SAP Patches Critical 10.0 Flaw in NetWeaver: Unauthenticated RCE Risk
https://securityonline.info/sap-patches-critical-10-0-flaw-in-netweaver-unauthenticated-rce-risk/
https://securityonline.info/sap-patches-critical-10-0-flaw-in-netweaver-unauthenticated-rce-risk/
Daily CyberSecurity
SAP Patches Critical 10.0 Flaw in NetWeaver: Unauthenticated RCE Risk
SAP's October 2025 Security Patch Day addressed 13 new notes, including two critical 10.0 flaws in NetWeaver AS Java and Print Service, posing an RCE threat.
Критический use-after-free в Lua-движке Redis, присутствовавший в кодовой базе 13 лет. При наличии возможности отправлять Lua-скрипты (EVAL/EVALSHA) уязвимость позволяет разрушить изоляцию Lua VM и добиться RCE в контексте процесса redis-server. В сети обнаружено порядка 330к публичных инстансов Redis, из них 60к без аутентификации.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - lastvocher/redis-CVE-2025-49844
Contribute to lastvocher/redis-CVE-2025-49844 development by creating an account on GitHub.
📡 Wi-Fi превратился в шпиона — учёные доказали, что твой роутер подглядывает за тобой, не хуже камеры.
👨🔬 Исследователи из Технологического института Карлсруэ (KIT) показали, что обычный Wi-Fi-роутер может “видеть” людей через стены, определяя кто ты, где стоишь и что делаешь.
💀 Оказывается радиоволны просто отражаются от тела, а если прикрутить нейронку, то она легко расшифровывает форму, движения и даже позу человека. Без всяких камер, микрофонов и разрешений — достаточно сигнала твоего Wi-Fi.
📶 В эксперименте участвовали 197 человек, и ИИ ни разу не ошибся — показав 100% точность. То есть роутер может понять даже чем ты занят.
И да, сигналы Wi-Fi вообще не шифруются, так что теоретически любой может “подключиться” и смотреть, как ты наяриваешь у себя в квартире👀
@overbafer1
💀 Оказывается радиоволны просто отражаются от тела, а если прикрутить нейронку, то она легко расшифровывает форму, движения и даже позу человека. Без всяких камер, микрофонов и разрешений — достаточно сигнала твоего Wi-Fi.
📶 В эксперименте участвовали 197 человек, и ИИ ни разу не ошибся — показав 100% точность. То есть роутер может понять даже чем ты занят.
И да, сигналы Wi-Fi вообще не шифруются, так что теоретически любой может “подключиться” и смотреть, как ты наяриваешь у себя в квартире
@overbafer1
Please open Telegram to view this post
VIEW IN TELEGRAM
— В данной статье автор нам расскажет как он столкнулся с фишингом после утери iPhone.
Злоумышленники хотели выманить данные для разблокировки телефона и входа в iCloud.
Ситуация не уникальная, но метод фишинга похож на тиражируемый — поэтому рассмотрим.
Предупрежден, значит вооружен.
Please open Telegram to view this post
VIEW IN TELEGRAM
Encrypt & Decrypt Database Fields in Spring Boot Like a Pro (2025 Secure Guide)
https://infosecwriteups.com/encrypt-decrypt-database-fields-in-spring-boot-like-a-pro-2025-secure-guide-bf75a1331a82?source=rss----7b722bfd1b8d---4
https://infosecwriteups.com/encrypt-decrypt-database-fields-in-spring-boot-like-a-pro-2025-secure-guide-bf75a1331a82?source=rss----7b722bfd1b8d---4
Medium
🔐 Encrypt & Decrypt Database Fields in Spring Boot Like a Pro (2025 Secure Guide)
“Your database backup just leaked. Is your data still safe?”
Falco — полезен для обнаружения аномального поведения в приложениях, контейнерах и Kubernetes-кластерах.
— Falco анализирует системные вызовы ядра Linux. А так же фильтрует события по наборам правил.
Если правило сработало, Falco пишет лог, шлёт алерт или запускает скрипт.
#Kubernetes #Linux #Monitoring
Please open Telegram to view this post
VIEW IN TELEGRAM
Shellter Elite — производитель коммерческого загрузчика Shellter Elite, который предназначен для обхода антивирусов и EDR-систем.
— Его используют специалисты по безопасности (пентестеры и red team) для скрытного развёртывания полезных нагрузок в легитимных бинарниках Windows.
Основные особенности Shellter Elite:
◦ Полиморфная обфускация: самомодифицирующийся шелл-код и вставка ненужных инструкций для обхода статического обнаружения;
◦ Шифрование полезной нагрузки: шифрование AES-128 CBC в сочетании со сжатием для сокрытия полезных нагрузок;
◦ Обход API и стека вызовов: например, использование косвенных syscalls для обхода хуков EDR;
◦ Обход AMSI и ETW: нейтрализация ключевых функций безопасности Windows, которые отслеживают подозрительную активность;
◦ Меры против анализа: обнаружение и обход отладчиков, виртуальных машин и сканеров памяти;
◦ Саморазминирование и отключение: истечение лицензии и механизмы саморазрушения для ограничения несанкционированного использования.
#Shellter #Malware #Encryption #Privacy #Backdoor #Trojan
Please open Telegram to view this post
VIEW IN TELEGRAM
Arp-scan — это инструмент командной строки, который позволяет обнаруживать активные устройства в сети.
— Он создаёт и отправляет ARP-запросы указанным IP-адресам и отображает полученные ответы.
Некоторые возможности arp-scan:
– позволяет идентифицировать все устройства, подключённые к сети;
– обнаруживает несанкционированные или скрытые устройства;
– помогает в управлении сетью и устранении неполадок.
Поскольку ARP не использует маршрутизацию, то такой вид сканирования работает только в локальной сети.
#ARP #Scanner #Network
Please open Telegram to view this post
VIEW IN TELEGRAM
Sandboxie — это инструмент с открытым исходным кодом для систем на базе Windows, который создаёт изолированные виртуальные среды для безопасного запуска приложений без постоянного изменения системы
— Изолированная виртуальная среда позволяет контролировать тестирование ненадежных программ и веб-серфинг
Программа, работающая в песочнице, не сможет записать какие-либо данные в системный реестр, получить доступ к системным файлам или внести изменения в систему и повлиять на её работоспособность
#Windows #Sandboxie
Please open Telegram to view this post
VIEW IN TELEGRAM
200 000 ноутбуков Framework уязвимы перед обходом Secure Boot
Около 200 000 Linux-систем американского производителя Framework поставлялись с подписанными шелл-компонентами UEFI, которые можно использовать для обхода защиты Secure Boot. Злоумышленники могут эксплуатировать проблему для загрузки буткитов, которые обходят защиту на уровне ОС и сохраняются даже после переустановки системы.
https://xakep.ru/2025/10/15/framework-bug/
Около 200 000 Linux-систем американского производителя Framework поставлялись с подписанными шелл-компонентами UEFI, которые можно использовать для обхода защиты Secure Boot. Злоумышленники могут эксплуатировать проблему для загрузки буткитов, которые обходят защиту на уровне ОС и сохраняются даже после переустановки системы.
https://xakep.ru/2025/10/15/framework-bug/
Атака Pixnapping позволяет восстанавливать коды 2ФА на Android попиксельно
Новая side-channel атака Pixnapping позволяет вредоносному Android-приложению без каких-либо разрешений извлекать конфиденциальные данные, воруя пиксели, отображаемые другими приложениями или сайтами.
https://xakep.ru/2025/10/15/pixnapping/
Новая side-channel атака Pixnapping позволяет вредоносному Android-приложению без каких-либо разрешений извлекать конфиденциальные данные, воруя пиксели, отображаемые другими приложениями или сайтами.
https://xakep.ru/2025/10/15/pixnapping/
Forwarded from Чёрный Треугольник
☝🏻BitChat помог сменить власть на Мадагаскаре
Военные поддержали митингующих Мадагаскара и распустили все государственные учреждения, кроме Национальной ассамблеи.🇲🇬
Теперь они представили новый управленческий план с переходным правительством и обещанием провести выборы в течение двух лет.
Ассамблея уже одобрила импичмент президента Андри Радзуэлина, который покинул страну на фоне массовых протестов, вызванных кризисом водоснабжения и коррупцией.❌
Протесты унесли жизни как минимум 22 человек, согласно данным ООН.
В стране с населением 30 миллионов, треть населения живет в нищете, а ВВП на душу населения сократился на 45% за последние десятилетия, усугубляя и без того тяжелую ситуацию.
☝🏻Во время уличных протестов координатором действий служил мессенджер Bitchat.
☝🏻Ранее BitChat также помог сменить власть в Непале🇳🇵
================
👁 News | 👁 Soft | 👁 Gear | 🌐 Links
Военные поддержали митингующих Мадагаскара и распустили все государственные учреждения, кроме Национальной ассамблеи.🇲🇬
Теперь они представили новый управленческий план с переходным правительством и обещанием провести выборы в течение двух лет.
Ассамблея уже одобрила импичмент президента Андри Радзуэлина, который покинул страну на фоне массовых протестов, вызванных кризисом водоснабжения и коррупцией.❌
Протесты унесли жизни как минимум 22 человек, согласно данным ООН.
В стране с населением 30 миллионов, треть населения живет в нищете, а ВВП на душу населения сократился на 45% за последние десятилетия, усугубляя и без того тяжелую ситуацию.
☝🏻Во время уличных протестов координатором действий служил мессенджер Bitchat.
☝🏻Ранее BitChat также помог сменить власть в Непале🇳🇵
================
Please open Telegram to view this post
VIEW IN TELEGRAM
Американская технологическая корпорация и глобальный поставщик передовых решений в сфере безопасности
F5, Inc. — мировой лидер в области доставки и безопасности приложений и API, обеспечивающий их быструю, надежную и защищенную работу для крупнейших мировых организаций. В 2024 году выручка компании составила $2,816 млрд. По состоянию на 2025 год решения F5 используются более чем в 85% компаний из списка Fortune 500. Компания обслуживает 23 000 клиентов в 170 странах, а 48 из 50 компаний, входящих в рейтинг Fortune 50, используют её продукты.
Если говорить просто, то F5 делает так, чтобы приложения крупных компаний работали быстро, бесперебойно и безопасно.
Взлом был обнаружен в августе 2025 года, но злоумышленники, как выяснилось, имели долгосрочный доступ к средам разработки F5. Компания указывает на отсутствие доказательств компрометации цепочки поставок ПО или кражи данных из CRM- и финансовых систем. При этом F5 признает, что хакеры получили доступ к файлам с конфигурациями небольшого числа клиентов.
В качестве основной меры реагирования корпорация F5 выпустила экстренные обновления безопасности для продуктов BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и клиентов APM. Компания настоятельно призывает всех клиентов незамедлительно установить выпущенные патчи для минимизации рисков. Дополнительно пользователям предоставлены руководства по поиску угроз и усилению защиты систем.
👮К расследованию инцидента привлечены ведущие эксперты из CrowdStrike и Mandiant, а также правоохранительные органы. Публичное раскрытие информации об атаке было отложено по запросу Министерства юстиции США для защиты критической инфраструктуры.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Как же нам защититься от взлома SMS-агрегатора, спросите вы? 🤔 Настал черёд ответить и на этот вопрос! Первый и очевидный шаг – убрать "SMS как единственный фактор" из критичных процессов, которые должны у вас быть определены. Для входа и подтверждения операций используйте Passkeys/WebAuthn, аппаратные ключи, TOTP/приложения, а SMS – только как резервный канал для низкорисковых коммуникаций 💬
Второй шаг – снизить ценность SMS даже при перехвате или утечке📉 Откажитесь от кликабельных ссылок в смсках; используйте короткий код и внеполосное (никогда не знал как out-of-band нормально перевести) подтверждение в приложении. Также стоит привязать OTP к контексту (сумма/операция/время/гео) и валидировать их на сервере. Это, кстати, приблизит OTP к реальной ПЭП, а не вот это вот все 🛠
Дальше стоит перейти к воздействию на SMS-провайдера (тут можно посмотреть мою презентацию из Минска или вебинар по безопасность подрядчиков): 🔨
✉️ Двух- или мульти-провайдерная схема с “kill-switch” на канал SMS.
✉️ Включение в договор требований по ИБ: SSO+MFA для личного кабинета, белый список IP/mTLS для API, ротация ключей, RBAC и раздельные учётки, журналы событий с экспортом в ваши SIEM/SOC, различные уведомления о шаблонах/отправителях.
✉️ Мониторинг аномалий: всплески OTP, изменение шаблонов/альфа-ID, уведомления о росте недоставок/задержек, отправка сообщений в необычные страны.
✉️ "Canary-номера” (обманки) и синтетический трафик для раннего обнаружения подмен/утечек 👀
Наконец, будьте готовы к инцидентам и управлению ими:🤓
✉️ План мгновенного отключения SMS-аутентификации и переключения на альтернативный фактор аутентификации. Хотя лучше не ждать и уже заменить OTP по SMS на что-то иное, более надежное.
✉️ Скрипт информирования пользователей и принудительные меры (как у Signal – форс-перерегистрация/registration lock) 🚨
ЗЫ. Ну и помните, что одноразовый пароль по СМС – это не двухфакторная аутентификация, чтобы вам кто не говорил, это всего лишь двухшаговая верификация, которая не так чтобы и сильно влияет на уровень безопасности🤔
#управлениеинцидентами #supplychain
Второй шаг – снизить ценность SMS даже при перехвате или утечке
Дальше стоит перейти к воздействию на SMS-провайдера (тут можно посмотреть мою презентацию из Минска или вебинар по безопасность подрядчиков): 🔨
Наконец, будьте готовы к инцидентам и управлению ими:
ЗЫ. Ну и помните, что одноразовый пароль по СМС – это не двухфакторная аутентификация, чтобы вам кто не говорил, это всего лишь двухшаговая верификация, которая не так чтобы и сильно влияет на уровень безопасности
#управлениеинцидентами #supplychain
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Не хакинг, а ИБ
Авито научился находить уязвимости в коде в 5 раз быстрее
И все благодаря ИИ — компания использует собственную LLM A-Vibe и сканер DeepSecrets. Его, кстати, каждый разработчик теперь может найти на GitHub. Модель локальная и обучена на тысячах примерах угроз. Поэтому она эффективно анализирует потенциально чувствительные данные, учитывает контекст кода и находит уязвимости с точностью более 99%.
Команда применяют многоуровневый подход, который исключает человеческий фактор: код проверяют дополнительными алгоритмами, инженеры проводят выборочные проверки и отслеживают качество работы, чтобы дообучать модель. Система экономит реальному специалисту примерно 25% рабочего времени, которое он может потратить на сложные задачи. Человек разбирает 50 000 уязвимостей около полугода, тогда как машина справляется за один рабочий день (6–8 часов).
Уже сейчас есть исследования, например, от IBM, в которых говорится: компании, которые используют ИИ, находят утечки на 100 дней раньше, чем конкуренты. Авито планирует внедрить ИИ в другие направления кибербезопасности – оценку рисков и моделирование угроз.
Подпишитесь на полезные каналы Авито
И все благодаря ИИ — компания использует собственную LLM A-Vibe и сканер DeepSecrets. Его, кстати, каждый разработчик теперь может найти на GitHub. Модель локальная и обучена на тысячах примерах угроз. Поэтому она эффективно анализирует потенциально чувствительные данные, учитывает контекст кода и находит уязвимости с точностью более 99%.
Команда применяют многоуровневый подход, который исключает человеческий фактор: код проверяют дополнительными алгоритмами, инженеры проводят выборочные проверки и отслеживают качество работы, чтобы дообучать модель. Система экономит реальному специалисту примерно 25% рабочего времени, которое он может потратить на сложные задачи. Человек разбирает 50 000 уязвимостей около полугода, тогда как машина справляется за один рабочий день (6–8 часов).
Уже сейчас есть исследования, например, от IBM, в которых говорится: компании, которые используют ИИ, находят утечки на 100 дней раньше, чем конкуренты. Авито планирует внедрить ИИ в другие направления кибербезопасности – оценку рисков и моделирование угроз.
Подпишитесь на полезные каналы Авито
Forwarded from Похек
Делаем LLM-honeypot и ловим на нее криптоджекеров
#LLM #honeypot #blue_team #Cryptojacking #ThreatHunting
Принес вам LLM-honeypot от Beelzebub для ловли криптоджекеров. Это простая SSH-ловушка, которая вместо статичных шаблонов отвечает атакующему правдоподобным текстом, сгенерированным LLM. Благодаря этому поведение сервера выглядит естественно, оператор получает правдоподобные ответы на команды и логи всех фейковых сессий.
Базовая структура ловушки на YALM:
Особенности конфигурации:
SSH-протокол (один из самых частых векторов атак) + нестандартный порт 2222 (снижает шум от сканеров).
regex: "^(.+)$" — перехватывает любую введенную команду/строку и отправляет в LLM-плагин.
serverVersion/serverName — эмуляция баннера/имени хоста, которые увидит криптоджекер при подключении.
passwordRegex — заранее прописанные намеренно слабые пары usernames/passwords.
deadlineTimeoutSeconds — при простое более 120 секунд сессия разрывается.
параметры plugin — интеграция с LLM OpenAI, в частности — gpt-4o + ключ для подключения.
plugin можно расписать подробнее. Например, добавить температуру ответов temperature и обеспечить контекстный диалог (историю команд) через contextMemory для улучшенной генерации. Функциональность на ваше усмотрение.
С этой ловушкой Beelzebub тщательно записали ход сессии криптоджекера: разведка хоста (uname, uptime, nproc), проверка GPU (lspci, nvidia-smi), сбор данных о CPU/сети, попытки обеспечить персистентность и убрать конкурентов (chpasswd, pkill xmrig|cnrig|kswapd0 и т.п.), скачивание и запуск установочного скрипта через curl … | bash. В описываемом примере скрипт настраивал xmrig для майнинга Monero и подключался к пулу C3Pool.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#LLM #honeypot #blue_team #Cryptojacking #ThreatHunting
Принес вам LLM-honeypot от Beelzebub для ловли криптоджекеров. Это простая SSH-ловушка, которая вместо статичных шаблонов отвечает атакующему правдоподобным текстом, сгенерированным LLM. Благодаря этому поведение сервера выглядит естественно, оператор получает правдоподобные ответы на команды и логи всех фейковых сессий.
Базовая структура ловушки на YALM:
apiVersion: "v1"
protocol: "ssh"
address: ":2222"
description: "SSH LLM Honeypot"
commands:
- regex: "^(.+)$"
plugin: "LLMHoneypot"
serverVersion: "OpenSSH"
serverName: "ubuntu"
passwordRegex: "^(root|qwerty|Smoker666|123456|jenkins|minecraft|sinus|alex|postgres|Ly123456)$"
deadlineTimeoutSeconds: 120
plugin:
llmProvider: "openai"
llmModel: "gpt-4o"
openAISecretKey: "sk-proj-1234567890"
Особенности конфигурации:
SSH-протокол (один из самых частых векторов атак) + нестандартный порт 2222 (снижает шум от сканеров).
regex: "^(.+)$" — перехватывает любую введенную команду/строку и отправляет в LLM-плагин.
serverVersion/serverName — эмуляция баннера/имени хоста, которые увидит криптоджекер при подключении.
passwordRegex — заранее прописанные намеренно слабые пары usernames/passwords.
deadlineTimeoutSeconds — при простое более 120 секунд сессия разрывается.
параметры plugin — интеграция с LLM OpenAI, в частности — gpt-4o + ключ для подключения.
plugin можно расписать подробнее. Например, добавить температуру ответов temperature и обеспечить контекстный диалог (историю команд) через contextMemory для улучшенной генерации. Функциональность на ваше усмотрение.
С этой ловушкой Beelzebub тщательно записали ход сессии криптоджекера: разведка хоста (uname, uptime, nproc), проверка GPU (lspci, nvidia-smi), сбор данных о CPU/сети, попытки обеспечить персистентность и убрать конкурентов (chpasswd, pkill xmrig|cnrig|kswapd0 и т.п.), скачивание и запуск установочного скрипта через curl … | bash. В описываемом примере скрипт настраивал xmrig для майнинга Monero и подключался к пулу C3Pool.
Please open Telegram to view this post
VIEW IN TELEGRAM
Споры на тему «что лучше для пентеста» уходят корнями в старые холивары, но в 2025 году выбор всё ещё зависит не от логотипа, а от задач.
Kali — это привычный «стандарт де-факто» с мощной экосистемой и широким пулом учебных материалов.
Parrot — более лёгкий и аккуратный к приватности дистрибутив, который можно использовать как «ежедневную систему», не жертвуя инструментарием безопасности.
— В данной статье мы подробно разберем дистрибутивы для тестирования на проникновение, сравним их философию и подход к изоляции.
Please open Telegram to view this post
VIEW IN TELEGRAM
— Американское агентство CISA добавило в каталог известных эксплуатируемых уязвимостей критическую ошибку в Adobe Experience Manager, указав на подтверждённые продолжающиеся атаки
Речь о 10 по CVSS – ошибке конфигурации CVE-2025-54253, которая даёт возможность выполнять произвольный код
Проблему подробно описали Адам Кьюз и Шубхам Шах из Searchlight Cyber – они показали, что изъян складывается в цепочку обхода аутентификации и удалённого выполнения команд через devmode фреймворка Struts2
Ключевая причина – оставленный без защиты servlet /adminui/debug: он принимает введённые пользователем выражения OGNL и интерпретирует их как Java-код, не требуя входа и не проверяя ввод.
⚠️ По замечанию FireCompass, такая точка входа позволяет провести атаку одним специально сформированным HTTP-запросом
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM