡️ Open5GS (CVE-2026-1586, CVSS 5.5) — DoS в Open5GS, открытой реализации 5G Core Network. Баг расположен в функции ogs_gtp2_f_teid_to_ip файла /sgwc/s11-handler.c компонента SGWC и связан с некорректной обработкой полей GTPv2 F-TEID на интерфейсе S11. Удаленный атакующий без аутентификации может отправить специально сформированный GTP-пакет во время операций bearer modification или context creation, что приводит к крашу процесса SGWC и DoS всего 5G-ядра. Есть PoC.

➡️ Podman Desktop (CVE-2026-24835, CVSS 8.8) — критическая логическая ошибка в Podman Desktop, позволяющая вредоносному расширению обходить permission checks. Функция isAccessAllowed() безусловно возвращает true, тем самым предоставляя несанкционированный доступ ко всем authentication sessions пользователя. Это позволяет атакующему имперсонализировать пользователя и использовать сохраненные токены и сессии интеграций, доступных в среде Podman Desktop. Есть PoC.

➡️ Apache bRPC (CVE-2025-60021, CVSS 9.8) — критическая RCE-уязвимость, связанная со встроенным сервисом heap-профилирования. HTTP-эндпоинт /pprof/heap?extra_options=<cmd> не выполняет валидацию параметра extra_options, который передается как аргумент командной строки профайлера. Это позволяет удаленному неаутентифицированному атакующему выполнить произвольные команды с правами сервиса при доступности эндпоинта. Есть PoC.

➡️ Silicon Labs Zigbee (CVE-2025-7964, CVSS 9.2) — критическая уязвимость, связанная с некорректной обработкой 802.15.4 MAC Data Request координатором сети. При получении специально сформированного MAC-фрейма координатор ошибочно инициирует команду network leave для маршрутизатора. В результате маршрутизатор зависает и не может повторно присоединиться к сети без ручного вмешательства, что приводит к DoS для всех зависимых конечных устройств.

➡️ IBM Db2 for Windows (CVE-2025-36384, CVSS 8.4) — unquoted search path в IBM Db2 for Windows. Локальный пользователь с доступом к файловой системе может разместить произвольный исполняемый файл в одном из каталогов, участвующих в некавыченной search path, и добиться его выполнения при запуске привилегированного сервиса Db2. Это приводит к локальной эскалации привилегий до SYSTEM и захвату контроля над хостом на уровне ОС, включая доступ к данным и конфигурации СУБД в рамках прав ОС.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

RCE на современных SoC MediaTek через переполнение кучи
#MediaTek #RCE #Exploit #Hardware #heapb8

Исследователи r0rt1z2 и shomy провели реверсинг проприетарного тулчейна MediaTek и обнаружили в Download Agent v6 (DA2, XML-протокол) критическую уязвимость heapb8 — heap overflow в обработчике USB-передачи файлов. Баг позволяет добиться arbitrary code execution в контексте DA2 на устройствах с современными SoC Dimensity, при успешной эксплуатации — отключить или обойти проверки SLA/DAA. Эксплойт реализован в penumbra.

♾️Предполагаемые связанные CVE (патч в 2025 году)♾️

▪️CVE-2025-20656 — out-of-bounds write в Download Agent (DA2 XML), приводящий к локальному повышению привилегий при физическом доступе.
▪️CVE-2025-20658 — логическая ошибка в DA, также приводящая к out-of-bounds write с аналогичными последствиями.

В новых SoC MediaTek BootROM-эксплойты в значительной степени закрыты или отключены (включая сценарии с USBDL), поэтому heapb8 ориентирован именно на USB-handler второй стадии загрузки (DA2) в XML-стеке DA v6. В результате возникает классический heap overflow, позволяющий получить примитив write-what-where за счет повреждения заголовков соседних чанков в куче.

♾️Эксплуатация♾️

Эксплоит опирается на особенности малого heap-аллокатора, реализованного в LK (Little Kernel), который MediaTek использует внутри DA2.

▪️ В DA загружается файл (имя и содержимое), под который выделяется буфер размера N.
▪️ При передаче данных по USB DA принимает пакеты без строгой проверки соответствия фактически полученного объема заявленному размеру.
▪️ Переполнение приводит к повреждению заголовка следующего чанка в куче.
▪️ При обработке ошибки DA2 вызывает free() для поврежденного блока, что триггерит классический free-list unlink. Коррупция полей prev/next дает write-what-where.
▪️ Используя этот примитив, атакующий может перезаписать указатель callback-функции в структуре DPC (Deferred Procedure Call) или другие организационные структуры управления, что приводит к RCE с привилегиями DA2.

♾️Payload♾️

Исследователи загрузили собственный пэйлоад hakujoudai, который:

▪️ устраняет последствия heap-corruption и восстанавливает целостность heap/free-list;
▪️ регистрирует кастомные команды Download Agent;
▪️ дает возврат управления в основной цикл DA в состоянии, позволяющем выполнять дополнительные операции над устройством без стандартных ограничений.

Это обеспечивает полный контроль над DA2-контекстом и дальнейшее управление процессом загрузки.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Человек, при жизни ставший легендой! Похлопаем 🎉🐈

Читать полностью…

CISO FORUM 2026 — Увидимся 28 апреля
#партнёрство #CISO #ИБ #event

Канал «Похек» выступает медиа-партнёром CISO FORUM 2026. Мероприятие пройдёт 28 апреля в Центре Международной Торговли (ЦМТ, Москва).
CISO FORUM — ежегодная площадка, объединяющая руководителей служб информационной безопасности, технических директоров, специалистов по рискам и комплаенсу. Формат мероприятия: от стратегических докладов до практических воркшопов по AppSec, AI-безопасности и SOC.

Программа 2026 года включает три тематических зала:
▪️CISO и бизнес — архитектура ИБ и метрики для совета директоров
▪️Когда атака — вопрос времени — инциденты, DDoS, Red/Blue Team
▪️Объект атаки — защита данных, API, облаков и подрядчиков

🌚 Ранее посещал данное мероприятие и планирую присутствовать лично в этом году.

🔗Регистрация и программа

Читать полностью…

DoS в React Server Components: CVE-2026-23864 кладёт ваш Next.js без авторизации
#DoS #react #RSC #CVE #nextjs #frontend

Помните CVE-2025-55182 с RCE в RSC? Так вот, фиксы оказались неполными. Исследователи из Winfunc Research, Flatt Security и Tencent нашли новые векторы DoS в React Server Components, которые позволяют уронить сервер специально сформированным HTTP-запросом — без какой-либо аутентификации. CVSS 7.5, атака тривиальная.
Суть: при обработке Server Function вызовов возникает memory exhaustion или бесконечный loop. Результат — OOM, зависание процесса, высокая нагрузка на CPU. Атакующему достаточно отправить malformed POST на любой RSC-эндпоинт.

♾️Уязвимы♾️
▪️React 19.0.0–19.2.3
▪️Next.js 13.x–16.x (13/14 — без патча вообще!)
▪️react-router, waku, @parcel/rsc, @vite/rsc-plugin, rwsdk

♾️Чек версии♾️

# Проверка package.json проекта
cat package.json | grep -E '"(next|react-server-dom)"' 

# Или через npm
npm ls next react-server-dom-webpack 2>/dev/null

♾️Патчи♾️

▪️React: 19.0.4, 19.1.5, 19.2.4
▪️Next.js: 15.0.8, 15.1.12, 15.2.9, 15.3.9, 15.4.11, 15.5.10, 16.0.11, 16.1.5
Если сидите на Next.js 13/14 — вам официально не повезло, патчей не будет. Vercel развернул WAF-правила для своих клиентов, но это временный костыль.

🔗Vercel Advisory | GitHub GHSA

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

📠 #события #infrastructure #ad #offense

➡️Снова критические уязвимости! ⚡️

В этот раз: обход аутентификации➡️сразу к root! С публичным PoC➕использованием в природе;

CVE-2026-24061 — CVSS (v3) ~9.8, Improper Neutralization of Argument Delimiters in a Command / Argument Injection➡️Authentication Bypass в telnetd: появилась тут и была с нами 10+ лет (GNU InetUtils v1.9.3 – v2.7 / 2015 – 2025 гг.);


1️⃣ В v1.9.3 добавили возможность подставить username из переменной окружения USER, чтобы починить автовход для случаев, когда не была доступна аутентификация Kerberos.

Сервер telnetd обращается к /usr/bin/login (обычно работает из-под root)➕передаёт ему значения для входа, в том числе и USER – вместо %U:

...
char *login_invocation =
  PATH_LOGIN " -p -h %h %?T{-t %T} -d %L %?u{-u %u}{%U}"
...

...
    case 'U':
      return getenv ("USER") ? xstrdup (getenv ("USER")) : xstrdup ("");
...

2️⃣ У /usr/bin/login есть флаг -f — пропустить аутентификацию! (например, для автовхода getty)

Ему даже можно передать username / UID пользователя: login [-p] [-s shell] [-h host] [-H] [[-f] username|UID]; // Например, root 🐇


3️⃣ Значение USER не нормализуется; Возможно поместить туда дополнительные флаги для /usr/bin/login➕попросить telnet провести автовход (флаги -a / --login):

USER='-f qwqoro' telnet -a 127.0.0.1‌‎ ‎ ‎ ‎ ‎ 

🔖 seclists.org/oss-sec/2026/q1/89
🔖 safebreach.com/...-cve-2026-24061
💻 github.com/SafeBreach-Labs/CVE-2026-24061
📦 github.com/leonjza/inetutils-telnetd-auth-bypass
🛜 shodan.io/search?query=product:"telnetd"


   @HaHacking  🐇

Читать полностью…

Docker Hardened Images (DHI) вышел в Open Source под лицензией Apache 2.0
#Docker #OpenSource #DHI #SecOps #appsec #devsecops

♾️CVE "из коробки"♾️

Стандартные образы (nginx, apache, pytorch и др.) «из коробки» часто содержат сотни уязвимостей и избыточных системных библиотек, увеличивающих поверхность атаки. Из-за этого ранее у команд было два пути:

▪️Тратить ресурсы на сборку и поддержку собственных Golden Images.
▪️Покупать доступ к hardened-образам у сторонних вендоров, попадая на vendor-lock.

Docker решает проблему системно, делая безопасный фундамент стандартом. Компания заявляет о Near-zero CVEs и гарантирует честный скоринг уязвимостей — без их скрытия ради зеленых отчетов сканеров.

♾️Смысл рождения DHI♾️

Docker Hardened Images — это огромная коллекция из образов, реализующих концепцию secure-by-default. Они построены на distroless-архитектуре: из среды выполнения удалены оболочки, пакетные менеджеры и лишние бинарные файлы. Это не просто чистые образы, а прозрачная цепочка поставок: каждый образ имеет подписанный SBOM и подтверждение происхождения уровня SLSA Build Level 3.

♾️Миграция♾️

Переход на DHI максимально прост. Поскольку образы базируются на стандартных Alpine и Debian, сохраняется высокая совместимость на уровне библиотек.
Миграция часто сводится к замене одной строки в Dockerfile:
▪️Было: FROM node:24
▪️Стало: FROM dhi.io/node:24

Это позволяет мгновенно отсечь большинство CVE без поломки зависимостей и переписывания кода. Но лучше проверяйте на дев стейдже, иначе есть вероятность с прогиба сломать прод))

Образы уже доступны на Docker Hub. Доп инфа:
https://www.docker.com/blog/docker-hardened-images-for-every-developer/
https://www.docker.com/products/hardened-images/

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

VoidLink: техническое подтверждение начала эры AI-сгенерированных malware-фреймворков
#APT #malware #AI #LLM #SSD #dev

VoidLink — первый задокументированный пример вредоносного фреймворка, который демонстрирует не просто использование искусственного интеллекта в отдельных фазах разработки, а полноценную AI-ориентированную инженерную модель, охватывающую проектирование, архитектуру, кодинг, тестирование и итеративное развитие. В отличие от ранних случаев, где ИИ применялся для генерации фрагментов кода или примитивных вредоносных скриптов, VoidLink представляет собой целостную платформу, сравнимую по сложности с продуктами высокоресурсных APT-групп.

Ключевая опасность VoidLink заключается не только в его функциональности, но и в том, как именно он был создан. Использование Spec Driven Development (SDD) в сочетании с agent-based AI-IDE радикально сокращает порог входа и временные затраты на создание malware-платформ уровня APT. То, что ранее требовало команд разработчиков, менеджеров, тестировщиков и инфраструктурных инженеров, теперь может быть выполнено одним оператором, выступающим в роли «product owner» для ИИ.

🔗blog.poxek - ya cdn обещал ожить и показывать картинки

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Ловите вкусные баги прошедшей недели
#CVE #RCE #Firefox #NetSNMP #Linux #OpenCode #NodeTar #zlib

➡️ Node-Tar (CVE-2026-23745, CVSS 8.2) — path traversal в популярной библиотеке node-tar для работы с TAR-архивами. Уязвимость кроется в недостаточной санитизации путей для жестких ссылок и symlink даже при включенной по умолчанию защите preservePaths: false. Библиотека использует path.resolve() без проверки выхода за пределы корневой директории распаковки, что позволяет через вредоносный архив перезаписывать произвольные файлы в системе или создавать ссылки на нужные для атаки пути. Может привести к RCE в CI/CD пайплайнах. Есть PoC.

➡️ OpenCode (CVE-2026-22812, CVSS 8.8) — RCE в open-source AI-агенте для написания кода. Уязвимость возникает из-за автоматического запуска HTTP-сервера без аутентификации. Из-за некорректных политик CORS любой веб-сайт может отправить запрос к локальному API агента, что позволяет удаленному атакующему выполнить произвольные shell-команды с правами текущего пользователя. Есть PoC.

➡️ Firefox + Thunderbird (CVE-2026-0881, CVSS 10.0) — sandbox escape в компоненте Messaging System браузера Firefox и клиента Thunderbird. Возникает из-за недостаточного контроля доступа при обработке сообщений, передаваемых от изолированного дочернего процесса к привилегированному родительскому. Позволяет скомпрометированному процессу рендеринга отправить специально сформированный запрос, который родительский процесс ошибочно исполнит, тем самым позволив выйти за пределы песочницы.

➡️ Net-SNMP (CVE-2025-68615, CVSS 10.0) — RCE в пакете net-snmp для работы с протоколом SNMP в Linux/Unix системах. Уязвимость возникает при обработке специально сформированных SNMP-пакетов (trap-сообщений) на UDP-порту 162. Демон некорректно валидирует длину пользовательских данных перед копированием, что позволяет удаленному атакующему вызвать stack buffer overflow и добиться RCE.

➡️ zlib (CVE-2026-22184, CVSS 10.0) — переполнение буфера в утилите untgz библиотеки zlib. Появляется из-за небезопасного копирования слишком длинного имени файла в статический буфер. Если атакующий передаст имя файла длиннее 1024 байт, происходит out-of-bounds write. Это ведет к порче памяти и может вызвать DoS или, в зависимости от компилятора и разметки памяти, RCE.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Почему ваша нейросеть всегда предаст вас ради вежливого хакера с плохими намерениями? ©️ Артём Семёнов
#ai #ml #llm #injection #red_team

Прошло уже больше 3 лет с момента появления первой промпт-инъекции. Кажется, что за это время было сделано всё возможное, были потрачены бюджеты небольших стран на Red Teaming больших моделей типа Claude и OpenAI. Мы обернули модели в такие толстые талмуды системных промптов, навыравнивали всё что можно и теперь это может быть похожим на сотрудников паспортного стола в обеденный перерыв.

♾️А что в итоге?♾️

На днях школьник из Небраски обошёл защиту модели стоимостью в сто миллионов долларов, описав инъекцию в нестандартной кодировке. Потом добавил смайлик и модель, как ни удивительно, вершина гения, цифровой оракул – выдала инструкцию по синтезу рицина, потому что смайлик показался ей «дружелюбным».

Может мы что-то делаем не так, может мы пытаемся лечить ножевое ранение подорожником, ища баги в системе, которая состоит из них целиком, и ей нравится это. Возникает вопрос – а в хакерах ли дело? Но кажется нет – ведь мы имеем дело с архитектурой трансформера, линейной алгеброй и энтропией.

Это может напоминать кому-то кейсы ведения диалогов с вещами. Они могут нагреваться, но никак не слушать нас – это не их задача, не их функция и уж тем более не то, за чем они нам нужны. Они просто выполняют свою функцию.

LLM — это тот же тостер, только с миллиардом параметров. И в этой статье я покажу вам, почему его спираль нагрева нельзя отключить. Добро пожаловать внутрь Белого Ящика, из которого нет выхода. Чтобы понять природу этих уязвимостей, нам придется спуститься на уровень ниже — туда, где заканчивается маркетинг и начинается математика. Назовем это... Архитектурный фатализм

🔗 Рекомендую к прочтению

🌚 @poxek_ai

Читать полностью…

Практический разбор деобфускации и anti-analysis техник современного infostealer-ПО

AuraStealer — активно развивающийся infostealer-as-a-service, появившийся на подпольных форумах летом 2025 года. Несмотря на сравнительно недолгую историю, данный образец демонстрирует зрелый подход к обфускации, anti-analysis и обходу защитных механизмов Windows, характерный для современных коммерческих MaaS-платформ.

Класс угрозы: Infostealer (MaaS)
Платформа: Windows 7–11
Язык реализации: C++
Размер билдов: ~500–700 KB

Ключевая особенность AuraStealer — агрессивная защита от анализа, выраженная не только в стандартных анти-debug и anti-VM проверках, но и в нетривиальных инженерных решениях:
▪️косвенное управление потоком выполнения (indirect control flow);
▪️exception-driven API hashing;
▪️динамическая генерация mutex;
▪️обход Application-Bound Encryption Chromium-браузеров;
▪️Heaven’s Gate для вызова NTDLL из WOW64-контекста.

Цель данной статьи — показать практический путь анализа AuraStealer, а не просто перечислить техники.

🔗blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Фаззинг телекома с генетическим алгоритмом: как тестировать продукт на безопасность, если обычных методов недостаточно
#fuzzing #telecom #appsec #yadro

Что делать, если сложная высоконагруженная система уже полностью покрыта базовыми тестами, используется фаззинг без модификаций, но выявить удалось не все критические уязвимости? Поможет внедрение генетического алгоритма.

Сотовая сеть — это высоконагруженная система, которая должна обеспечивать бесперебойную связь круглосуточно. Нам нужно развивать тесты и учитывать самые неожиданные сценарии, которые могут привести к неполадкам. Для выявления негативных сценариев и генерации вредоносных тестовых входных данных мы используем фаззинг.

Фаззинг без модификаций, однако, не всегда позволяет найти критические уязвимости. Когда мы это выяснили, то решили не увеличивать мощности и создавать фаззинг-фермы, а сделать тесты более умными. Обычно фаззинг представляют как набор мусорных данных, но их можно сделать более интерпретируемыми.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

OWASP ModSecurity CRS WAF Bypass: Когда последний чарсет решает всё (CVE-2026-21876)
#waf #bypass #modsecurity #crs #cve #infosec

Иногда лучшие баги находятся, когда того совсем не ожидаешь. Подписчик @based_monke скинул историю, как он "ткнул пальцем в небо" и нашёл байпасс OWASP ModSecurity Core Rule Set. История простая и забавная, а импакт — обход WAF с CVSS 9.3.

♾️Суть проблемы: CVE-2026-21876♾️

WAF не блокирует закодированный payload, потому что он не матчится по сигнатурам. Для защиты от таких атак правило 922110 проверяет charset по белому списку (utf-8, iso-8859-1, iso-8859-15, windows-1252) и блокирует опасные кодировки вроде utf-7. Проблема в том, как ModSecurity обрабатывает multipart/form-data с несколькими частями. Из-за особенностей работы capture-переменных (TX:1), правило проверяет только последний чарсет в запросе.

Как сказал автор: "Я предположил, что чарсет для WAF перед проверкой может перезаписываться от части multipart к другой. Смешно, что в итоге так и оказалось".

♾️Как работает обход?♾️

1. Отправляем payload в невалидной кодировке (например, utf-7 для XSS), которую WAF должен блокировать.
2. Отправляем любую легитимную часть с разрешённой кодировкой (например, utf-8).

WAF видит charset=utf-7, но тут же перезаписывает его значением charset=utf-8 из второй части. В итоге, правило проверяет только utf-8, считает, что всё в порядке, и пропускает запрос. А бэкенд уже обрабатывает первую часть с вредоносной нагрузкой.

| CVE       | CVE-2026-21876                 |
|-----------|--------------------------------|
| CVSS      | 9.3 (Critical)                 |
| CWE       | CWE-794 (Incomplete Filtering) |
| Затронуты | CRS < 4.22.0 и < 3.3.8         |
| Фикс      | CRS 4.22.0 и 3.3.8             |

♾️Вывод♾️

Мультипарт — недооценённый вектор, а блэкбокс-тестирование всё ещё может приносить критические уязвимости. Всем, кто использует ModSecurity с Core Rule Set, срочно обновляться!

Я давно планировал начать собственные исследования, но начал только совсем недавно. И спустя не такое уж большое количество времени я нашел свою первую багу! В итоге стоило просто перестать откладывать на потом. ©️daytrift newgen

♾️Источники♾️
• Анонс от CoreRuleSet
• GitHub Advisory
• PoC от автора

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Самые вкусные атаки из номинаций PortSwigger 2025: Мой личный топ
#webresearch #hacking #bugbounty #appsec #infosec

PortSwigger открыл номинации на лучшие техники веб-хакинга 2025. Там уже 17 исследований, но я выбрал 5, которые зацепили меня больше всего. Это не рейтинг — это то, что я бы хотел попробовать на ближайшем скоупе.

➡️ 1. Eclipse on Next.js (CVE-2025-32421)

Race condition в promise batcher'е Next.js. Два одновременных запроса с одинаковым cacheKey (/_error-0) — первый вызывает ошибку, второй получает pageProps в text/html. Если в pageProps отражаются данные из запроса (User-Agent, Cookie) — получаем Stored XSS.

Почему вкусно: Next.js везде. Условия эксплуатации специфичные, но когда они совпадают — это джекпот. Single-packet attack от Кеттла в помощь.


➡️ 2. Next.js, cache, and chains (stale elixir)

Ещё один подарок от того же исследователя. Подмена заголовка x-nextjs-data: 1 заставляет Next.js вернуть JSON с pageProps. При stale-while-revalidate кэш может отдать этот JSON как text/html — и снова XSS или DoS.

Почему вкусно: Два исследования по Next.js за год — это тренд. Фреймворк популярный, кэши сложные, а значит багов будет ещё больше.


➡️ 3. Under the Beamer (DOM Clobbering + DOMPurify bypass)

DOM Clobbering в Chromium + гаджет на удаление DOM-ноды в сторонней библиотеке = зануление функции экранирования DOMPurify в рантайме. Итог — XSS через innerHTML в атрибуте iframe, несмотря на "защиту".

Почему вкусно: DOMPurify — это святое. Когда его обходят, это всегда красиво. Плюс DOM Clobbering — недооценённая техника, которую мало кто проверяет.


➡️ 4. ORM Leaking More Than You Joined For

Исследование от elttam показывает, как разработчики сливают данные через ORM-фильтрацию. Баг в парсере выражений Beego ORM позволил обойти защиту в Harbor и фильтровать по полям password и salt. Плюс — обход аутентификации в Prisma через type confusion: пользовательский ввод превращается в объект оператора через стандартные парсеры запросов (Express.js qs).

Почему вкусно: ORM Leak — это не SQL-инъекция, но позволяет вытаскивать чувствительные данные посимвольно. Работает на Django, Prisma, Beego, Entity Framework. Авторы даже выложили semgrep-правила для детекта.


➡️ 5. Cross-Site WebSocket Hijacking (CSWSH) in 2025

Исследование показывает, что Private Network Access (PNA) НЕ распространяется на WebSocket. Это значит: с внешнего сайта можно открыть WebSocket к устройству в локальной сети жертвы. Если там GraphQL API — обходим CSRF и делаем что хотим.

Почему вкусно: Локальные сервисы (роутеры, NAS, IoT) часто имеют WebSocket API и никакой защиты. А PNA, оказывается, не спасает. Огромный attack surface.

———

Полный список номинаций — на сайте PortSwigger. Голосование скоро, финальный топ-10 выйдет 3 февраля.

🔗Источник: PortSwigger Research

———
P.s. а какие вы атаки считаете интересными?

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

🎄Новогодим по-хакерски

CyberED вместе с Standoff 365 запускает новогоднюю активность для начинающих исследователей и новичков.

Что под елочкой в планах:

⚔️CTF-турнир с призами для победителей

⚔️Прямые включения из студии с райтапами на некоторые задачи и демонстрацией подходов

⚔️Воркшопы и интервью с практиками

⚔️10 дней бесплатного доступа к учебному контенту CyberED

⚔️Розыгрыш с ценными призами для участников программы

Сам выбирай свой уровень вовлеченности — смотри эфиры под оливье или решай таски, проходи курсы, которые впервые окажутся в открытом доступе.

Дедлайн: 10 января

Зарегистрироваться🫡

Читать полностью…

JA4 Fingerprinting: детектим AI-скраперы по TLS-отпечаткам
#TLS #fingerprinting #antibot #scraping

Browser-as-a-Service платформы вроде Browserbase научились подделывать практически всё: User-Agent, JavaScript API, IP через residential proxy. Но есть то, что они не могут фейкнуть без перекомпиляции TLS-стека - handshake.

♾️Что такое JA4♾️

JA4 - эволюция JA3, созданная FoxIO в 2023. Формат читаемый, не MD5-каша:
t13d1516h2_8daaf6152771_b0da82dd1658
Расшифровка: TCP, TLS 1.3, есть SNI, 15 cipher suites, 16 extensions, HTTP/2. Два хеша - ciphers и extensions.

♾️Почему работает♾️

JA4 сортирует cipher suites и extensions перед хешированием, отсеивает GREASE-значения. Fingerprint стабилен между сессиями одного клиента - но уникален для каждого TLS-стека.

♾️Fingerprints AI-ботов♾️

➡️ Browserbase: t13d1517h2_... - 17 extensions вместо 16 у Chrome. User-Agent говорит Chrome 121, TLS выдаёт модифицированное окружение.
➡️ Python requests: t12d1307h1_... - TLS 1.2, 7 extensions, HTTP/1.1. Instant detection.
➡️ Playwright: использует Chromium, но модифицирует TLS-конфигурацию - extension hash отличается от stock Chrome.

♾️Обход JA4♾️

Если цель использует JA4 для блокировки - вот рабочие методы обхода:

➡️ Burp Suite

burp-awesome-tls - спуфит TLS fingerprint любого браузера. Работает против Cloudflare, Akamai, DataDome. Установка: JAR → Extender.

Альтернатива: bypass-bot-detection от PortSwigger - мутирует cipher suites для обхода TLS-детекта.

➡️ Python автоматизация

requests палится моментально (TLS 1.2, 7 extensions). Замена - curl_cffi:

from curl_cffi import requests

# Имитация Chrome 136
resp = requests.get(
    "https://target.com",
    impersonate="chrome136"
)

Поддерживает chrome99-chrome136, firefox, safari. Под капотом - curl-impersonate с BoringSSL вместо OpenSSL.

➡️ Go

uTLS - форк стандартной TLS-библиотеки с доступом к ClientHello:

import tls "github.com/refraction-networking/utls"

config := tls.Config{ServerName: "target.com"}
conn := tls.UClient(rawConn, &config, tls.HelloChrome_120)

Для HTTP-клиента: spoofed-round-tripper - обёртка над uTLS, реализует http.RoundTripper.

➡️ Node.js

CycleTLS - спуфинг JA3/JA4 для JS. Использует JA4R (raw format) для конфигурации cipher suites и extensions.

Критично: fingerprint должен соответствовать User-Agent и HTTP/2 settings. Chrome JA4 + Firefox User-Agent = instant block.

Защита (defence in depth)

JA4 + JA4H (HTTP headers) + поведенческий анализ + honeypot-ссылки. Один слой обойти легко, комбинацию - сложнее.

🔗 Источники:
- WebDecoy - JA4 Guide
- burp-awesome-tls | bypass-bot-detection от PortSwigger
- curl_cffi
- uTLS

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Лаборатория Касперского: 67% россиян считают нейросети полностью, либо частично безопасными

«Лаборатория Касперского» провела исследование про ИИ, которое представила на вчерашней ежегодной пресс-конференции для представителей медиа.

Цифры такие:

Большинство к безопасности нейросетей относится лояльно - 67%.

Из числа тех, кто не доверяет безопастности нейросетей, чаще беспокоит возможная кража или утечка данных(этот риск назвали 63%), получение недостоверной или устаревшей информации — 54%, получение информации, которая может навредить здоровью или рабочим процессам — 51%, вероятность зависимости от общения с нейросетью и потеря потребности в общении с людьми — 38%.

Про меры предосторожности с нейросетями:

Подавляющеее большинство(86%) хотя бы иногда соблюдает меры предосторожности во взаимодействии с нейросетями.

63% не делятся конфиденциальными или персональными данными.

53% перепроверяют информацию.

49% не предоставляют доступы к файлам/фотогалерее на своих устройствах.

25% запрещают нейросетям использовать свои переписки для обучения моделей.

21% удаляют свои переписки с чат-ботами.

Владислав Тушканов, руководитель группы исследований технологий машинного обучения в ЛК упомянул и растущий тренд 2026 — ИИ-агентов и риски, связанные с ними, в частности промт инъекции.

@cybersachok

Читать полностью…

Доклад Егора Зайцева
#солар

Читать полностью…

9 обходов Windows Administrator Protection
#LPE #Windows11 #UAC #kernel #ProjectZero

James Forshaw из Google Project Zero разобрал Administrator Protection (AP) - новую фичу Windows 11 25H2, которую Microsoft позиционирует как секьюрную замену UAC. Спойлер: он нашёл 9 способов тихо получить админские права. Хорошая новость - Microsoft всё исправила ещё до релиза (KB5067036).

♾️Как работает AP♾️
AP изолирует админские права в отдельном shadow administrator account. В отличие от классического UAC со split-token на одном аккаунте, AP создаёт отдельный сеанс входа (уникальный AuthenticationId/LUID) при каждого повышения прав. Это должно исключить перехват контекста между режимами и убрать auto-elevation для Microsoft-бинарников.

Самый интересный байпасс Forshaw детально описал атаку через перехват DOS Device Directory:
▪️Запускаем процесс shadow admin через RAiProcessRunOnce → выполнит runonce.exe с диска C:
▪️Открываем дескриптор процесса до обращения к файлам, запрашиваем primary token
▪️Конвертируем в impersonation token с уровнем SecurityIdentification
▪️Инициируем создание DOS-директории через NtOpenDirectoryObject к ??
▪️Из-за Identification level ядро назначает владельцем юзера из primary token, а не админа
▪️Создаём симлинк C: → подконтрольный путь
▪️Процесс загружает пейлоад с правами админа

Ирония в том, что этот баг существовал годами, но стал эксплуатируемым именно благодаря AP — раньше не было сценария, где ограниченный юзер мог выполнить код до создания первого админского процесса.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

AI-агенты в SOC: критический анализ архитектуры, экономики и рисков
#ai #llm #soc #mitre #agents

♾️TL;DR♾️
AI-агенты в SOC — это не замена аналитиков, а вероятностный интерпретатор поверх существующей инфраструктуры. Статья разбирает: где агенты полезны, где опасны, как атакующий может манипулировать их решениями, и почему будущее — за гибридными архитектурами. Включён маппинг attack surface на MITRE ATT&CK и ATLAS.

♾️Оглавление♾️
1. Агентные системы как новый слой оркестрации
2. Экономика агентного подхода
3. Безопасность агентных систем как новая зона риска
4. Где агент действительно полезен
5. Почему агентный подход часто путают с “умной автоматизацией”
6. Ограничения агентного подхода в инцидент-респонсе
7. Агент против скриптов: граница эффективности
8. Интеграции, API и операционные риски
9. Как агент меняет роль аналитика
10. Agentic SOC будущего
11. Attack Surface AI-агента: маппинг на MITRE ATT&CK / ATLAS

🔗blog.poxek

p.s. я перенёс сайт с NextJS + собственная VPS на Hugo + GitHub Pages, если найдете баги, то можете заводить исусесы

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Ловите вкусные баги прошедшей недели
#CVE #RCE #Microsoft #XSS #Oracle #RCE #Microsoft #Apache #GitLab #Gitea

➡️ Oracle (CVE-2026-21962, CVSS 10.0) — RCE в Oracle HTTP Server и плагине WebLogic Server Proxy для Apache и IIS. Баг кроется в некорректной аутентификации и управлении доступом на специфических служебных эндпоинтах (/weblogic/, /wl proxy/ и др.). Атакующий может отправить HTTP-запрос с внедренными Base64-кодированными командами в заголовках чтобы добиться RCE на сервере без авторизации. Вектор позволяет полностью скомпрометировать систему и получить доступ ко всем данным. Есть PoC.

➡️ Microsoft Account (CVE-2026-21264, CVSS 9.3) — критический XSS-баг в централизованном сервисе аутентификации Microsoft Account. Некорректная нейтрализация входных данных при генерации веб-страницы позволяет неаутентифицированному атакующему внедрить произвольный скрипт. Для этого необходимо убедить жертву перейти по вредоносной ссылке. Баг позволяет похищать сессионные токены и проводить спуфинг-атаки, полностью подменяя интерфейс входа для перехвата учетных данных.

➡️ Gitea (CVE-2026-20750, CVSS 9.1) — некорректный контроль доступа при проверке прав собственности на проекты организаций. Логическая ошибка в API или контроллерах (IDOR) позволяет атакующему, имеющему права write access в проекты цели, манипулировать проектами чужой организации, если он знает их идентификаторы.

➡️ GitLab — на прошлой неделе стало известно о нескольких CVE, позволяющих обходить 2FA и производить DoS-атаки: CVE-2025-13927 (DoS через Jira Connect, CVSS 7.5), CVE-2025-13928 (DoS через Releases API, CVSS 7.5), CVE-2026-0723 (обход 2FA, CVSS 7.4), CVE-2025-13335 (бесконечный цикл в Wiki, CVSS 6.5 + PoC), CVE-2026-1102 (DoS через SSH-аутентификацию, CVSS 5.3).

➡️ Apache Solr (CVE-2026-22022, CVSS 8.2) — недостаточная валидацией входных данных в RuleBasedAuthorizationPlugin. Проявляется в конфигурациях, где заданы множественные роли и специфические разрешения, но отсутствует явно прописанное правило all. Это позволяет злоумышленнику, отправляющему нефильтрованные HTTP-запросы напрямую к Solr, обходить ограничения доступа к определенным API, тем самым эксплуатируя дыры в правилах сопоставления разрешений.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

🖖Гайд по GoPhish: полный цикл настройки

Запустить реалистичную фишинговую рассылку с высоким Inbox Rate — задача не для новичков.
Команда ScanFactory подготовила серию из 3 статей, чтобы даже начинающий специалист смог разобраться в настройке «от и до» и запустить реалистичные фишинговые кампании.

1⃣ Установка GoPhish на VPS

2⃣ Настройка почтового сервера и SPF/DKIM/DMARC

3⃣ Создание фишингового сайта и интеграция с кампанией

Серия охватывает весь процесс: подготовку инфраструктуры, повышение доставляемости писем, создание реалистичных страниц и практическую сборку рабочей схемы для контролируемых фишинговых кампаний.

👉 Подписывайся на канал ScanFactory, чтобы не пропустить полезные гайды и практические кейсы.
#реклама
О рекламодателе

Читать полностью…

🔓 Java десериализация жива — и это Pre-Auth RCE
#RCE #java #ysoserial #springboot

Ребята из Principle Breach выкатили свежий writeup с bug bounty, и это база — Java deserialization на API Gateway, который должен был защищать инфраструктуру.

♾️Разведка♾️

Разведка началась с пассивного сбора доменов через subfinder и активной проверки доступности веб-узлов (httpx -sc). В результате был обнаружен публично доступный gateway-internal[.]target[.]com (HTTP 200) с кастомным management-интерфейсом API-шлюза. Логин-страница раскрывала версию продукта (REDACTED API Gateway v1.2.5).

Параллельно выявлены смежные окружения: dev-v2[.]target[.]com (403), stg[.]target[.]com (401), metrics[.]target[.]com (401), раскрывшие карту инфраструктуры.

♾️Цепочка атаки♾️

0️⃣Subdomain enum ==> находят gateway-internal.target.com
1️⃣Spring Boot, JSESSIONID, Whitelabel Error Page ==> Java во всей красе
2️⃣Фаззинг API ==> endpoint /api/v1/cluster/sync отвечает без аутентификации
3️⃣Посылают serialized Java object ==> сервер принимает, десериализует, и только потом проверяет тип (кек)
4️⃣CommonsCollections6 через ysoserial ==> reverse shell

Суть бага: кластерная синхронизация между нодами принимала произвольные serialized объекты без auth. Ошибка ClassCastException прилетала уже после исполнения payload'а.
Что пошло не так: Админка торчит наружу > Внутренние эндпоинты без auth > Подробные сообщения об ошибках сливают структуру классов > Устаревшие зависимости с известными gadget chains

♾️Защита♾️

Изоляция - админ-интерфейсы API-шлюзов должны быть доступны только из корпсети или с VPN, а не напрямую из интернета, даже если есть auth-форма.
Минимизация экспозиции dev/stg-окружений - временные стенды регулярно увеличивают поверхность атаки и часто содержат отладочные эндпоинты.
Сокрытие версий ПО на внешних интерфейсах - эта информация упрощает CVE-таргетинг и diff-анализ патчей.

🔗 Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Закрепление в Next.js через генерацию сессионных кук
#NextJS #next #react #js #React2Shell #RCE #AuthJS

Исследователь Embrace The Red продемонстрировал технику закрепления в next-auth (Auth.js), позволяющую генерировать валидные сессии в обход Identity Provider и обеспечивать персистентность даже при регулярной ротации OAuth-кредов. В начале цепочки используется небезызвестная React2Shell бага.

♾️Техническая суть♾️

В режиме JWT архитектура next-auth опирается на Stateless JWE (JSON Web Encryption). Валидность сессии определяется исключительно возможностью расшифровать токен на сервере.

Key Encryption Key генерируется через алгоритм HKDF, в качестве входных данных используя IKM (Input Keying Material, переменная окружения NEXTAUTH_SECRET) и Salt — дефолтное или кастомное имя куки (например, next-auth.session-token).

Утечка NEXTAUTH_SECRET позволяет атакующему локально воспроизвести процесс HKDF и зашифровать произвольный JSON-пейлоад, подменив sub, email, iat, exp. Сервер примет такой JWE-контейнер как легитимный, поскольку криптографическая целостность соблюдена, а сверка с базой данных или OAuth-провайдером для расшифрованных сессий архитектурно не требуется.

♾️Типичный пайплайн атаки♾️

▪️Атакующий эксплуатирует React2Shell и получает RCE.
▪️Дампит переменные окружения (env) и забирает NEXTAUTH_SECRET.
▪️С помощью скрипта на базе кода самой либы генерирует подписанную куку next-auth.session-token с нужными клеймами (Admin, UserID и т.д.).
▪️Подставляет куку в браузер и обеспечивает персистентность, даже если OAuth-креды сброшены.

♾️Защита♾️

▪️Обязательная ротация NEXTAUTH_SECRET и AUTH_SECRET при любом подозрении на компрометацию.
▪️Инвалидация всех активных сессий после ротации.
▪️Мониторинг дубликатов JTI (JWT ID) с разных IP-адресов.
▪️Детект аномальных полей в сессиях (странные User-Agent и т.п.).

🔗 Источник
🔗 GitHub

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Новый вектор NTLM Relay: принудительный запуск WebClient на SCCM
#SCCM #NTLM #NTLMRelay #AD #Microsoft #ActiveDirectory

Исследователи из SpecterOps обнаружили особенность в работе SCCM (MECM), позволяющую удаленному атакующему дистанционно запустить службу WebClient на сервере сайта и провести NTLM Relay атаку на LDAP.

♾️Техническая суть♾️

При включенном Automatic Client Push Installation сервер сайта пытается подключиться к целевой машине. В процессе через вызов WNetAddConnection2 он пробует мапить шары, и если в этот момент подсунуть ему WebDAV-ресурс, на сервере SCCM автоматически стартует служба WebClient.

♾️Типичный пайплайн атаки♾️

Приятные бонусы: WebClient не обязательно быть запущенной заранее — достаточно самого факта его установки. Кроме того, HTTP-аутентификация не требует подписи, в отличие от SMB, поэтому релей на LDAP проходит идеально.
▪️Атакующий триггерит установку клиента на подконтрольный хост через SharpSCCM и регистрацию фейкового устройства.
▪️Сервер SCCM стучится к атакующему. Вместо SMB форсится использование HTTP (WebDAV).
▪️Из-за попытки коннекта по WebDAV на сервере SCCM сама собой поднимается служба WebClient.

Далее два варианта:
▪️Ленивый — если учетка Client Push Installation перепривилегирована (например, Domain Admin), атакующий просто релеит ее HTTP-аутентификацию на LDAP и создает себе админа.
▪️Сложный — если учетка CP слабая, но WebClient уже поднят, задействуется классический PetitPotam (EFSRPC) против самого сервера SCCM. Сервер аутентифицируется через HTTP (машинной учеткой), атакующий релеит это на LDAP и через Shadow Credentials захватывает сервер.

♾️Защита♾️

▪️Отключить NTLM Fallback.
▪️Включить LDAP Signing и Channel Binding.
▪️Удалить фичу WebDAV Redirector с серверов сайта, если она не нужна.

🔗Подробности

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

React Fiber Forensics: эксгумация исходного кода из оперативной памяти
#reverse #react #ReactFiber #webpack #vite #bugbounty #appsec

Принято считать, что минификация и бандлинг (Webpack/Vite) надежно скрывают логику фронтенда. Но, как выяснил разработчик David Fant, прибывающих в браузер артефактов (JS-бандл, runtime-данные, структура UI) вполне достаточно, чтобы реконструировать исходный код React-компонентов с высокой точностью, используя только runtime-слепки памяти и LLM.

♾️Техническая суть♾️

React использует структуру данных Fiber — Linked List узлов, представляющий состояние UI. В отличие от Call Stack, Fiber-дерево хранится в куче постоянно для поддержки асинхронного рендеринга и Reconciliation. Каждый DOM-элемент в React-приложении содержит ссылку на свой Fiber-узел, получив доступ к которому можно получить и доступ к приватным данным компонента:
memoizedProps — актуальные входные данные
memoizedState — внутреннее состояние (связный список хуков: useState, useReducer, useContext)
stateNode — инстанс класса или ссылка на DOM
type — ссылка на оригинальную (минифицированную) функцию-компонент

♾️Типичный пайплайн атаки♾️

▪️Скрипт-имплант находит корневой контейнер приложения и рекурсивно обходит дерево Fiber, следуя по указателям child и sibling.
▪️Для каждого узла сериализуется текущее состояние. В отличие от статического анализа бандла, здесь есть динамические значения в момент исполнения.
▪️Сдампленная структура скармливается LLM. Модель, обученная на миллионах строк React-кода, выполняет обратное преобразование: Fiber Node ▪️Snapshot -> Idiomatic JSX, восстанавливает имена пропсов (они часто не минифицируются) и логику рендера.

♾️Для чего♾️

▪️Быстрый pixel-perfect фишинг, когда воспроизводятся состояния, тексты ошибок и поведение форм
▪️Реверс бизнес-логики на клиенте: валидации, feature-flags, проверки ролей, алгоритмы расчета — все, что ошибочно сочли неинтересным для атакующего
▪️Для поиска багов, поскольку восстановленный компонент проще анализировать на небезопасные паттерны (XSS/DOM XSS, небезопасные редиректы, утечки токенов в URL/логах, логика «только на фронте»).

♾️Защита♾️

Минификация бесполезна. Что поможет:
▪️Перенос чувствительной логики в серверные компоненты. Их код исполняется на бэкенде, а клиенту прилетает только сериализованный результат (JSON-подобная структура) без логики обработки.
▪️Использование инструментов типа Jscrambler, которые ломают не только имена, но и поток управления, затрудняя работу LLM по восстановлению логики.

🔗Подробнее

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Tsundere Botnet: злоупотребление Node.js и блокчейна Ethereum для устойчивого C2
#botnet #nodejs #js #ethereum #c2 #powershell #windows

В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям.

♾️Kill Chain♾️

Initial Access
 ├─ Fake MSI / PowerShell dropper
 ├─ RMM / pirated software
 └─ Game lures (valorant.exe, cs2.msi)

Execution
 ├─ Node.js runtime (bundled or downloaded)
 └─ Obfuscated JS loader

Persistence
 ├─ HKCU\...\Run
 └─ pm2 autostart

C2
 ├─ Ethereum smart contract
 └─ WebSocket (ws / wss)

Command Execution
 └─ eval() arbitrary JS

🔗blog.poxek

Всех с началом трудовой трудной недели 💻

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

🚩 DUCKERZ CTF

Зима в самом разгаре, а значит настало время для DUCKERZ CTF, онлайн соревнования по информационной безопасности от нашей команды.

🐥Формат task-based
🐥Команды до 5 человек
🐥С 12:00 7 февраля по 12:00 8 февраля (МСК)

Участвовать могут все желающие независимо от уровня подготовки, а призы получат топ 3 команды.

Собирайте свою команду, тренируйтесь на нашей платформе, обсуждайте задания и предстоящий ивент в нашем чате.

👉 Регистрация

Все анонсы и апдейты будем публиковать в нашем канале.

🐥 Канал | 🐥 Чат | 🐥 Платформа | 🐥 Регистрация

Читать полностью…

MacSync Stealer: Как подписанное Apple приложение обходит Gatekeeper
#macos #malware #stealer #gatekeeper #cybersecurity

Думали, что Gatekeeper и нотаризация Apple — это непробиваемая стена? Как бы не так. Новый вариант стилера MacSync показывает, что даже "проверенное" приложение может оказаться трояном, который система macOS с радостью пропустит без единого предупреждения.

➡️ Как это работает?
Вредонос распространяется под видом установщика мессенджера zk-call-messenger-installer-3.9.2-lts.dmg. Жертва скачивает, монтирует образ и запускает приложение. И тут начинается самое интересное:

1. Обход Gatekeeper: Приложение подписано легитимным (уже отозванным) Apple Developer ID (GNJLS3UYZ4) и нотариально заверено. Gatekeeper видит валидную подпись и не показывает никаких страшных окон. Пользователь спокоен.

2. Загрузка полезной нагрузки: После запуска приложение, написанное на Swift, проверяет доступ в интернет и незаметно скачивает с C2-сервера (gatemaden.space) вторую стадию — обфусцированный zsh-скрипт.

3. Исполнение: Скрипт сохраняется в /tmp/runner, с него снимается атрибут карантина, и он запускается. Этот скрипт — и есть сам стилер, который работает в памяти, воруя пароли, куки и данные из Keychain.

❗️Эволюция угрозы
Раньше подобные стиллеры требовали от пользователя ручных действий (перетащить скрипт в терминал, вставить команду). Теперь всё автоматизировано. Это показывает, что авторы малвари становятся хитрее и профессиональнее. А с приходом AI атаки становятся проще, масштабнее и иногда быстрее.

😉 Apple уже отозвала сертификат, но это не мешает атакующим получить новый и повторить атаку. Техника остаётся рабочей.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…

Европейское космическое агентство под прицелом: Хакер "888" продает 200 ГБ исходного кода и API-ключей
#ESA #databreach #cybersecurity #hack #infosec

Пока все доедали новогодние салаты, кто-то усердно "бекапил" данные из Европейского космического агентства (ESA). Агентство официально подтвердило инцидент, но, как всегда, с оговорками. Давайте разберемся, стоит ли верить успокаивающим заявлениям или же это "космический" провал.

➡️Что случилось?
Хакер под ником "888" заявил о взломе и выставил на продажу более 200 ГБ данных. ESA подтвердило факт инцидента, уточнив, что скомпрометированы были внешние серверы, не связанные с основной корпоративной сетью. Звучит не так страшно, правда?

➡️Что утащили?
А вот тут начинается самое интересное. Хакер утверждает, что в его руках оказались:
- Приватные репозитории Bitbucket
- Исходный код различных проектов
- CI/CD пайплайны
- API-токены и учетные данные

Весь этот набор продается за скромную сумму в криптовалюте Monero. ESA настаивает, что затронута только "неклассифицированная" информация. Но исходный код и API-ключи, даже от второстепенных проектов, — это уже серьезно.

➡️Почему это важно?
Заявление о "неклассифицированной" информации — классическая отмазка, чтобы не паниковали и государство не бонькнуло сверху. Однако, исходный код может содержать уязвимости, которые можно использовать для атак на другие, более важные системы агентства. API-ключи могут открыть доступ к партнерским сервисам, создавая угрозу для всей цепочки поставок.

По сути, даже если это не чертежи нового марсохода, утечка такого масштаба — это золотая жила для атакующих и огромный репутационный удар.

P.s. накиньте бустов /channel/boost/poxek

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK

Читать полностью…