Более 46 000 доступных в глобальной сети экземпляров Grafana подвержены уязвимости открытого перенаправления на стороне клиента, которая позволяет запустить вредоносный плагин и захватить учетную запись.

CVE-2025-4123 затрагивает несколько версий, была обнаружена багхантером Альваро Баладой и устранена в обновлениях, выпущенных Grafana Labs 21 мая.

Несмотря на это, по данным исследователей из OX Security, называющих уязвимость The Grafana Ghost, более трети всех экземпляров Grafana не были исправлены до настоящего времени.

Идентифицировав версии, уязвимые для атаки, ресерчеры обнаружили 128 864 экземпляров в сети, из которых 46 506 все еще не обновлены, что соответствует 36% от общего числа.

Глубокий анализ CVE-2025-4123, проведенный OX Security, показал, что с помощью поэтапной эксплуатации, сочетая обход пути на стороне клиента с механизмами открытого перенаправления, злоумышленники могут заставить жертв перейти по URL-адресам, которые приведут к загрузке вредоносного плагина Grafana с сайта, контролируемого злоумышленником.

Исследователи утверждают, что вредоносные ссылки могут использоваться для выполнения произвольного JavaScript в браузере пользователя.

Эксплойт при этом не требует повышенных привилегий и может работать даже при включенном анонимном доступе.

Уязвимость позволяет злоумышленникам перехватывать сеансы пользователей, изменять учетные данные и, в случаях, когда установлен плагин Grafana Image Renderer, выполнять SSRF для чтения внутренних ресурсов.

Несмотря на то, что политика безопасности контента (CSP) по умолчанию в Grafana обеспечивает некоторую защиту, она не предотвращает эксплуатацию из-за ограничений в обеспечении безопасности на стороне клиента.

Разработанный OX Security эксплойт демонстрирует, что уязвимость CVE-2025-4123 может быть использована на стороне клиента для обхода современных механизмов нормализации браузера с помощью логики маршрутизации JavaScript, встроенной в Grafana.

Это позволяет злоумышленникам использовать несоответствия в обработке URL-адресов для обслуживания вредоносных плагинов, которые, в свою очередь, изменяют адреса электронной почты пользователей, что упрощает задачу взлома учетных записей посредством сброса пароля.

Для эксплуатации CVE-2025-4123 требуется ряд условий, включая взаимодействие с пользователем, активный сеанс пользователя при переходе жертвы по ссылке и наличие включенной функции плагина.

Однако в силу достаточно большого количества выявленных уязвимых экземпляров в сочетании с отсутствием необходимости аутентификации открывается значительная поверхность для атак.

Для снижения риска эксплуатации, администраторам Grafana рекомендуется обновиться до версий 10.4.18+security-01, 11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01, 11.5.4+security-01, 11.6.1+security-01 и 12.0.0+security-01.

Тут согласен )))

#Юмор

В январе 2025 года мы сообщали об обнаружении исследователями Лаборатории Касперского вредоносных кампаний с использованием крипокрада SparkCat.

Тогда злоумышленники распространяли приложения с вредоносным SDK/фреймворком, который запрашивал права на доступа к галерее и при помощи OCR-модели нацеливался на фотографии с фразами восстановления доступа к криптокошелькам.

Зловред продвигался как через неофициальные источники, так и через магазины приложений Google Play и App Store. На этот раз ресерчерам удалось выловить на официальных площадках нового шпиона.

Предположительно, он также нацелен на криптовалютные активы жертв и связан со SparkCat, собственно, в виду этого и получил наименование SparkKitty.

Вредоносная кампания ведется как минимум с февраля 2024 года.

Зловред нацелен на устройства под управлением iOS и Android и распространяется как в дикой природе, так и в App Store и Google Play.

На момент публикации Google уже удалила зловред.

Одно из Java-приложений для Android, содержащих вредоносную полезную нагрузку, - мессенджер с функцией обмена криптовалют - было загружено в Google Play и установлено более 10 000 раз. 

Еще одно из найденных зараженных приложений для Android называлось 币coin и распространялось через неофициальные источники. Однако у него была найдена версия для iOS прямо в App Store.

Как в версии для Android, так и в версии для iOS вредоносная нагрузка была частью приложения, а не какого-либо стороннего SDK или фреймворка.

Вредоносная нагрузка для iOS представлена в виде фреймворков (в основном маскируется под AFNetworking.framework или Alamofire.framework) и обфусцированных библиотек, мимикрирующих под libswiftDarwin.dylib, или напрямую встроена в приложения.

Троянец для Android существует в вариантах на Java и Kotlin. При этом версия на Kotlin является вредоносным Xposed-модулем.

Большинство версий зловреда крадет все изображения без разбора, однако исследователи ЛК нашли смежный кластер вредоносной активности, где для отбора картинок применяется OCR.

По данным ЛК, злоумышленники в основном были нацелены на пользователей из Юго-Восточной Азии и Китая.

Обнаруженные зараженные приложения в большинстве своем представляли различные китайские азартные игры, модификации TikTok, порноигры, ориентированные изначально именно на пользователей из этих регионов.

Технические подробности и индикаторы - в отчете.

Исследователи Rapid7 обнаружили восемь серьезных уязвимостей, которые затрагивают более 700 моделей принтеров, сканеров и этикетировочных машин Brother и ряда других производителей. 

Помимо 689 моделей различных устройств Brother уязвимости также затронули 46 моделей принтеров Fujifilm Business Innovation, 5 - Ricoh, 6 - Konica Minolta и 2 - Toshiba.

В общем, как полагают исследователи Rapid7, выявленный набор подвергает риску эксплуатации миллионы корпоративных и домашних принтеров. 

Самая серьезная из уязвимостей, критическая CVE-2024-51978, позволяет удаленному и неавторизованному злоумышленнику обойти аутентификацию и получить пароль администратора устройства по умолчанию.

CVE-2024-51978 может быть связана с уязвимостью раскрытия информации, CVE-2024-51977, которая, в свою очередь, может быть использована для излечения серийного номера устройства. Он необходим для генерации пароля администратора по умолчанию.

Как поясняют в Rapid7, это связано с обнаружением процедуры генерации пароля по умолчанию, используемой устройствами Brother.

У затронутых устройств пароль по умолчанию устанавливается на основе уникального серийного номера каждого устройства в процессе производства.

Наличие пароля администратора позволяет злоумышленнику перенастроить устройство или злоупотребить функционалом, предназначенным для аутентифицированных пользователей. 

Оставшиеся уязвимости, имеющие уровни серьезности «средний» и «высокий», могут быть использованы для DoS-атак, заставляя принтер открывать TCP-соединение, получать пароль настроенной внешней службы, вызывать переполнение стека и выполнять произвольные HTTP-запросы.

Шесть из восьми уязвимостей, обнаруженных Rapid7, могут быть использованы без аутентификации. 

Ресерчеры сообщили о своих выводах в Brother примерно год назад через японский JPCERT/CC.

Поставщик, свои очередь, выпустил соответствующие рекомендации, информируя клиентов об уязвимостях. 

Brother исправила большинство уязвимостей, но заявляет, что CVE-2024-51978 не может быть полностью исправлена в прошивке. Для закрытия компания внесла изменения в производственный процесс.

Для существующих устройств доступен обходной путь.

Кроме того, отдельные рекомендации по выявленным проблемам также были опубликованы JPCERT/CC, Ricoh, Fujifilm, Toshiba и Konica Minolta.

Разработчики WinRAR устранили уязвимость обхода каталогов, которая при определенных обстоятельствах позволяет запустить вредоносное ПО после извлечения вредоносного архива.

Уязвимость отслеживается как CVE-2025-6218 и получила оценку CVSS 7,8.

Проблема была обнаружена исследователем whs3-detonator, который сообщил о ней через Zero Day Initiative 5 июня 2025 года.

Ошибка затрагивает только Windows-версию WinRAR, начиная с 7.11 и более ранние версий.

Исправление было выпущено в рамках WinRAR 7.12 beta 1, которая на днях стала доступна.

Согласно журналу изменений, при извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, исходный код переносимого UnRAR и UnRAR.dll могут использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.

Вредоносный архив может содержать файлы со специально созданными относительными путями, заставляющими WinRAR «скрыто» извлекать их в конфиденциальные места, такие как системные каталоги и папки автозапуска.

В случае, если содержимое архива включает вредоносный контент, эти файлы могут запуститься автоматически и вызвать выполнение кода при следующем входе пользователя в Windows.

Правда, все это будет реализовано с доступом на уровне пользователя (не с правами администратора или SYSTEM), но кража конфиденциальных данных из браузера будет возможна.

Кроме того, это позволит задействовать механизмы сохранения или обеспечить удаленный доступ для дальнейшего горизонтального перемещения.

Вместе с тем, эксплуатация CVE-2025-6218 требует взаимодействия с пользователем, например открытие вредоносного архива или посещение специально созданной страницы.

Однако с учетом повсеместной практики использования пользователями старых версии WinRar и наличия множества способов распространения вредоносных архивов, связанные с CVE-2025-6218 риски можно квалифицировать как очень высокие.

Помимо CVE-2025-6218, WinRAR 7.12 beta 1 также устраняет проблему HTML-инъекции при генерации отчетов, когда имена архивных файлов, содержащие <или>, могли быть внедрены в HTML-отчет как необработанные HTML-теги, что приводило к внедрению HTML/JS в браузере.

Еще два незначительных недостатка, исправленных в последней версии WinRAR, включают неполное тестирование томов восстановления и потерю точности временных меток для записей Unix.

В настоящее время сообщений об эксплуатации CVE-2025-6218 нет, но, учитывая широкое распространение WinRAR по всему миру и давнюю любовь киберподполья к этому ПО, пользователям следует немедленно обновиться до последней версии.

🧠 Как не потерять бизнес из-за одной уязвимости?

Разбираемся с управлением рисками ИБ на бесплатном вебинаре 7 июля в 20:00 (МСК)

📍 Что внутри?
- Где найти и как оценить реальные угрозы, а не вымышленные страшилки
- Как правильно строить защиту, чтобы она не мешала бизнесу, а помогала ему
- Какие технологии и практики действительно снижают риски
- Честные разборы инцидентов и что из них можно вынести
- Как встроить управление рисками в бизнес, а не просто «повесить на айтишников»

🙌 Кому стоит быть:
IT-руководителям, специалистам по ИБ, бизнес-лидерам и тем, кто хочет видеть больше, чем просто цифры в отчётах

🎯 Что получите:
- Четкое понимание, как управлять информационными рисками
- Современные методы защиты без бюрократии и мифов
- Базу для построения устойчивой системы ИБ в компании

📎 Участвуйте бесплатно → Регистрируйтесь по ссылке

💼 Вебинар проходит в рамках подготовки к запуску курса “CISO / Директор по информационной безопасности” — если вы хотите перестать «гасить пожары» и начать управлять ИБ осознанно, вам сюда.

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Инженерный пикник: технологии, нетворкинг и отдых на берегу Финского залива
Приглашаем на пикник всех, кто создает будущее:
🔧 молодых и опытных инженеров
🔬ученых и кандидатов наук
🧑🏻‍🏫 представителей НИИ и проектных институтов
🏗 сотрудников нефтегазовых и промышленных компаний

Это не просто мероприятие — это пространство для вдохновения, где серьезные дискуссии сочетаются с неформальным общением на свежем воздухе.
📅 Когда?3 июля, с 12:00 до 18:00
📍 Где?Кронштадт, ул. Макаровская, 2Л

💡Выступления топовых экспертов по ключевым направлениям:
🔹 Новое оборудование
🔹 Сквозные технологии
🌭 Пикник-активности
• Фудзона с разнообразным стритфудом
• Экскурсии в инженерные лаборатории
• Живая музыка и свободное общение

🎯 Бесплатное участие по регистрации: https://tglink.io/410f08812951?erid=2W5zFHuQZp4  

Соединяем профессионализм с атмосферой летнего пикника, ждем вас! 🌞🚀

#реклама
О рекламодателе