Новости информационной безопасности

0day-баг в системе авторизации поставил под угрозу миллионы iPhone и iPad. Apple выпустила внеплановое обнoвление безопасности для iOS и iPadOS, закрывающее уязвимoсть CVE-2025-24200 , которая уже использовалась в реальных атаках. Проблема связана с ошибкой авторизации, позволяющей злоумышленникам отключать режим ограниченного доступа USB на заблокированных устройствах, что делает их уязвимыми для кибератак. Для эксплуатации уязвимости требуется физический доступ к устройству. Режим ограниченного доступа USB, впервые представленный в iOS 11.4.1, предотвращает передачу данных через USB, если устройство не было разблокировано и подключено к аксессуарам в течение последнего часа. Эта мера защиты направлена на противодействие цифровым...

Компания Trimble уведомила клиентов Cityworks о выпуске срочных обновлений безопасности для устранения критической уязвимости (CVE-2025-0994) в программном обеспечении Cityworks 15.x и 23.x. Обновления доступны для загрузки с 28 и 29 января 2025 года соответственно. Подробности уязвимости: В ходе расследования было обнаружено, что внешние злоумышленники могли использовать десериализацию для удаленного выполнения команд (RCE) на IIS-серверах клиентов Cityworks. Для защиты рекомендуется немедленно обновить ПО до последних версий. Выявленные проблемы: RCE через IIS: Эксплуатация уязвимости с помощью вредоносного JavaScript и загрузчиков на базе Rust и Cobalt Strike. Права доступа IIS: Обнаружены избыточные права доступа IIS на некоторых...

Разработчики антидетект-браузера AdsPower сообщили, что в конце января 2025 года компания пострадала от атаки. В результате в AdsPower был внедрен вредоносный код, который воровал криптовалюту из сторонних расширений. Взлом произошел 21 января 2025 года и был обнаружен 24 января. Неизвестные злоумышленники внедрили в AdsPower малварь, которая модифицировала расширения сторонних криптовалютных кошельков и похищала средства пользователей. В компании сообщают, что уведомили об инциденте правоохранительные органы Сингапура, и расследование инцидента еще продолжается. О доменах, которые были связаны с этой атакой, уже сообщили администраторам и представителям Namecheap. В отдельном сообщении подчеркивается, что от атаки пострадали...

На BreachForums была раскрыта серьезная утечка данных популярного сервиса защиты Discord — RestoreCord. В результате инцидента в открытый доступ попали данные почти миллиона пользователей, включая временные метки, последние IP-адреса, имена пользователей и Discord ID. Пользователь под псевдонимом Sythe опубликовал данные вместе с ссылкой на загрузку файла в формате .csv. Анализ файла не выявил вредоносного кода, однако домен, на который был загружен файл, часто связывается с подозрительной активностью. На данный момент мотив взлома остается неизвестным. RestoreCord и масштабы угрозы RestoreCord предоставляет услуги по резервному копированию серверов Discord и обслуживает около 99 миллионов участников, из которых 100 тысяч являются...

В продолжении этой новости Zyxel опубликовала уведомление о нескольких уязвимостях, затрагивающих устаревшие модели DSL-устройств, включая инъекции команд и небезопасные стандартные пароли для функции Telnet. Уязвимости были обнаружены в моделях: VMG1312-B10A VMG1312-B10B VMG1312-B10E VMG3312-B10A VMG3313-B10A VMG3926-B10B VMG4325-B10A VMG4380-B10A VMG8324-B10A VMG8924-B10A SBG3300 SBG3500 Типы уязвимостей: CVE-2024-40890 — уязвимость командной инъекции в CGI-программе устройств. Атакующий, получивший доступ, может выполнить команды ОС через специально сформированный HTTP POST-запрос. Важно, что WAN-доступ по умолчанию отключен, и атака возможна только в случае компрометации пароля пользователя. CVE-2024-40891 — уязвимость командной...

NETGEAR выпустила обновления для ряда моделей маршрутизаторов, исправляющие уязвимость удаленного исполнения кода (RCE), которая может быть использована злоумышленниками без аутентификации. Проблема была обнаружена в следующих моделях: Точки доступа Wi-Fi 6: WAX206 WAX214v2 WAX220 Маршрутизаторы Nighthawk Pro Gaming: XR1000 XR1000v2 XR500 NETGEAR настоятельно рекомендует обновить прошивку как можно скорее, чтобы устранить эту угрозу. Как обновить прошивку: Перейдите на страницу поддержки NETGEAR. Введите модель устройства в поисковую строку и выберите модель из выпадающего меню. Перейдите в раздел "Загрузки" и выберите соответствующую прошивку. Следуйте инструкциям по установке, указанным в руководстве пользователя или на...

В феврале 2025 года обновления безопасности Android устраняют 48 уязвимостей, среди которых значится уязвимость нулевого дня в ядре системы, активно используемая в атаках. Эта уязвимость с высокой степенью опасности (CVE-2024-53104) представляет собой ошибку повышения привилегий в драйвере USB Video Class ядра Android, что позволяет аутентифицированным локальным злоумышленникам повышать свои привилегии с использованием атак низкой сложности. Проблема возникает из-за того, что драйвер неправильно обрабатывает кадры типа UVC_VS_UNDEFINED в функции uvc_parse_format. В результате этого неправильно рассчитывается размер буфера кадра, что может привести к выходу за пределы памяти и быть использовано для выполнения произвольного кода или...

Эксперты по безопасности из SquareX обнаружили новую атаку под названием Browser Syncjacking, которая позволяет злоумышленникам захватывать устройства жертв с помощью вредоносного расширения для Chrome. Атака включает этапы захвата профиля Google, контроля браузера и полного управления устройством жертвы. Несмотря на сложную многоступенчатую структуру, метод остаётся незаметным, требует минимальных разрешений и почти не требует взаимодействия со стороны жертвы. Достаточно лишь установки расширения, которое на первый взгляд кажется легитимным. Этапы атаки Syncjacking Создание управляемого Google Workspace профиля Злоумышленники создают вредоносный домен Google Workspace и настраивают несколько профилей пользователей без...

Эксперты центра исследования киберугроз Solar 4RAYS группа компаний (ГК) «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора. Вредоносный файл в системе заказчика из энергетического сектора был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в системе удаленного администрирования, которая использовалась без обновлений безопасности...

Команда Wiz Research выявила критическую уязвимость в инфраструктуре китайского AI-стартапа DeepSeek, который недавно привлек внимание благодаря инновационным моделям искусственного интеллекта, включая DeepSeek-R1. Открытая база данных ClickHouse, доступная без аутентификации, позволяла полный контроль над операциями и содержала более миллиона строк логов с конфиденциальными данными. Краткий обзор инцидента: Тип уязвимости: Публичный доступ к базе данных ClickHouse Адреса уязвимых ресурсов: oauth2callback.deepseek.com и dev.deepseek.com (порты 8123 и 9000) Данные в базе: Истории чатов в открытом виде Секретные ключи API Логи внутренних операций Метаданные сервисов и сведения о конфигурациях Последствия: Возможность получения полного...

Основная информация Voyager, популярный PHP-пакет с открытым исходным кодом для управления приложениями Laravel, оказался под угрозой из-за ряда критических уязвимостей. Платформа предоставляет удобный интерфейс администратора и поддерживает множество функций, таких как управление медиа, пользователями и выполнение различных операций. В рамках регулярного анализа кода через SonarQube Cloud, исследователи обнаружили произвольную уязвимость записи файлов, которая может привести к удаленному выполнению кода (Remote Code Execution, RCE). Описание уязвимостей Произвольная запись файлов (CVE-2024-55417) При загрузке файла через /admin/media/upload Voyager использует метод getMimeType() для проверки типа загружаемого контента. Однако этот...

Хакеры используют критическую уязвимость командной инъекции в устройствах серии Zyxel CPE, которая отслеживается как CVE-2024-40891 и остается неисправленной с июля прошлого года. Эксплуатация уязвимости По данным Greynoise, эта уязвимость схожа с CVE-2024-40890, связанной с протоколом HTTP. Однако компания Vulncheck подтвердила, что текущая эксплуатационная активность направлена именно на CVE-2024-40891, которая базируется на протоколе Telnet. На данный момент уязвимость не исправлена и не была официально раскрыта. Злоумышленники могут использовать её для выполнения произвольных команд на затронутых устройствах, что может привести к полному компромиссу системы, краже данных или инфильтрации сети. Угрозы и рекомендации Согласно...

Набор из трех различных, но взаимосвязанных атак, получивших название «Clone2Leak», может привести к утечке учетных данных. Это происходит через неправильную обработку запросов на аутентификацию GIT и его помощниками для получения учетных данных. Атака может поставить под угрозу пароли и токены доступа в таких сервисах, как GitHub Desktop, GIT LFS, GitHub CLI/Codespaces и GIT Credential Manager. Недавние уязвимости, которые сделали возможными атаки «Clone2Leak», были обнаружены японским исследователем Риотаком из Gmo Flatt Security, который ответственно сообщил о них разработчикам затронутых проектов. Все недостатки были исправлены в обновлениях безопасности. Атаки Clone2Leak Каждый из недостатков, обнаруженных Риотаком, связан с...

ScamAdviser, популярный онлайн-сервис, помогающий пользователям проверять надежность веб-сайтов и выявлять потенциальные мошеннические ресурсы, сообщил о недавнем инциденте с утечкой данных. 24 января 2025 года компания получила уведомление о частичной утечке данных, в ходе которой были раскрыты электронные адреса пользователей, а также некоторые пароли. Однако, после тщательного расследования, не было найдено доказательств утечки других персональных данных. Как мера предосторожности, ScamAdviser принял решение временно отключить сайт и провести пересмотр своих мер безопасности. Все пароли пользователей были сброшены, и при повторном входе на платформу (после восстановления работы сайта) пользователи будут обязаны установить новый...

Аналитический центр безопасности AhnLab (ASEC) отслеживает угрозы фишинга по электронной почте с помощью автоматической системы анализа образцов (RAPIT) и приманки. В этом посте рассматриваются случаи распространения фишинговых писем в четвертом квартале 2024 года (октябрь, ноябрь и декабрь) и предоставляется статистическая информация по каждому типу. Фишинговые атаки включают попытки получить учетные данные пользователя через маскировку или подделку институций, компаний или отдельных лиц с использованием социальной инженерии. В данном отчете основное внимание уделено фишинговым атакам через электронную почту. Также будет представлена классификация различных методов атак, основанных на фишинговых письмах. Фишинговые письма, описанные в...

Вредоносная кампания была нацелена на периферийные устройства Juniper, многие из которых используются как VPN-шлюзы. В рамках атаки применялось вредоносное ПО под названием J-Magic, которое активирует обратную оболочку только при обнаружении "магического пакета" в сетевом трафике. J-Magic ориентирован на организации из различных отраслей: полупроводниковую, энергетическую, производственную (включая судостроение, солнечные батареи и тяжёлую технику). Защита от вызова обратной оболочки J-Magic представляет собой модифицированный вариант общедоступной концепции закладок CD00R, который работает скрытно. По данным исследователей Black Lotus Labs (подразделение исследований и операций компании Lumen), кампания J-Magic была активна с...

Хакеры создали около 1000 фейковых веб-страниц, имитирующих популярные платформы Reddit и службу обмена файлами WeTransfer. Эти сайты используются для распространения вредоносного ПО под названием Lumma. На фейковых страницах злоумышленники подделывают интерфейс Reddit, показывая вымышленную ветку обсуждения по определённой теме. В обсуждении автор темы якобы просит помощь в загрузке инструмента, другой пользователь предлагает помочь, разместив файл на WeTransfer и поделившись ссылкой, а третий участник благодарит его. Всё это создаёт иллюзию подлинности. Поддельный сайт Reddit Жертвы, щёлкнувшие по ссылке, перенаправляются на фальшивый сайт WeTransfer, визуально схожий с оригинальным интерфейсом. Кнопка «Скачать» ведёт к загрузке...

Описание Cisco выпустила обновления безопасности для исправления уязвимости в ClamAV, связанной с отказом в обслуживании (DoS), для которой доступен код эксплойта типа Proof-of-Concept (PoC). Уязвимость, отслеживаемая как CVE-2025-20128, вызвана переполнением буфера в куче в процедуре расшифровки Object Linking and Embedding 2 (OLE2), что позволяет неавторизованным удалённым злоумышленникам запускать DoS-атаки на уязвимых устройствах. Если эта уязвимость будет успешно использована, это может привести к сбою процесса антивирусного сканирования ClamAV, что предотвратит или задержит дальнейшие операции сканирования. «Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный файл, содержащий объекты OLE2...

Вашингтон допускает, что Кремль может использовать антивирус компании для кражи информации или вмешательства в работу государственный органов. В США ведётся расследование в отношении российской IT-компании «Лаборатория Касперского», сообщает Reuters. Источники издания отмечают, что компания может обвиняться в краже информации или во вмешательстве в работу госорганов. По данным источника, программные продукты «Лаборатории Касперского» в прошлом году оценивало Министерство торговли США, но работа в этом направлении продвигалась медленно, по данному делу был достигнут лишь «незначительный прогресс». Поэтому в марте администрация Байдена призвала чиновников активизироваться. После этого к оценке рисков национальной безопасности из-за ПО...

Уязвимость в 7-Zip позволяет обходить защиту Windows Mark of the Web Уязвимость в файловом архиваторе 7-Zip позволяет злоумышленникам обходить функцию безопасности Windows Mark of the Web (MotW) и выполнять код на компьютерах пользователей при извлечении вредоносных файлов из вложенных архивов. Поддержка MotW в 7-Zip Функция поддержки MotW была добавлена в 7-Zip в июне 2022 года, начиная с версии 22.00. С тех пор архиватор автоматически добавляет метки MotW (альтернативные потоки данных Zone.Id) ко всем файлам, извлеченным из загруженных архивов. Метка MotW выполняет следующие функции: Информирует операционную систему, браузеры и приложения о ненадежности источника файла. При открытии помеченных файлов отображает предупреждения о...