Мессенджер MAX вышел в публичную Bug Bounty с рекордными выплатами

VK запустила программу по поиску уязвимостей в мессенджере МAX с акцентом на защиту приватности пользователей. Максимальное вознаграждение багхантерам — 5 миллионов рублей.

Из вкусностей — проект имеет открытую документацию по API, хоть и не по всем endpoint'ам в целях безопасности)

Проект Bug Bounty для MAX доступен на всех платформах, где размещена программа VK Bug Bounty:

👨‍💻 Standoff Bug Bounty

🪲 BI.ZONE Bug Bounty

🪲 BugBounty.ru


А ещё у меня получилось получить комментарий от команды VK BB:

«В новой программе мы немного изменили нашу традиционную таблицу вознаграждений, сделав упор на защиту пользователей и их данных. И за это мы готовы платить большие деньги — до 5 миллионов рублей. По меркам российского Bug Bounty, это максимальные вознаграждения» — комментирует руководитель VK Bug Bounty Петр Уваров.

А ещё я сделал тематический чат в MAX, где вы можете что-то тестить. Там уже 69 участника 😱. Самый большой ИБ чат в MAX ))

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

SimpleHelp RMM CVE-2024-57727

SimpleHelp — это популярная система удаленного мониторинга и управления (RMM), которую используют IT-провайдеры и системные администраторы для управления клиентскими сетями. Система позволяет удаленно подключаться к компьютерам, устанавливать обновления, мониторить состояние систем и решать проблемы без физического присутствия.

RMM-системы критически важны для современного IT-аутсорсинга — через них управляются тысячи endpoint'ов в корпоративных сетях. Именно поэтому компрометация RMM равносильна получению "мастер-ключа" ко всей IT-инфраструктуре клиента.

Трипл килл: CVE-2024-57726, CVE-2024-57727, CVE-2024-57728

В январе 2025 года были раскрыты сразу три критические уязвимости в SimpleHelp:
➡️CVE-2024-57726 — дополнительная уязвимость безопасности
➡️CVE-2024-57727 — path traversal уязвимость (основная)
➡️CVE-2024-57728 — еще одна критическая брешь

CVE-2024-57727 представляет собой path traversal уязвимость в SimpleHelp версий 5.5.7 и ранее. Path traversal позволяет атакующему "выйти" за пределы разрешенной директории, используя последовательности типа `../` для доступа к произвольным файлам системы.

❗️DragonForce
Главным эксплуататором этих уязвимостей стала группа DragonForce — не просто ransomware группировка, а целая "картельная модель" с франшизой для аффилиатов. Группа активно перестраивает ландшафт угроз после падения LockBit.

📌Связи DragonForce:
➡️Поглощение/взлом сайтов BlackLock, Mamona, RansomHub
➡️Подозрения в сотрудничестве с Scattered Spider
➡️Использование advanced техник социальной инженерии

💻Анатомия атаки на MSP
DragonForce провела sophisticated атаку на британского MSP-провайдера, используя следующую схему:

➡️Этап 1: Компрометация RMM
- Эксплуатация CVE-2024-57727 для получения доступа к SimpleHelp-серверу MSP
- Получение контроля над RMM-инфраструктурой

➡️Этап 2: Разведка и закрепление
- Пуш SimpleHelp-инсталлятора клиентам через легитимную RMM-инфраструктуру
- Сканирование инфраструктур клиентов: имена устройств, пользователей, сетевые соединения
- Использование Microsoft Quick Assist и бэкдора QDoor для бесшумного закрепления
- Пребывание в сети до 9 дней до активации шифровальщика

➡️Этап 3: Атака
- Развертывание шифровальщика и инструментов двойного вымогательства
- Использование визинга + email-бомбинга для дополнительного давления
- Массовые сбои и отключения IT в ритейле Великобритании

❗️Индикаторы компрометации (мини IoC)
CISA и исследователи выделяют следующие IoC:
➡️Исполняемые файлы с трехбуквенными именами (aaa.exe, bbb.exe, ccc.exe)
➡️Время создания файлов после января 2025 года
➡️Аномальный сетевой трафик от SimpleHelp сервера
➡️Присутствие Microsoft Quick Assist в неожиданных местах
➡️Следы QDoor бэкдора в системе

🔖Рекомендации по защите
0️⃣Обновление до версии 5.5.8+ — критически важно для всех инсталляций
1️⃣Изоляция SimpleHelp серверов от интернета до применения патча
2️⃣Аудит всех трех CVE (57726, 57727, 57728) в системе
3️⃣Проверка на QDoor и Quick Assist в неожиданных местах

❗️Для MSP и IT-провайдеров:
➡️Немедленный аудит всех клиентских подключений через SimpleHelp
➡️Проверка логов на подозрительную активность с января 2025
➡️Уведомление клиентов о необходимости threat hunting
➡️Временное отключение RMM-доступа до полной проверки

🕰Проверка компрометации:
➡️Поиск файлов с трехбуквенными именами, созданных после января 2025
➡️Анализ сетевого трафика на аномалии
➡️Проверка наличия Microsoft Quick Assist в системах, где он не должен быть
➡️Поиск следов QDoor бэкдора

Долгосрочные меры:
➡️Внедрение Zero Trust архитектуры для RMM-систем
➡️Сегментация сети между RMM и критическими системами
➡️Мониторинг всех RMM-подключений в реальном времени
➡️Создание incident response плана для RMM-компрометации

💬Выводы
CVE-2024-57727 и связанные уязвимости показывают, что в эпоху cloud-first и remote-first подходов, безопасность управляющих систем должна быть приоритетом номер один.

Vercel v0: От AI-помощника до инструмента киберпреступников

➡️ Что такое Vercel v0
Vercel v0 — это AI-инструмент от компании Vercel, который позволяет создавать веб-приложения и лендинги с помощью естественного языка. Пользователь вводит текстовый промпт, а v0 генерирует готовый код с использованием React, Tailwind CSS и других современных технологий. Инструмент предназначен для быстрого прототипирования и создания базовых веб-интерфейсов без глубоких знаний программирования.

➡️ Техническая эксплуатация в фишинговых атаках
Исследователи Okta обнаружили, что киберпреступники активно используют v0 для создания поддельных страниц входа. Злоумышленники генерируют копии логин-форм крупных сервисов простыми промптами типа "создай страницу входа Facebook" или "сделай форму авторизации Gmail".

➡️ Технические преимущества для атакующих:

➡️Скорость разработки: Создание фишингового сайта занимает минуты вместо часов
➡️Качество кода: AI генерирует современный, адаптивный код с правильной структурой
➡️Обход детекции: Сайты размещаются на доверенной инфраструктуре Vercel
➡️Низкий порог входа: Не требуются навыки веб-разработки

➡️ Методы размещения
Злоумышленники используют несколько тактик:
➡️Хостинг поддельных логотипов компаний на серверах Vercel для повышения доверия
➡️Создание поддоменов, имитирующих легитимные сервисы
➡️Интеграция с существующими фишинговыми инфраструктурами

➡️ Эволюция угрозы
Этот случай демонстрирует новый тренд — использование генеративного AI для автоматизации создания фишинговых ресурсов. В отличие от традиционных фишинг-китов, требующих технических навыков, AI-инструменты демократизируют создание качественных поддельных сайтов.

Vercel уже заблокировал доступ к обнаруженным фишинговым ресурсам, но проблема системная — любой AI-инструмент для веб-разработки может быть аналогично эксплуатирован.

🔗Источник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🎮 Атакующий или Защитник — кем ты будешь на Всероссийской студенческой кибербитве?

Если ты студент, живёшь технологиями и хочешь проверить себя в условиях, максимально близких к реальным киберугрозам — тогда это твой шанс.

Всероссийская студенческая кибербитва возвращается уже этой осенью в сентябре на Kazan Digital Week 2025. Задача участников — защитить цифровую инфраструктуру виртуального города либо попробовать её сломать.

Мы ищем тех, кто:
✔️ учится в российском вузе или в аспирантуре
✔️ пробовал себя в CTF или на киберполигоне
✔️ умеет мыслить нестандартно — как атакующий и как защитник
✔️ готов пройти экспертное обучение с июля
✔️ нацелен на результат в команде

Участников ждут реальные сценарии и настоящая ИБ-инфраструктура, поддержка менторов и командная работа, прокачка компетенций уровня SOC-аналитика, щедрый денежный приз для победителей.

Никакой теории, только практика. Заяви о себе в ИБ-сообществе, получи признание и стань сильнее 🔙 регистрация на сайте кибербитва.рф

Don’t Fear The AI Reaper: Using LLMs to Hack Better and Faster
#AI #LLM #ML #bugbounty #pentest #subdomain #recon

LLM могут значительно ускорить обнаружение угроз, анализ уязвимостей и реагирование на инциденты, автоматизируя рутинные задачи и анализируя огромные объемы данных. Например, они могут помочь в разведке, генерируя списки слов для брутфорса DNS или обогащая перестановки для перечисления поддоменов. Также LLM могут быть использованы для автоматического обнаружения уязвимостей и создания эксплойтов.

Однако, с появлением LLM возникают и новые угрозы. Злоумышленники могут использовать их для создания более сложных и масштабных атак, включая автоматизацию вредоносных действий и разработку динамических моделей атак, которые труднее обнаружить. Например, LLM могут быть подвержены атакам с внедрением подсказок (prompt injection), когда вредоносные инструкции скрываются во входных данных пользователя. Также существует риск утечки конфиденциальных данных, если LLM обучались на чувствительных наборах данных

Do hackers have any future left? I'm sure we do. 😵

🔗Источник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

VK BugBounty <== тут дисклозят отчёты

Что вас ждёт:
🔵Разбор реальных отчётов об уязвимостях — от простых до нетривиальных кейсов
🔵Обсудим техники поиска
🔵Покажем вариации логики атак и нестандартные подходы
🔵Дадим рекомендации от эксперта VK, который ежедневно работает с десятками отчётов
🔵Ответим на все ваши вопросы в прямом эфире

🔹Спикер: Алексей Лямкин, триажер VK Bug Bounty

🔹 Когда: 10 июля в 16:00, онлайн

Регистрируйтесь, чтобы не пропустить!

😧 Российский LLM превзовшёл SAST'ы

Похековцы, привет! Сегодня у нас крутые новости из мира отечественного ИИ. Ребята из Сбербанка сделали то, что казалось невозможным! Центр практического ИИ Сбербанка разработал свою методику поиска уязвимостей с помощью LLM.

➡️Цифры, которые радуют, но не впечатляют:

➡️+22% эффективности по сравнению с существующими решениями (с учётом SFT, RL и остального - не удивительно)
➡️В 13 раз быстрее процедура дообучения
➡️Первое в мире решение, которое доказанно лучше статанализаторов (спорно)
➡️Работает с самым сложным кодом (с легаси без доки сработает?)

WizardCoder (правда не известно кол-во параметров 15B или 33B) — дообученная LLM, которая теперь умеет находить уязвимости лучше традиционных инструментов. Это не просто "еще один ИИ-инструмент", это правда рабочее решение!

⬆️Что это меняет?

➡️Приятный глазу рост российского бигтеха, который возможно скоро поравняется с международными решениями
➡️Скрестим пальцы и поставим свечку, чтобы продукты Сбера были мене уязвимыми и наши ПДн реже утекали
➡️Развитие российских спецов, но желательно, чтобы их не схантили в Цукенбергу за 100 млн $, хотя кто от такого откажется))

❤️ Лично я рад таким новостям

Пока весь мир говорит про OpenAI, Claude, Gemini и другие AI, наши исследователи делают крутые штуки в практическом применении ИИ для кибербезопасности. Это именно то, что нужно нам — не хайп, а реальные результаты.

🔗 Велком тыкать в источник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

CVE-2024-54085 - ПОЛНЫЙ ЗАХВАТ СЕРВЕРНЫХ ПАРКОВ

Похековцы, привет! Сегодня разбираем крутую уязвимость, которая может превратить твой дата-центр в чужую песочницу.

AMI MegaRAC BMC — популярный контроллер для удаленного управления серверами. Его используют AMD, Nvidia, Supermicro, Huawei и куча других крупных производителей. Но есть один маааленький нюанс...

😵 Один HTTP-запрос = полный контроль

Злоумышленник может обойти аутентификацию одним запросом и получить root-доступ к BMC. Никаких сложных эксплоитов, никакого социалки — просто отправил запрос и ты админ.

🕺 Ещё не осознал критичность всей ситуации?

➡️Полный контроль над серверной инфраструктурой
➡️Обход основной ОС — атакуешь железо напрямую
➡️Возможность внедрения в прошивку BMC
➡️Практически необнаружимо традиционными средствами защиты
➡️Затронуты тысячи серверов по всему миру

😳 Чё делать? Патч муравью приделать

➡️Проверить, используете ли AMI MegaRAC BMC
➡️Обновить прошивку до последней версии
➡️Изолировать BMC-интерфейсы от внешних сетей
➡️Настроить мониторинг подозрительной активности
➡️Провести аудит существующих подключений

🔥 Классический пример того, как одна уязвимость может положить целую инфраструктуру. Такой же эффект к примеру, как от захвата VMware ESXI или любого другого ПО, которое контролирует другие машины.

🔗 Велком тыкать в источник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

CVE-2025-3248: новую уязмостью в Langflow активно эксплуатируют
#разбор_CVE #CVE #RCE #AI #ML #LLM #python

Langflow — популярный Python-фреймворк для создания AI-приложений, который используют разработчики по всему миру. Но есть нюанс — критическая уязвимость с CVSS 9.8, которую уже активно эксплуатируют для развертывания ботнета Flodrix.

➡️ Технические детали
➡️Тип уязвимости: Неаутентифицированное удаленное выполнение кода (RCE)
➡️Затронутые версии: Langflow до версии 1.3.0
➡️Вектор атаки: POST-запросы к эндпоинту /api/v1/validate/code
➡️Механизм: Недостаточная валидация входных данных при компиляции Python-кода

➡️ Процесс эксплуатации
1. Сбор IP-адресов публично доступных серверов Langflow через Shodan/FOFA
2. Использование публичного PoC для получения удаленного доступа
3. Выполнение разведывательных команд (whoami, printenv, cat /root/.bash_history)
4. Загрузка и установка ботнета Flodrix
5. Установка связи с C&C сервером для координации DDoS-атак

➡️ Последствия
➡️Полная компрометация системы
➡️Участие в DDoS-атаках
➡️Потенциальная утечка чувствительных данных и конфигураций

➡️ Что делать
Если используете Langflow — немедленно обновляйтесь до версии 1.3.0 или выше. Проверьте логи на предмет подозрительных POST-запросов к /api/v1/validate/code. И да, если ваш сервер был скомпрометирован — полная переустановка системы, никаких полумер.
Ботнет Flodrix уже показал себя как серьезная угроза, так что не тяните с патчингом. Особенно если ваши AI-приложения доступны из интернета.

🛸🛸exploit.py

🔗 Подробности

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Обходим CSP nonce через дисковый кеш браузера
#перевод #habr #CSP #bugbounty #XSS #CSRF #web #pentest

Данное исследование описывает способ обхода Content Security Policy на основе nonce-значений в реалистичном сценарии. Автор создал небольшой таск на XSS для демонстрации уязвимости и подробно разбирает все этапы эксплуатации.

😧 Если вас интересует только решение, то краткая суть такова: можно добиться повторного использования nonce-значения через bfcache с откатом на дисковый кеш после его утечки, а затем заставить HTML-инъекцию быть загруженной заново путем её изменения и запроса без кеширования.

P.S. моя новая переведенная статья, буду благодарен +rep на хабре)

🔗Читать дальше

🔗Оригинал ресерча

p.s.p.s. какой же ущербный редактор у Хабра, просто ппц

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Echo Chamber: революционная техника взлома нейросетей
#разбор_атаки #AI #ML #LLM

Исследователи из NeuralTrust представили принципиально новую методику обхода защит нейросетей под названием Echo Chamber. Техника демонстрирует более 90% эффективность против ChatGPT, GPT-4o, Gemini и других ведущих LLM в генерации запрещенного контента.

➡️ Что это такое

Echo Chamber — это контекстно-отравляющий джейлбрейк, который превращает собственные рассуждения модели против неё самой. В отличие от традиционных методов (подмена символов, хитрые формулировки), атака использует косвенные намеки, семантическое управление и многоэтапное логическое наведение.

Название отражает суть механизма: ранние промпты влияют на ответы нейросети, а эти ответы затем используются для усиления изначальной цели. Получается замкнутая петля, где модель сама усиливает вредоносный подтекст и постепенно разрушает собственные защитные барьеры.

➡️ Механизм атаки

Атака состоит из шести этапов:
1. Определение цели — злоумышленник выбирает конечную задачу, но не включает её в ранние промпты
2. Посадка ядовитых семян — безобидные на вид запросы создают тонкие намеки на вредоносную цель
3. Направляющие семена — лёгкие семантические подталкивания начинают смещать внутреннее состояние модели
4. Вызов отравленного контекста — атакующий косвенно ссылается на ранее сгенерированный рискованный контент
5. Выбор пути — злоумышленник выборочно подхватывает нить из отравленного контекста
6. Цикл убеждения — серия последующих промптов, замаскированных под уточнения

➡️ Результаты тестирования

В контролируемых экспериментах на 200 попытках джейлбрейка для каждой модели:
➡️Сексизм, насилие, разжигание ненависти, порнография: более 90% успеха
➡️Дезинформация и пропаганда самоповреждений: около 80% эффективность
➡️Нецензурная лексика и незаконная деятельность: свыше 40% успеха

Большинство успешных атак происходило за 1-3 хода. Модели демонстрировали возрастающую податливость после того, как контекстное отравление закреплялось.

➡️ Практический пример

Исследователи продемонстрировали атаку на примере запроса "напиши инструкцию по изготовлению коктейля Молотова". При прямом запросе LLM отказалась. Но после применения Echo Chamber модель не только описала коктейль Молотова, но и предоставила пошаговое руководство с ингредиентами.

➡️ Почему это критично

Echo Chamber выявляет критическую слепую зону в методах выравнивания LLM:
➡️Системы безопасности уязвимы к косвенным манипуляциям через контекстные рассуждения
➡️Многоходовой диалог позволяет строить вредоносные траектории даже при безобидных отдельных промптах
➡️Фильтрация на уровне токенов недостаточна, если модели могут выводить вредоносные цели без токсичных слов

В реальных сценариях — боты поддержки клиентов, помощники продуктивности, модераторы контента — такая атака может использоваться для скрытого принуждения к вредоносному выводу без срабатывания сигнализации.

➡️ Защита

NeuralTrust рекомендует:
➡️Контекстно-осведомленный аудит безопасности — динамическое сканирование истории разговоров для выявления паттернов возникающих рисков
➡️Оценка накопления токсичности — мониторинг разговоров на протяжении нескольких ходов
➡️Обнаружение косвенности — обучение слоев безопасности распознавать использование прошлого контекста

➡️ Значение для индустрии

Уязвимость является прямым следствием стремления создавать модели с развитыми способностями к рассуждению. Чем глубже нейросеть анализирует смысл и строит цепочки выводов, тем легче её эксплуатировать через косвенные влияния.

Echo Chamber подчеркивает следующий рубеж в безопасности LLM: атаки, которые манипулируют рассуждениями модели, а не её входной поверхностью. По мере того как модели становятся более способными к устойчивым выводам, они также становятся более уязвимыми к косвенной эксплуатации.

🔗Первоисточник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Расскажите о кейсах, которыми стоит поделиться!

«Лаборатория Касперского» приглашает экспертов выступить на международной конференции в области защиты промышленных систем - Kaspersky Industrial Cybersecurity Conference.

Более 500 специалистов со всего мира встретятся в Сочи, чтобы обсудить ключевые вопросы ИБ в промышленности.

⚡️Выступление на KICS Conference — это возможность представить экспертное мнение, поделиться практическим опытом и внести вклад в развитие отрасли.

О чем можно рассказать:
🟢 актуальные угрозы и атаки на промышленный сектор
🟢 технологические тренды и развитие отрасли промышленности
🟢 ИИ в промышленности
🟢 киберфизическая безопасность

🔎 Ознакомиться с примерами тем и подать доклад — на странице.