Некто Сатоши, как анонсируется, взломал провайдера электронной почты с неоднозначной репутацией Cock[.]li и теперь реализует данные в киберподполье на XSS по цене в 1 биткоин.

Хакер, по всей видимости, задействовал недавно обнаруженную 0-day в Roundcube (CVE-2025-49113) для взлома базы данных Cock[.]li и последующей кражи данных более миллиона зарегистрированных пользователей.

В отчете по результатам расследования администрация веб-почты отрицает инцидент, утверждая, что уязвимость, использованная при атаке, не влияет на ее версию Roundcube, однако в публичных отчетах указывается совсем противоположное.

При этом с формулировкой «даже если не будет обнаружено никаких признаков вторжения или успешной эксплуатации», Cock[.]li заявила, что планирует отказаться от использования Roundcube в любом случае.

Пользователям рекомендовано перейти на десктопные почтовые клиенты для подключения к своим аккаунтам, пока админы не подберут другое ПО для веб-почты.

Несмотря на заявления Cock[.]li, многие исследователи подтверждают подлинность утечки, которая уже заинтересовала многие инфосек-компании и силовой блок.

Cock[.]li стартовал в 2013 году в качестве бесплатного почтового сервиса и быстро вошел в обиход киберпреступности. Уже в 2015 его сервера выхлапывали немецкие спецслужбы, которые тогда вели розыск анонима, сообщившего о бомбе в США.

В свою очередь, упомянутая 0-day является типичным примером «пробела в исправлениях».

Разработчики Roundcube внедрили исправление в кодовую базу GitHub, но затем потребовалось несколько дней, чтобы реализовать новую версию проекта, в результате чего информация об уязвимости оказалась в открытом доступе, а серверы веб-почты Roundcube оказались уязвимы для атак.

По данным FearsOff, злоумышленники вовремя заметили измененный код и быстро выкатили эксплойты для ошибки на хакерские форумы до того, как Roundcube выпустила исправление, которое пользователи смогли установить.

При этом исследователи Shadowserver полагают, что более 85 000 серверов Roundcube подверглись атакам.

Весьма вероятно, что большая часть из них была в итоге взломана, а украденные данные ждет та же участь, что и Cock[.]li.

Более 46 000 доступных в глобальной сети экземпляров Grafana подвержены уязвимости открытого перенаправления на стороне клиента, которая позволяет запустить вредоносный плагин и захватить учетную запись.

CVE-2025-4123 затрагивает несколько версий, была обнаружена багхантером Альваро Баладой и устранена в обновлениях, выпущенных Grafana Labs 21 мая.

Несмотря на это, по данным исследователей из OX Security, называющих уязвимость The Grafana Ghost, более трети всех экземпляров Grafana не были исправлены до настоящего времени.

Идентифицировав версии, уязвимые для атаки, ресерчеры обнаружили 128 864 экземпляров в сети, из которых 46 506 все еще не обновлены, что соответствует 36% от общего числа.

Глубокий анализ CVE-2025-4123, проведенный OX Security, показал, что с помощью поэтапной эксплуатации, сочетая обход пути на стороне клиента с механизмами открытого перенаправления, злоумышленники могут заставить жертв перейти по URL-адресам, которые приведут к загрузке вредоносного плагина Grafana с сайта, контролируемого злоумышленником.

Исследователи утверждают, что вредоносные ссылки могут использоваться для выполнения произвольного JavaScript в браузере пользователя.

Эксплойт при этом не требует повышенных привилегий и может работать даже при включенном анонимном доступе.

Уязвимость позволяет злоумышленникам перехватывать сеансы пользователей, изменять учетные данные и, в случаях, когда установлен плагин Grafana Image Renderer, выполнять SSRF для чтения внутренних ресурсов.

Несмотря на то, что политика безопасности контента (CSP) по умолчанию в Grafana обеспечивает некоторую защиту, она не предотвращает эксплуатацию из-за ограничений в обеспечении безопасности на стороне клиента.

Разработанный OX Security эксплойт демонстрирует, что уязвимость CVE-2025-4123 может быть использована на стороне клиента для обхода современных механизмов нормализации браузера с помощью логики маршрутизации JavaScript, встроенной в Grafana.

Это позволяет злоумышленникам использовать несоответствия в обработке URL-адресов для обслуживания вредоносных плагинов, которые, в свою очередь, изменяют адреса электронной почты пользователей, что упрощает задачу взлома учетных записей посредством сброса пароля.

Для эксплуатации CVE-2025-4123 требуется ряд условий, включая взаимодействие с пользователем, активный сеанс пользователя при переходе жертвы по ссылке и наличие включенной функции плагина.

Однако в силу достаточно большого количества выявленных уязвимых экземпляров в сочетании с отсутствием необходимости аутентификации открывается значительная поверхность для атак.

Для снижения риска эксплуатации, администраторам Grafana рекомендуется обновиться до версий 10.4.18+security-01, 11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01, 11.5.4+security-01, 11.6.1+security-01 и 12.0.0+security-01.

Тут согласен )))

#Юмор

В январе 2025 года мы сообщали об обнаружении исследователями Лаборатории Касперского вредоносных кампаний с использованием крипокрада SparkCat.

Тогда злоумышленники распространяли приложения с вредоносным SDK/фреймворком, который запрашивал права на доступа к галерее и при помощи OCR-модели нацеливался на фотографии с фразами восстановления доступа к криптокошелькам.

Зловред продвигался как через неофициальные источники, так и через магазины приложений Google Play и App Store. На этот раз ресерчерам удалось выловить на официальных площадках нового шпиона.

Предположительно, он также нацелен на криптовалютные активы жертв и связан со SparkCat, собственно, в виду этого и получил наименование SparkKitty.

Вредоносная кампания ведется как минимум с февраля 2024 года.

Зловред нацелен на устройства под управлением iOS и Android и распространяется как в дикой природе, так и в App Store и Google Play.

На момент публикации Google уже удалила зловред.

Одно из Java-приложений для Android, содержащих вредоносную полезную нагрузку, - мессенджер с функцией обмена криптовалют - было загружено в Google Play и установлено более 10 000 раз. 

Еще одно из найденных зараженных приложений для Android называлось 币coin и распространялось через неофициальные источники. Однако у него была найдена версия для iOS прямо в App Store.

Как в версии для Android, так и в версии для iOS вредоносная нагрузка была частью приложения, а не какого-либо стороннего SDK или фреймворка.

Вредоносная нагрузка для iOS представлена в виде фреймворков (в основном маскируется под AFNetworking.framework или Alamofire.framework) и обфусцированных библиотек, мимикрирующих под libswiftDarwin.dylib, или напрямую встроена в приложения.

Троянец для Android существует в вариантах на Java и Kotlin. При этом версия на Kotlin является вредоносным Xposed-модулем.

Большинство версий зловреда крадет все изображения без разбора, однако исследователи ЛК нашли смежный кластер вредоносной активности, где для отбора картинок применяется OCR.

По данным ЛК, злоумышленники в основном были нацелены на пользователей из Юго-Восточной Азии и Китая.

Обнаруженные зараженные приложения в большинстве своем представляли различные китайские азартные игры, модификации TikTok, порноигры, ориентированные изначально именно на пользователей из этих регионов.

Технические подробности и индикаторы - в отчете.

Исследователи Rapid7 обнаружили восемь серьезных уязвимостей, которые затрагивают более 700 моделей принтеров, сканеров и этикетировочных машин Brother и ряда других производителей. 

Помимо 689 моделей различных устройств Brother уязвимости также затронули 46 моделей принтеров Fujifilm Business Innovation, 5 - Ricoh, 6 - Konica Minolta и 2 - Toshiba.

В общем, как полагают исследователи Rapid7, выявленный набор подвергает риску эксплуатации миллионы корпоративных и домашних принтеров. 

Самая серьезная из уязвимостей, критическая CVE-2024-51978, позволяет удаленному и неавторизованному злоумышленнику обойти аутентификацию и получить пароль администратора устройства по умолчанию.

CVE-2024-51978 может быть связана с уязвимостью раскрытия информации, CVE-2024-51977, которая, в свою очередь, может быть использована для излечения серийного номера устройства. Он необходим для генерации пароля администратора по умолчанию.

Как поясняют в Rapid7, это связано с обнаружением процедуры генерации пароля по умолчанию, используемой устройствами Brother.

У затронутых устройств пароль по умолчанию устанавливается на основе уникального серийного номера каждого устройства в процессе производства.

Наличие пароля администратора позволяет злоумышленнику перенастроить устройство или злоупотребить функционалом, предназначенным для аутентифицированных пользователей. 

Оставшиеся уязвимости, имеющие уровни серьезности «средний» и «высокий», могут быть использованы для DoS-атак, заставляя принтер открывать TCP-соединение, получать пароль настроенной внешней службы, вызывать переполнение стека и выполнять произвольные HTTP-запросы.

Шесть из восьми уязвимостей, обнаруженных Rapid7, могут быть использованы без аутентификации. 

Ресерчеры сообщили о своих выводах в Brother примерно год назад через японский JPCERT/CC.

Поставщик, свои очередь, выпустил соответствующие рекомендации, информируя клиентов об уязвимостях. 

Brother исправила большинство уязвимостей, но заявляет, что CVE-2024-51978 не может быть полностью исправлена в прошивке. Для закрытия компания внесла изменения в производственный процесс.

Для существующих устройств доступен обходной путь.

Кроме того, отдельные рекомендации по выявленным проблемам также были опубликованы JPCERT/CC, Ricoh, Fujifilm, Toshiba и Konica Minolta.