Двойной удар по SAP: под угрозой компании из Fortune 500
💣 Исследователи обнаружили использование сразу двух критических уязвимостей в серверах SAP NetWeaver, позволяющих обойти аутентификацию и выполнить произвольный код. Злоумышленники успешно эксплуатируют бреши CVE-2025-31324 и CVE-2025-42999, связанные с загрузкой неавторизованных файлов и небезопасной десериализацией. Эксплуатация уязвимостей началась ещё в январе 2025 года, но была обнаружена только недавно.
🔥 По данным экспертов, на конец апреля было скомпрометировано 474 сервера из 1 284 уязвимых экземпляров, а к середине мая количество уязвимых серверов выросло до 2 040. Среди пострадавших оказались не менее 20 компаний из списков Fortune 500 и Global 500, что указывает на целенаправленный характер атак.
⚠️ SAP выпустила обновления безопасности и настоятельно рекомендует установить Security Notes 3594142 и 3604119. Агентство CISA также добавило уязвимость CVE-2025-31324 в свой каталог KEV, требуя от федеральных структур устранить её до 20 мая.
#sap #уязвимости #кибербезопасность #zeroday
@ZerodayAlert
💣 Исследователи обнаружили использование сразу двух критических уязвимостей в серверах SAP NetWeaver, позволяющих обойти аутентификацию и выполнить произвольный код. Злоумышленники успешно эксплуатируют бреши CVE-2025-31324 и CVE-2025-42999, связанные с загрузкой неавторизованных файлов и небезопасной десериализацией. Эксплуатация уязвимостей началась ещё в январе 2025 года, но была обнаружена только недавно.
🔥 По данным экспертов, на конец апреля было скомпрометировано 474 сервера из 1 284 уязвимых экземпляров, а к середине мая количество уязвимых серверов выросло до 2 040. Среди пострадавших оказались не менее 20 компаний из списков Fortune 500 и Global 500, что указывает на целенаправленный характер атак.
⚠️ SAP выпустила обновления безопасности и настоятельно рекомендует установить Security Notes 3594142 и 3604119. Агентство CISA также добавило уязвимость CVE-2025-31324 в свой каталог KEV, требуя от федеральных структур устранить её до 20 мая.
#sap #уязвимости #кибербезопасность #zeroday
@ZerodayAlert
SecurityLab.ru
SAP ловит второй 0Day подряд — инфраструктура Fortune 500 под угрозой полного взлома
SAP недооценила последствия Visual Composer.
Pwn2Own: VMware ESXi взят штурмом
🔐 На хакерском турнире Pwn2Own в Берлине впервые в истории был успешно взломан гипервизор VMware ESXi. Эксперт по безопасности Нгуен Хоанг Тач из команды STARLabs SG использовал уязвимость переполнения целого числа, получив за свое достижение $150 000 и 15 очков в турнирной таблице.
🌐 Событие произошло на фоне серьезных проблем с безопасностью в корпоративной среде за последние недели. Агентство кибербезопасности США (CISA) сообщило об активно эксплуатируемой уязвимости в Chrome, а Microsoft подтвердила наличие критической угрозы в облачной инфраструктуре с максимальной оценкой 10 из 10.
🏆 Pwn2Own — это престижное соревнование, проводимое дважды в год среди элитных хакеров мира. Участники в ограниченное время атакуют продукты, используя неизвестные ранее уязвимости, чтобы выявить их раньше киберпреступников и получить заветное звание Master of PWN.
#Pwn2Own #VMware #ZeroDay
@ZerodayAlert
#Pwn2Own #VMware #ZeroDay
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Впервые с 2007 года: гипервизор VMware сдался под эксплойтом за $150K
Премия в $150 000 и новый этап в истории уязвимостей гипервизоров
Идеальная эскалация: когда Microsoft сама выдаёт «золотой билет»
BadSuccessor — не просто уязвимость. Это изящный пример того, как хорошая идея (dMSA) при недостатке сдерживающих факторов превращается в инструмент управления доменом — не администраторами, а атакующими. Подмена происходит не на уровне доступа, а на уровне доверия к механизму наследования.
Функция dMSA учитывает старые SID и группы, чтобы обеспечить бесшовный переход. Но без проверки подлинности эта «наследственность» становится лазейкой: измените нужный атрибут, и dMSA получит весь набор прав предшественника, включая те, что открывают путь к контроллеру домена.
Здесь нет ни эксплойта, ни взлома — только дизайн. Пока Microsoft не выпустила патч, стоит воспринимать dMSA не как защиту, а как возможный канал захвата. Это случай, когда безопасность рушится не из-за атаки, а из-за архитектурной недальновидности.
#dmsa #badsuccessor #windows #server2025 #доменныеправа
@ZerodayAlert
BadSuccessor — не просто уязвимость. Это изящный пример того, как хорошая идея (dMSA) при недостатке сдерживающих факторов превращается в инструмент управления доменом — не администраторами, а атакующими. Подмена происходит не на уровне доступа, а на уровне доверия к механизму наследования.
Функция dMSA учитывает старые SID и группы, чтобы обеспечить бесшовный переход. Но без проверки подлинности эта «наследственность» становится лазейкой: измените нужный атрибут, и dMSA получит весь набор прав предшественника, включая те, что открывают путь к контроллеру домена.
Здесь нет ни эксплойта, ни взлома — только дизайн. Пока Microsoft не выпустила патч, стоит воспринимать dMSA не как защиту, а как возможный канал захвата. Это случай, когда безопасность рушится не из-за атаки, а из-за архитектурной недальновидности.
#dmsa #badsuccessor #windows #server2025 #доменныеправа
@ZerodayAlert
SecurityLab.ru
Один атрибут — и вы админ: новая функция безопасности Microsoft оказалась троянским конём
dMSA раздаёт привилегии, как конфеты на детском утреннике.
Критическая уязвимость нулевого дня затрагивает продукты Fortinet
Специалисты опубликовали детальный анализ уязвимости CVE-2025-32756 с оценкой CVSS 9.8, которая затрагивает несколько ключевых продуктов Fortinet. Проблема связана с переполнением буфера в административном API и позволяет неаутентифицированным атакующим выполнять произвольный код через HTTP-запросы.
Под угрозой оказались FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera в различных версиях. Техническая ошибка находится в функции cookieval_unwrap() библиотеки libhttputil.so, где некорректная проверка границ приводит к переполнению 16-байтового буфера и перезаписи критических значений стека.
Fortinet подтвердил активную эксплуатацию уязвимости злоумышленниками, особенно против систем FortiVoice. Атакующие проводят сетевое сканирование, крадут учётные данные, удаляют логи, устанавливают вредоносное ПО и настраивают постоянную кражу данных через cron-задания.
#уязвимость #fortinet #нулевойдень #кибербезопасность
@ZerodayAlert
Специалисты опубликовали детальный анализ уязвимости CVE-2025-32756 с оценкой CVSS 9.8, которая затрагивает несколько ключевых продуктов Fortinet. Проблема связана с переполнением буфера в административном API и позволяет неаутентифицированным атакующим выполнять произвольный код через HTTP-запросы.
Под угрозой оказались FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera в различных версиях. Техническая ошибка находится в функции cookieval_unwrap() библиотеки libhttputil.so, где некорректная проверка границ приводит к переполнению 16-байтового буфера и перезаписи критических значений стека.
Fortinet подтвердил активную эксплуатацию уязвимости злоумышленниками, особенно против систем FortiVoice. Атакующие проводят сетевое сканирование, крадут учётные данные, удаляют логи, устанавливают вредоносное ПО и настраивают постоянную кражу данных через cron-задания.
#уязвимость #fortinet #нулевойдень #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Пока вы читаете это, ваша система Fortinet может быть уже заражена через простой HTTP-запрос
Один баг в Fortinet дал хакерам доступ к звонкам, почте и внутренним логам компаний.
Эксплуатация Zero Day затронула клиентов Microsoft 365
⚠️ Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Злоумышленники получили доступ к конфиденциальным клиентским секретам, хранившимся в Azure-окружении компании.
🔍 Государственная хакерская группировка использовала ранее неизвестную уязвимость CVE-2025-3928 в веб-сервере Commvault для получения первоначального доступа. Эта уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере и получать доступ к критически важным ключам авторизации.
🛡 В ответ на инцидент Commvault провела полную ротацию всех учетных данных Microsoft 365 и усилила мониторинг облачных сервисов. Компания продолжает активное сотрудничество с государственными структурами и предоставила детальные рекомендации по защите своих клиентов.
#commvault #кибератака #облако #microsoft365
@ZerodayAlert
⚠️ Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Злоумышленники получили доступ к конфиденциальным клиентским секретам, хранившимся в Azure-окружении компании.
🔍 Государственная хакерская группировка использовала ранее неизвестную уязвимость CVE-2025-3928 в веб-сервере Commvault для получения первоначального доступа. Эта уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере и получать доступ к критически важным ключам авторизации.
🛡 В ответ на инцидент Commvault провела полную ротацию всех учетных данных Microsoft 365 и усилила мониторинг облачных сервисов. Компания продолжает активное сотрудничество с государственными структурами и предоставила детальные рекомендации по защите своих клиентов.
#commvault #кибератака #облако #microsoft365
@ZerodayAlert
SecurityLab.ru
Госхакеры использовали 0Day, чтобы проникнуть через Commvault в американские облака
Новая кампания атак на SaaS уже здесь — и Commvault оказался первым в списке.
Три уязвимости нулевого дня угрожают инфраструктуре телеком-гигантов
🚨 Специалисты ProjectDiscovery обнаружили три критические уязвимости нулевого дня в платформе Concerto от Versa Networks, которые затронули крупные телекоммуникационные компании с прямым выходом в интернет. Самая опасная из них получила максимальную оценку 10.0 по шкале CVSS и представляла собой цепочку из нескольких багов, позволяющую злоумышленникам выполнить произвольный код в системе.
🔧 Уязвимости включают проблемы с настройкой Docker-контейнера (CVE-2025-34025), обход фильтрации трафика через Traefik (CVE-2025-34026) и комплексную атаку типа TOCTOU с гонкой потоков (CVE-2025-34027). Эксплуатация этих багов могла позволить атакующим получить полный контроль над ключевыми системами и распространиться на связанные компоненты, включая Versa Director.
⚡️ Хотя уязвимые экземпляры Concerto обнаружены всего у нескольких десятков организаций, все они представляют собой крупные телеком-компании, что привлекает внимание государственных хакерских группировок вроде Volt Typhoon. Versa Networks выпустила исправления в марте-апреле 2025 года, но процесс установки обновлений остается на усмотрение клиентов.
#0day #versa #concerto #телеком
@ZerodayAlert
🚨 Специалисты ProjectDiscovery обнаружили три критические уязвимости нулевого дня в платформе Concerto от Versa Networks, которые затронули крупные телекоммуникационные компании с прямым выходом в интернет. Самая опасная из них получила максимальную оценку 10.0 по шкале CVSS и представляла собой цепочку из нескольких багов, позволяющую злоумышленникам выполнить произвольный код в системе.
🔧 Уязвимости включают проблемы с настройкой Docker-контейнера (CVE-2025-34025), обход фильтрации трафика через Traefik (CVE-2025-34026) и комплексную атаку типа TOCTOU с гонкой потоков (CVE-2025-34027). Эксплуатация этих багов могла позволить атакующим получить полный контроль над ключевыми системами и распространиться на связанные компоненты, включая Versa Director.
⚡️ Хотя уязвимые экземпляры Concerto обнаружены всего у нескольких десятков организаций, все они представляют собой крупные телеком-компании, что привлекает внимание государственных хакерских группировок вроде Volt Typhoon. Versa Networks выпустила исправления в марте-апреле 2025 года, но процесс установки обновлений остается на усмотрение клиентов.
#0day #versa #concerto #телеком
@ZerodayAlert
Пять лет эксплойту tachy0n: граница между старой и новой iOS
📱 23 мая 2020 года в публичный доступ попал эксплойт tachy0n — полноценный 0Day для iOS 13.5. Это стал последний случай, когда современная версия iOS была взломана до выхода официального исправления от Apple.
⚡️ Эксплойт использовал уязвимость в системном вызове lio_listio, связанную с гонкой потоков при освобождении памяти. Ошибка позволяла освободить одну структуру дважды, что давало атакующему возможность повторно занять это место в памяти под свои нужды.
🛡 После tachy0n Apple кардинально изменила подход к безопасности в iOS 14, отказавшись от точечных латок. Теперь компания защищает целые методы эксплуатации через переработанные аллокаторы, изоляцию объектов и дополнительную рандомизацию памяти.
#джейлбрейк #ios #эксплойт #безопасность
@ZerodayAlert
📱 23 мая 2020 года в публичный доступ попал эксплойт tachy0n — полноценный 0Day для iOS 13.5. Это стал последний случай, когда современная версия iOS была взломана до выхода официального исправления от Apple.
⚡️ Эксплойт использовал уязвимость в системном вызове lio_listio, связанную с гонкой потоков при освобождении памяти. Ошибка позволяла освободить одну структуру дважды, что давало атакующему возможность повторно занять это место в памяти под свои нужды.
🛡 После tachy0n Apple кардинально изменила подход к безопасности в iOS 14, отказавшись от точечных латок. Теперь компания защищает целые методы эксплуатации через переработанные аллокаторы, изоляцию объектов и дополнительную рандомизацию памяти.
#джейлбрейк #ios #эксплойт #безопасность
@ZerodayAlert
Бомба замедленного действия: связка плагинов на WordPress ведёт к несанкционированному захвату сайта
🔧 Когда разработчики отключают встроенные механизмы защиты ради «гибкости», они, по сути, сами внедряют бэкдоры в свои продукты . Уязвимость CVE-2025-47577 — хрестоматийный пример: одна строка кода, отключающая проверку MIME-типа, делает 100 тысяч сайтов уязвимыми к загрузке вредоносных скриптов.
🔍 Особенность этой атаки в том, что она бесшумна: без учётных записей, без всплывающих предупреждений, без журналов. Главная угроза — в архитектурном доверии между двумя разными плагинами. Никто не ожидал, что Wishlist пойдёт в обход защитной логики ядра, но именно это происходит. Вместе с WC Fields Factory они создают лазейку, которую нельзя прикрыть ни правами доступа, ни настройками сервера.
⚡️ Уязвимости, возникающие из-за несогласованности компонентов, — новый вектор атак на CMS. Это не про «забыли обновить», а про системную слабость. Безопасность теперь зависит не от версий, а от того, что с чем интегрируется в вашей среде.
#wordpress #woocommerce #уязвимость
@ZerodayAlert
🔧 Когда разработчики отключают встроенные механизмы защиты ради «гибкости», они, по сути, сами внедряют бэкдоры в свои продукты . Уязвимость CVE-2025-47577 — хрестоматийный пример: одна строка кода, отключающая проверку MIME-типа, делает 100 тысяч сайтов уязвимыми к загрузке вредоносных скриптов.
🔍 Особенность этой атаки в том, что она бесшумна: без учётных записей, без всплывающих предупреждений, без журналов. Главная угроза — в архитектурном доверии между двумя разными плагинами. Никто не ожидал, что Wishlist пойдёт в обход защитной логики ядра, но именно это происходит. Вместе с WC Fields Factory они создают лазейку, которую нельзя прикрыть ни правами доступа, ни настройками сервера.
⚡️ Уязвимости, возникающие из-за несогласованности компонентов, — новый вектор атак на CMS. Это не про «забыли обновить», а про системную слабость. Безопасность теперь зависит не от версий, а от того, что с чем интегрируется в вашей среде.
#wordpress #woocommerce #уязвимость
@ZerodayAlert
SecurityLab.ru
0day в вишлистах: хватит и одного запроса, чтобы ваш сайт лёг навсегда
Популярный WordPress-плагин превращает любой магазин в открытую дверь.
Архитектурная мина в облаке
🔗 Уязвимость в Azure, связанная с гостевыми ролями, — не случайность и не ошибка. Это пример того, как формальная поддержка «коллаборации» может превратиться в полноценный вектор атаки. BeyondTrust вскрыл один из таких сценариев: гость, создавший подписку, становится владельцем, минуя все стандартные механизмы контроля.
🧠 Это не взлом — это использование штатной логики. На этом фоне особенно остро встаёт вопрос: действительно ли архитектура Microsoft учитывает реальные модели угроз? Уязвимость не требует технической изощрённости. Она требует внимательности — со стороны атакующего. И халатности — со стороны администратора.
🔐 Инцидент подчёркивает: пора пересматривать базовые представления о границах доступа. Иногда ключ к инфраструктуре оказывается в самых неожиданных местах — не там, где обычно ищут угрозы. Именно такие слепые зоны становятся идеальным плацдармом для закрепления злоумышленника.
#azure #entraid #идентификация #гостевойдоступ #облако
@ZerodayAlert
🔗 Уязвимость в Azure, связанная с гостевыми ролями, — не случайность и не ошибка. Это пример того, как формальная поддержка «коллаборации» может превратиться в полноценный вектор атаки. BeyondTrust вскрыл один из таких сценариев: гость, создавший подписку, становится владельцем, минуя все стандартные механизмы контроля.
🧠 Это не взлом — это использование штатной логики. На этом фоне особенно остро встаёт вопрос: действительно ли архитектура Microsoft учитывает реальные модели угроз? Уязвимость не требует технической изощрённости. Она требует внимательности — со стороны атакующего. И халатности — со стороны администратора.
🔐 Инцидент подчёркивает: пора пересматривать базовые представления о границах доступа. Иногда ключ к инфраструктуре оказывается в самых неожиданных местах — не там, где обычно ищут угрозы. Именно такие слепые зоны становятся идеальным плацдармом для закрепления злоумышленника.
#azure #entraid #идентификация #гостевойдоступ #облако
@ZerodayAlert
SecurityLab.ru
Гость с ключами от сервера: как получить контроль над Azure, не имея админских прав
Даже минимальные полномочия открывают путь к захвату облака. И Microsoft не считает это проблемой.
Chrome получил внеочередное обновление из-за активных атак
🚨 Google выпустила внеплановое обновление для браузера Chrome, закрыв три уязвимости. Наиболее опасной признана CVE-2025-5419 с оценкой CVSS 8.8, которая уже активно используется злоумышленниками в реальных атаках.
💻 Уязвимость связана с некорректной обработкой памяти в движке V8, отвечающем за выполнение JavaScript. Проблема позволяет удаленному атакующему вызвать повреждение кучи через специально созданную HTML-страницу, что открывает путь к выполнению произвольного кода.
🔄 Это уже вторая zero-day уязвимость, эксплуатируемая в 2025 году после CVE-2025-2783. Пользователям настоятельно рекомендуется немедленно обновить Chrome до версии 137.0.7151.68/.69, а также другие браузеры на основе Chromium.
#chrome #уязвимость #zeroday #безопасность
@ZerodayAlert
🚨 Google выпустила внеплановое обновление для браузера Chrome, закрыв три уязвимости. Наиболее опасной признана CVE-2025-5419 с оценкой CVSS 8.8, которая уже активно используется злоумышленниками в реальных атаках.
💻 Уязвимость связана с некорректной обработкой памяти в движке V8, отвечающем за выполнение JavaScript. Проблема позволяет удаленному атакующему вызвать повреждение кучи через специально созданную HTML-страницу, что открывает путь к выполнению произвольного кода.
🔄 Это уже вторая zero-day уязвимость, эксплуатируемая в 2025 году после CVE-2025-2783. Пользователям настоятельно рекомендуется немедленно обновить Chrome до версии 137.0.7151.68/.69, а также другие браузеры на основе Chromium.
#chrome #уязвимость #zeroday #безопасность
@ZerodayAlert
Когда обновление важнее, чем бэкап
📍 Уязвимость в StoreOnce — напоминание: безопасность системы хранения данных важна не меньше, чем её надёжность. CVE-2025-37093 показывает, как уязвимость на уровне аутентификации превращает инструмент резервного копирования в точку риска, а не защиты. Особенно когда речь о платформах, стоящих в центре ИТ-ландшафта.
🔍 Стратегически важно другое: как StoreOnce оказался уязвим в течение полугода без публичных признаков активности? Это иллюстрация слепой зоны, когда инфраструктурные продукты кажутся «молчащими» и якобы безопасными. Но именно такие тихие узлы — идеальные цели: никто не ожидает атаки на решение, защищающее данные.
📌 Сейчас StoreOnce не предлагает временных мер защиты — только обновление. Если платформа используется в критических средах, отложенное обновление — не просто риск, это возможная точка отказа всей бизнес-непрерывности.
#hpe #storeonce #уязвимость #резервноекопирование
@ZerodayAlert
📍 Уязвимость в StoreOnce — напоминание: безопасность системы хранения данных важна не меньше, чем её надёжность. CVE-2025-37093 показывает, как уязвимость на уровне аутентификации превращает инструмент резервного копирования в точку риска, а не защиты. Особенно когда речь о платформах, стоящих в центре ИТ-ландшафта.
🔍 Стратегически важно другое: как StoreOnce оказался уязвим в течение полугода без публичных признаков активности? Это иллюстрация слепой зоны, когда инфраструктурные продукты кажутся «молчащими» и якобы безопасными. Но именно такие тихие узлы — идеальные цели: никто не ожидает атаки на решение, защищающее данные.
📌 Сейчас StoreOnce не предлагает временных мер защиты — только обновление. Если платформа используется в критических средах, отложенное обновление — не просто риск, это возможная точка отказа всей бизнес-непрерывности.
#hpe #storeonce #уязвимость #резервноекопирование
@ZerodayAlert
SecurityLab.ru
Zero login — full access: StoreOnce забыла закрыть дверь в самое ценное
Пока одни делали бэкапы, другие искали, как можно скрытно влезть в чужую систему.
Эксплойт для Roundcube уже на форумах
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
SecurityLab.ru
Хакеры среагировали быстрее админов — рабочий эксплойт для Roundcube уже в сети
Уязвимость десятилетней давности теперь в руках злоумышленников — и они не теряют времени.
Выявлен новый тип атак через iMessage в iOS
🔍 Специалисты с конца 2024 года фиксировали серию необычных инцидентов на iPhone представителей политических кампаний, СМИ и правительств США и ЕС. Анализ выявил крайне редкие сбои iOS, характерные для Zero Click атак через iMessage — класса эксплойтов, не требующих взаимодействия пользователя.
⚙️ Форензика скомпрометированных устройств позволила обнаружить неизвестную уязвимость в системном процессе «imagent», получившую обозначение NICKNAME. Механизм атаки связан с функцией установки никнеймов в контактах iOS — при отправке большого числа быстрых обновлений возникает ошибка use-after-free, позволяющая выполнить произвольный код.
🎯 Сбои были зафиксированы исключительно на устройствах высокоценных целей — лишь в 0.0001% логов из 50 000 проанализированных iPhone. Все жертвы либо ранее подвергались атакам группировки Salt Typhoon, либо занимались деятельностью, представляющей интерес для китайских властей.
#ios #iphone #уязвимость #безопасность
@ZerodayAlert
#ios #iphone #уязвимость #безопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Назвал себя — и стал мишенью: iPhone ломают через никнеймы в iMessage
Сбой в 0.0001% айфонов раскрыл масштабную кибератаку.
Защита на словах: как Secure Boot подставил миллионы компьютеров
🔍 Secure Boot задумывался как самая первая линия обороны — ещё до запуска операционной системы. Но на практике именно в этот момент ОС оказывается уязвима. Подписанная Microsoft BIOS-утилита, созданная для одного устройства, благодаря универсальному сертификату внезапно стала работать на любом ПК. Это открывает прямой путь к внедрению вредоносного кода до старта ядра.
💣 Суть уязвимости CVE-2025-3052 — в работе с переменной IhisiParamBuffer, записываемой в энергонезависимую память. Отсутствие валидации позволяет атакующему с правами администратора подменить поведение загрузки. По сути, эксплойт выключает Secure Boot, давая зелёный свет буткиту — вредоносному загрузчику, невидимому для антивирусов и самой ОС.
📉 Проблема не в баге, а в доверительной архитектуре. Один подписанный компонент ломает всю модель. Обновление dbx частично закрывает дыру, но фундаментальные вопросы остаются: стоит ли по-прежнему полагаться на централизованную модель доверия, если она не защищает даже на этапе загрузки?
#secureboot #uefi #уязвимость #инфобез
@ZerodayAlert
🔍 Secure Boot задумывался как самая первая линия обороны — ещё до запуска операционной системы. Но на практике именно в этот момент ОС оказывается уязвима. Подписанная Microsoft BIOS-утилита, созданная для одного устройства, благодаря универсальному сертификату внезапно стала работать на любом ПК. Это открывает прямой путь к внедрению вредоносного кода до старта ядра.
💣 Суть уязвимости CVE-2025-3052 — в работе с переменной IhisiParamBuffer, записываемой в энергонезависимую память. Отсутствие валидации позволяет атакующему с правами администратора подменить поведение загрузки. По сути, эксплойт выключает Secure Boot, давая зелёный свет буткиту — вредоносному загрузчику, невидимому для антивирусов и самой ОС.
📉 Проблема не в баге, а в доверительной архитектуре. Один подписанный компонент ломает всю модель. Обновление dbx частично закрывает дыру, но фундаментальные вопросы остаются: стоит ли по-прежнему полагаться на централизованную модель доверия, если она не защищает даже на этапе загрузки?
#secureboot #uefi #уязвимость #инфобез
@ZerodayAlert
SecurityLab.ru
Система в домене, всё по ГОСТу, Secure Boot включён. Зато троян на уровне UEFI, и система уже не ваша.
Microsoft подписала смертный приговор вашей безопасности — и даже не заметила.
Встроенные утилиты Windows использовались для скрытого взлома
🧩 Уязвимость CVE-2025-33053 — не просто ошибка в обработке пути. Это иллюстрация более широкой проблемы: среды выполнения и приоритетов поиска исполняемых файлов в Windows. Возможность заставить «iediagcmd.exe» обратиться не к системному каталогу, а к внешнему WebDAV-серверу, открывает путь к любой замене — при этом сама утилита подписана и не вызывает подозрений.
🧠 Такая схема требует не только инженерного расчёта, но и стратегического понимания, как можно встроиться в доверенный контекст. Не используется ни один традиционный скрипт — атака полностью строится на встроенных компонентах ОС. Это возвращает нас к старому, но снова актуальному вопросу: насколько безопасна сама операционная среда без внешних загрузчиков?
🧱 Тот факт, что PDF инициирует запуск C++-загрузчика с внедрением в Edge через ZwAllocateVirtualMemory — это не эстетика вредоносного кода, это архитектурное оружие. Его целью может быть не только компрометация, но и обход любых механизмов защиты, построенных на мониторинге внешней активности.
#horusagent #stealthfalcon #webdav #windows
@ZerodayAlert
🧩 Уязвимость CVE-2025-33053 — не просто ошибка в обработке пути. Это иллюстрация более широкой проблемы: среды выполнения и приоритетов поиска исполняемых файлов в Windows. Возможность заставить «iediagcmd.exe» обратиться не к системному каталогу, а к внешнему WebDAV-серверу, открывает путь к любой замене — при этом сама утилита подписана и не вызывает подозрений.
🧠 Такая схема требует не только инженерного расчёта, но и стратегического понимания, как можно встроиться в доверенный контекст. Не используется ни один традиционный скрипт — атака полностью строится на встроенных компонентах ОС. Это возвращает нас к старому, но снова актуальному вопросу: насколько безопасна сама операционная среда без внешних загрузчиков?
🧱 Тот факт, что PDF инициирует запуск C++-загрузчика с внедрением в Edge через ZwAllocateVirtualMemory — это не эстетика вредоносного кода, это архитектурное оружие. Его целью может быть не только компрометация, но и обход любых механизмов защиты, построенных на мониторинге внешней активности.
#horusagent #stealthfalcon #webdav #windows
@ZerodayAlert
SecurityLab.ru
Египетский бог с головой сокола теперь живёт в вашем Edge — но это не мифология, а новый 0day
PDF не виноват — просто в него вселился демон с WebDAV-сервера.
Zero-Click в Copilot
📎 EchoLeak — первая уязвимость, где искусственный интеллект сам инициирует утечку. Пользователь ничего не открывает, не нажимает и не подозревает. А Copilot уже отправил часть внутренних данных за пределы компании.
🧬 Вся атака строится на обмане модели: обычное письмо проходит фильтры и ждёт, пока сотрудник обратится к ИИ. В этот момент включается RAG, подгружает текст, и LLM вставляет чувствительную информацию в ответ. Markdown-ссылка уходит наружу — браузер открывает её автоматически.
📉 Microsoft устранила уязвимость, но фундаментальные риски остались. ИИ слишком широк в восприятии, а защита — слишком узка. Без контроля контекста и фильтрации запросов такие атаки станут частью новой реальности.
#copilot #zeroclick #уязвимость #ии
@ZerodayAlert
📎 EchoLeak — первая уязвимость, где искусственный интеллект сам инициирует утечку. Пользователь ничего не открывает, не нажимает и не подозревает. А Copilot уже отправил часть внутренних данных за пределы компании.
🧬 Вся атака строится на обмане модели: обычное письмо проходит фильтры и ждёт, пока сотрудник обратится к ИИ. В этот момент включается RAG, подгружает текст, и LLM вставляет чувствительную информацию в ответ. Markdown-ссылка уходит наружу — браузер открывает её автоматически.
📉 Microsoft устранила уязвимость, но фундаментальные риски остались. ИИ слишком широк в восприятии, а защита — слишком узка. Без контроля контекста и фильтрации запросов такие атаки станут частью новой реальности.
#copilot #zeroclick #уязвимость #ии
@ZerodayAlert
SecurityLab.ru
Copilot вспомнил слишком много — и без колебаний слил всё незнакомцам
Данные ушли не потому, что кто-то кликнул, а потому, что кто-то спросил.
Apple закрыла брешь, используемую для скрытых Zero Click атак через iCloud
🔒Apple устранила уязвимость CVE-2025-43200 в приложении Messages 10 февраля 2025 года. Ошибка позволяла проводить zero-click атаки через специально подготовленные iCloud-ссылки без взаимодействия с пользователем.
🎯 Брешь использовалась для заражения iPhone двух европейских журналистов шпионским ПО Graphite. Инструмент слежки разработан израильской компанией Paragon и позволяет получать доступ к сообщениям, камере, микрофону и местоположению устройства.
⚖️ После скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. Италия отказалась от независимой проверки использования Graphite, сославшись на соображения национальной безопасности.
#apple #уязвимость #шпионскоепо #журналисты
@ZerodayAlert
🔒Apple устранила уязвимость CVE-2025-43200 в приложении Messages 10 февраля 2025 года. Ошибка позволяла проводить zero-click атаки через специально подготовленные iCloud-ссылки без взаимодействия с пользователем.
🎯 Брешь использовалась для заражения iPhone двух европейских журналистов шпионским ПО Graphite. Инструмент слежки разработан израильской компанией Paragon и позволяет получать доступ к сообщениям, камере, микрофону и местоположению устройства.
⚖️ После скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. Италия отказалась от независимой проверки использования Graphite, сославшись на соображения национальной безопасности.
#apple #уязвимость #шпионскоепо #журналисты
@ZerodayAlert
SecurityLab.ru
CVE-2025-43200: iPhone больше не нужен хакеру — теперь он нужен государству
iCloud стал туннелем для шпионов.
CISA официально признала опасную уязвимость ядра Linux активно эксплуатируемой
🚨 Американское агентство по кибербезопасности CISA добавило в список активно эксплуатируемых уязвимостей опасную дыру в ядре Linux — CVE-2023-0386. Это баг в подсистеме OverlayFS, который хакеры активно используют в реальных атаках, хотя патч вышел ещё в начале 2023 года.
⚙️ Уязвимость позволяет атакующему создать файл с флагом SUID в директории вроде /tmp и получить полные права root-пользователя. Такой способ атаки настолько простой, что его легко автоматизировать и использовать в массовых кампаниях — именно это и показало исследование Datadog.
📅 Из-за растущих рисков CISA обязала все федеральные ведомства поставить обновления до 8 июля 2025 года. Под угрозой особенно серверы с публичным доступом, облачные платформы и CI/CD-системы, которые зависят от правильной работы механизмов изоляции Linux.
#linux #cisa #уязвимость #кибербезопасность
@ZerodayAlert
🚨 Американское агентство по кибербезопасности CISA добавило в список активно эксплуатируемых уязвимостей опасную дыру в ядре Linux — CVE-2023-0386. Это баг в подсистеме OverlayFS, который хакеры активно используют в реальных атаках, хотя патч вышел ещё в начале 2023 года.
⚙️ Уязвимость позволяет атакующему создать файл с флагом SUID в директории вроде /tmp и получить полные права root-пользователя. Такой способ атаки настолько простой, что его легко автоматизировать и использовать в массовых кампаниях — именно это и показало исследование Datadog.
📅 Из-за растущих рисков CISA обязала все федеральные ведомства поставить обновления до 8 июля 2025 года. Под угрозой особенно серверы с публичным доступом, облачные платформы и CI/CD-системы, которые зависят от правильной работы механизмов изоляции Linux.
#linux #cisa #уязвимость #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Ты не скачивал вирус. Не открывал вложения. Просто был на сервере с Linux — а root уже у чужака в руках
Всё, что нужно злоумышленнику — немного терпения и забытый баг в OverlayFS.
🔧 Архиватор стал точкой входа: WinRAR снова под угрозой
🗂 Уязвимость CVE-2025-6218 в WinRAR — наглядное напоминание, что даже привычные утилиты могут стать элементом атаки. Благодаря манипуляциям с путями внутри архива злоумышленник получает возможность подкинуть файлы прямиком в автозагрузку или системные каталоги Windows. И это срабатывает без всплывающих предупреждений.
🔍 Технический нюанс — обход стандартного поведения архиватора за счёт поддельных относительных путей. Сценарий кажется простым: пользователь распаковывает архив — троян сам устанавливает себя в нужное место. Причём эксплойт работает с правами текущего пользователя, что вполне достаточно для кражи паролей и скрытого удержания доступа.
🛡 Исправление уже доступно, но привычка игнорировать обновления — самая уязвимая часть безопасности. Особенно учитывая популярность WinRAR и постоянное внимание к нему со стороны атакующих. Если ещё не обновились — самое время.
#winrar #cve #уязвимость #безопасность
@ZerodayAlert
🗂 Уязвимость CVE-2025-6218 в WinRAR — наглядное напоминание, что даже привычные утилиты могут стать элементом атаки. Благодаря манипуляциям с путями внутри архива злоумышленник получает возможность подкинуть файлы прямиком в автозагрузку или системные каталоги Windows. И это срабатывает без всплывающих предупреждений.
🔍 Технический нюанс — обход стандартного поведения архиватора за счёт поддельных относительных путей. Сценарий кажется простым: пользователь распаковывает архив — троян сам устанавливает себя в нужное место. Причём эксплойт работает с правами текущего пользователя, что вполне достаточно для кражи паролей и скрытого удержания доступа.
🛡 Исправление уже доступно, но привычка игнорировать обновления — самая уязвимая часть безопасности. Особенно учитывая популярность WinRAR и постоянное внимание к нему со стороны атакующих. Если ещё не обновились — самое время.
#winrar #cve #уязвимость #безопасность
@ZerodayAlert
SecurityLab.ru
Хакеры нашли способ превратить каждый ZIP в бомбу — спасибо, WinRAR
Обновите свой WinRAR как можно скорее!
🛡 Офисные устройства — новый рубеж в атаке на инфраструктуру
📠 Слабые звенья давно переместились за пределы серверных. Теперь точкой входа в вашу сеть может стать... обычный принтер. Особенно если его пароль сгенерирован по наивному, легко просчитываемому алгоритму — как в случае с уязвимостью CVE-2024-51978.
🧩 Проблема гораздо шире, чем кажется. Помимо уязвимости с паролем, эксперты нашли ещё семь лазеек — от утечки данных до полного сбоя устройств. Все они могут быть объединены злоумышленниками в цепочку для комплексной атаки.
💡 Вывод прост, но тревожен: периферия давно вышла из-под внимания IT-служб, а производители продолжают экономить на безопасности. Пришло время пересмотреть подход к защите даже самых "обычных" устройств.
#brother #уязвимости #инфобезопасность #сетевыеугрозы
@ZerodayAlert
📠 Слабые звенья давно переместились за пределы серверных. Теперь точкой входа в вашу сеть может стать... обычный принтер. Особенно если его пароль сгенерирован по наивному, легко просчитываемому алгоритму — как в случае с уязвимостью CVE-2024-51978.
🧩 Проблема гораздо шире, чем кажется. Помимо уязвимости с паролем, эксперты нашли ещё семь лазеек — от утечки данных до полного сбоя устройств. Все они могут быть объединены злоумышленниками в цепочку для комплексной атаки.
💡 Вывод прост, но тревожен: периферия давно вышла из-под внимания IT-служб, а производители продолжают экономить на безопасности. Пришло время пересмотреть подход к защите даже самых "обычных" устройств.
#brother #уязвимости #инфобезопасность #сетевыеугрозы
@ZerodayAlert
SecurityLab.ru
Купили принтер Brother? Поздравляем — вы спонсируете хакерские атаки на свой офис
742 модели Brother, Fujifilm и Toshiba превратились в цифровые мегафоны для хакеров. Угадайте, что они транслируют.