Broadcom выкатилась со срочным бюллетенем и предупреждает клиентов о трех 0-day VMware, которые были выявлены в ходе реальных атак, о чем сообщили исследователи Microsoft.
CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 (CVSS 9.3, 8.2 и 7.1) затрагивают VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform, и в случае объединения в цепочку могут обеспечить выход из «песочницы» виртуальной машины.
Злоумышленник, которому удалось скомпрометировать гостевую ОС виртуальной машины и получить привилегированный доступ (администратор или root), может перейти в сам гипервизор.
По данным Broadcom, эксплуатация этих проблем уже активно реализуется в дикой природе.
CVE-2025-22224 представляет собой критическую уязвимость переполнения кучи VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой виртуальной машине выполнять код в качестве процесса VMX, запущенного на хосте.
Другая, CVE-2025-22225 в ESXi, позволяет процессу VMX инициировать произвольную запись ядра, что приводит к выходу из песочницы.
И, наконец, CVE-2025-22226 описывается как ошибка раскрытия информации HGFS, которая позволяет злоумышленникам с правами администратора вызывать утечку памяти из процесса VMX.
Microsoft пока не особо распространяется по поводу своих наблюдений по части эксплуатации, однако, как известно, уязвимости в VMWare фигурировали в «меню» различных злоумышленников, включая и вымогателей, и APT, и др.
Так что будем следить и информировать.
CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 (CVSS 9.3, 8.2 и 7.1) затрагивают VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform, и в случае объединения в цепочку могут обеспечить выход из «песочницы» виртуальной машины.
Злоумышленник, которому удалось скомпрометировать гостевую ОС виртуальной машины и получить привилегированный доступ (администратор или root), может перейти в сам гипервизор.
По данным Broadcom, эксплуатация этих проблем уже активно реализуется в дикой природе.
CVE-2025-22224 представляет собой критическую уязвимость переполнения кучи VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой виртуальной машине выполнять код в качестве процесса VMX, запущенного на хосте.
Другая, CVE-2025-22225 в ESXi, позволяет процессу VMX инициировать произвольную запись ядра, что приводит к выходу из песочницы.
И, наконец, CVE-2025-22226 описывается как ошибка раскрытия информации HGFS, которая позволяет злоумышленникам с правами администратора вызывать утечку памяти из процесса VMX.
Microsoft пока не особо распространяется по поводу своих наблюдений по части эксплуатации, однако, как известно, уязвимости в VMWare фигурировали в «меню» различных злоумышленников, включая и вымогателей, и APT, и др.
Так что будем следить и информировать.
GitHub
vcf-security-and-compliance-guidelines/security-advisories/vmsa-2025-0004 at main · vmware/vcf-security-and-compliance-guidelines
Security, compliance, and operational resilience resources applicable to VMware Cloud Foundation and VMware vSphere. This repository is an official VMware repository managed by Broadcom staff. - vm...
Группа ученых разработала способ удаленного превращения любого устройства с поддержкой Bluetooth в трекер AirTag.
Технология получила название nRootTag, в основе - метод индексации меток AirTags сетью FindMy компании Apple и поиска отслеживаемых или потерянных устройств.
В обычных обстоятельствах, когда пользователь подключает AirTag к своей учетной записи, Apple берет Bluetooth-сигнал AirTag и генерирует криптографическую пару закрытый-открытый ключ.
Когда пользователь производит поиск местоположения AirTag, сеть FindMy запрашивает открытый ключ, связанный с этим Bluetooth-сигналом, а затем уведомляет владельца о его местоположении.
Метод nRootTag задействует облачные вычислительные мощности для определения того, что будет закрытым ключом любого публичного сигнала Bluetooth.
Это позволяет перехватывать Bluetooth-сигнал любого устройства, вычислять возможный закрытый ключ, передавать его на серверы FindMy компании Apple, а затем получать данные о местоположении этого устройства.
Так что пока Apple пилит AirTag в части изменения адреса Bluetooth на основе криптографического ключа, злоумышленнику не удастся сделать это в других системах без прав администратора.
Поэтому вместо того, чтобы пытаться изменить адрес Bluetooth, исследователи разработали эффективные методы поиска ключей, чтобы найти ключ, совместимый с адресом Bluetooth, заставив ключ адаптироваться к адресу.
При этом вычисление ключа занимает всего лишь несколько минут, а nRootTag вообще можно использовать практически мгновенно, если злоумышленники заранее вычислят закрытые ключи в радужных хэш-таблицах.
Исследовательская группа из числа представителей Университета Джорджа Мейсона протестировала технологию, фактически превратив различные устройства в «поддельные» метки AirTags и отслеживая их местоположение, включая ноутбуки на базе Windows и Linux, смартфоны Android, устройства IoT и игровые консоли.
В свою очередь, Apple выпустила исправления безопасности в декабре для всех поддерживаемых в настоящее время устройств.
Теперь они будут игнорировать устройства, преобразованные в nRootTag, но старые устройства Apple все еще могут передавать информацию через FindMy.
Исследовательская группа утверждает, что точность nRootTag будет постепенно снижаться по мере снятия с производства старых устройств Apple, однако на данный момент атака остается актуальной.
Технология получила название nRootTag, в основе - метод индексации меток AirTags сетью FindMy компании Apple и поиска отслеживаемых или потерянных устройств.
В обычных обстоятельствах, когда пользователь подключает AirTag к своей учетной записи, Apple берет Bluetooth-сигнал AirTag и генерирует криптографическую пару закрытый-открытый ключ.
Когда пользователь производит поиск местоположения AirTag, сеть FindMy запрашивает открытый ключ, связанный с этим Bluetooth-сигналом, а затем уведомляет владельца о его местоположении.
Метод nRootTag задействует облачные вычислительные мощности для определения того, что будет закрытым ключом любого публичного сигнала Bluetooth.
Это позволяет перехватывать Bluetooth-сигнал любого устройства, вычислять возможный закрытый ключ, передавать его на серверы FindMy компании Apple, а затем получать данные о местоположении этого устройства.
Так что пока Apple пилит AirTag в части изменения адреса Bluetooth на основе криптографического ключа, злоумышленнику не удастся сделать это в других системах без прав администратора.
Поэтому вместо того, чтобы пытаться изменить адрес Bluetooth, исследователи разработали эффективные методы поиска ключей, чтобы найти ключ, совместимый с адресом Bluetooth, заставив ключ адаптироваться к адресу.
При этом вычисление ключа занимает всего лишь несколько минут, а nRootTag вообще можно использовать практически мгновенно, если злоумышленники заранее вычислят закрытые ключи в радужных хэш-таблицах.
Исследовательская группа из числа представителей Университета Джорджа Мейсона протестировала технологию, фактически превратив различные устройства в «поддельные» метки AirTags и отслеживая их местоположение, включая ноутбуки на базе Windows и Linux, смартфоны Android, устройства IoT и игровые консоли.
В свою очередь, Apple выпустила исправления безопасности в декабре для всех поддерживаемых в настоящее время устройств.
Теперь они будут игнорировать устройства, преобразованные в nRootTag, но старые устройства Apple все еще могут передавать информацию через FindMy.
Исследовательская группа утверждает, что точность nRootTag будет постепенно снижаться по мере снятия с производства старых устройств Apple, однако на данный момент атака остается актуальной.
nroottag.github.io
nRootTag - Tracking You from a Thousand Miles Away!
Research on how Apple's Find My network can be exploited to track non-Apple devices
Тем временем Cisco сообщает об устранении уязвимости Webex for BroadWorks, которая позволяет неавторизованным злоумышленникам получить удаленный доступ к учетным данным.
Несмотря на то, что этой проблеме еще не присвоен идентификатор CVE, в своем бюллетене по безопасности Cisco отмечает, что уже внесла изменения в конфигурацию для ее устранения и рекомендовала клиентам перезапустить приложение Cisco Webex для получения исправлений.
Уязвимость в Cisco Webex для BroadWorks версии 45.2 может позволить аутентифицированному пользователю получить доступ к учетным данным в виде простого текста в журналах клиента и сервера, если для связи по протоколу SIP настроен незащищенный транспорт.
Уязвимость обусловлена конфиденциальной информацией, раскрытой в заголовках SIP, и затрагивает только экземпляры Cisco BroadWorks (локально) и Cisco Webex для BroadWorks (гибридное облако/локально), работающие в средах Windows.
Компания рекомендует администраторам настроить защищенный транспорт для связи по протоколу SIP, чтобы шифровать передаваемые данные в качестве временного решения, пока изменение конфигурации не достигнет их среды. Кроме того, проводить ротацию учетных данных.
Cisco PSIRT при этом заверяет об отсутствии доказательств вредоносного использования или публичных заявлений, содержащих дополнительную информацию об этой уязвимости.
Несмотря на то, что этой проблеме еще не присвоен идентификатор CVE, в своем бюллетене по безопасности Cisco отмечает, что уже внесла изменения в конфигурацию для ее устранения и рекомендовала клиентам перезапустить приложение Cisco Webex для получения исправлений.
Уязвимость в Cisco Webex для BroadWorks версии 45.2 может позволить аутентифицированному пользователю получить доступ к учетным данным в виде простого текста в журналах клиента и сервера, если для связи по протоколу SIP настроен незащищенный транспорт.
Уязвимость обусловлена конфиденциальной информацией, раскрытой в заголовках SIP, и затрагивает только экземпляры Cisco BroadWorks (локально) и Cisco Webex для BroadWorks (гибридное облако/локально), работающие в средах Windows.
Компания рекомендует администраторам настроить защищенный транспорт для связи по протоколу SIP, чтобы шифровать передаваемые данные в качестве временного решения, пока изменение конфигурации не достигнет их среды. Кроме того, проводить ротацию учетных данных.
Cisco PSIRT при этом заверяет об отсутствии доказательств вредоносного использования или публичных заявлений, содержащих дополнительную информацию об этой уязвимости.
Cisco
Cisco Security Advisory: Cisco Webex for BroadWorks Credential Exposure Vulnerability
A low-severity vulnerability in Cisco Webex for BroadWorks Release 45.2 could allow an unauthenticated, remote attacker to access data and credentials if unsecure transport is configured for the SIP communication.
This vulnerability is due to the exposure…
This vulnerability is due to the exposure…
Связанная с эксплуатацией трех исправленных на днях 0-day VMware кампания теперь отслеживается как ESXicape и затрагивает десятки тысяч экземпляров, о чем свидетельствуют результаты актуального сканирования.
4 марта Broadcom предупредила клиентов ESXi, Workstation и Fusion о выпуске срочных исправлений для CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, эксплуатация которых может привести к выполнению произвольного кода, выходу из песочницы и утечкам памяти.
Обнаружение ошибок приписывается Microsoft Threat Intelligence Center (вероятно, Microsoft также видела атаки с использованием 0-day), но ни Broadcom, ни Microsoft не поделились какой-либо информацией о замеченной вредоносной активности.
Исследователи Netlas сообщают об обнаружении более 7000 экземпляров VMware ESXi, подключенных к Интернету, которые, по-видимому, подвержены уязвимостям.
В свою очередь, Shadowserver Foundation выявила более 41 000 уязвимых экземпляров ESXi, большинство из которых находятся в Китае, Франции, США, Германии, Иране, Бразилии и Южной Корее (в РФ - более 700).
Их сканирования были нацелены на CVE-2025-22224, но детектированные экземпляры, вероятно, затронуты и другими уязвимостями, поскольку все они затрагивают одни и те же версии ПО.
Технические подробности и PoC пока недоступны, что, вероятно, на текущий момент сдерживает начало широкомасштабной эксплуатации.
Исследователь Кевин Бомонт окрестил уязвимости как ESXicape, поясняя, что в случае доступа к ESX, злоумышленник может получить доступ ко всему на сервере ESX, включая данные виртуальной машины и, что особенно важно, конфигурацию ESX и смонтированное хранилище, а в помощью них - перемещаться по среде VMware.
Так, если организации в используется vMotion, чтобы виртуальные машины могли автоматически перемещаться между хостами ESX, балансируя нагрузку и обеспечивая обслуживание, злоумышленник получает прямой доступ к хранилищу ВМ как на этом хосте, так и за его пределами по замыслу — они, по сути, свободны на бэкэнде.
По словам исследователя, злоумышленники могут использовать уязвимости, чтобы обойти решения безопасности и получить доступ к ценным активам, таким как базы данных контроллеров домена Active Directory, не вызывая оповещений.
А это достаточно часто наблюдается в инцидентах с ransomware, когда пользователи напрямую эксплуатируют сервер ESX или vCenter через сеть управления VMware, используя неисправленные уязвимости. Как только хакеры достигают ESX, они напрямую проникают в хранилище по всему кластеру.
При этом возможность доступа к гипервизору сервера ESX напрямую из виртуальной машины значительно повышает риск. Не нужно искать сведения о сервере ESX или подключаться к изолированной сети.
Бомонт отметил, что недавно в киберподполье был замечен эксплойт для побега из виртуальной машины ESXi по цене 150 000 долл., но неясно, рабочий ли он и связан ли с атаками 0-day, раскрытыми на этой неделе.
Будем следить.
4 марта Broadcom предупредила клиентов ESXi, Workstation и Fusion о выпуске срочных исправлений для CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, эксплуатация которых может привести к выполнению произвольного кода, выходу из песочницы и утечкам памяти.
Обнаружение ошибок приписывается Microsoft Threat Intelligence Center (вероятно, Microsoft также видела атаки с использованием 0-day), но ни Broadcom, ни Microsoft не поделились какой-либо информацией о замеченной вредоносной активности.
Исследователи Netlas сообщают об обнаружении более 7000 экземпляров VMware ESXi, подключенных к Интернету, которые, по-видимому, подвержены уязвимостям.
В свою очередь, Shadowserver Foundation выявила более 41 000 уязвимых экземпляров ESXi, большинство из которых находятся в Китае, Франции, США, Германии, Иране, Бразилии и Южной Корее (в РФ - более 700).
Их сканирования были нацелены на CVE-2025-22224, но детектированные экземпляры, вероятно, затронуты и другими уязвимостями, поскольку все они затрагивают одни и те же версии ПО.
Технические подробности и PoC пока недоступны, что, вероятно, на текущий момент сдерживает начало широкомасштабной эксплуатации.
Исследователь Кевин Бомонт окрестил уязвимости как ESXicape, поясняя, что в случае доступа к ESX, злоумышленник может получить доступ ко всему на сервере ESX, включая данные виртуальной машины и, что особенно важно, конфигурацию ESX и смонтированное хранилище, а в помощью них - перемещаться по среде VMware.
Так, если организации в используется vMotion, чтобы виртуальные машины могли автоматически перемещаться между хостами ESX, балансируя нагрузку и обеспечивая обслуживание, злоумышленник получает прямой доступ к хранилищу ВМ как на этом хосте, так и за его пределами по замыслу — они, по сути, свободны на бэкэнде.
По словам исследователя, злоумышленники могут использовать уязвимости, чтобы обойти решения безопасности и получить доступ к ценным активам, таким как базы данных контроллеров домена Active Directory, не вызывая оповещений.
А это достаточно часто наблюдается в инцидентах с ransomware, когда пользователи напрямую эксплуатируют сервер ESX или vCenter через сеть управления VMware, используя неисправленные уязвимости. Как только хакеры достигают ESX, они напрямую проникают в хранилище по всему кластеру.
При этом возможность доступа к гипервизору сервера ESX напрямую из виртуальной машины значительно повышает риск. Не нужно искать сведения о сервере ESX или подключаться к изолированной сети.
Бомонт отметил, что недавно в киберподполье был замечен эксплойт для побега из виртуальной машины ESXi по цене 150 000 долл., но неясно, рабочий ли он и связан ли с атаками 0-day, раскрытыми на этой неделе.
Будем следить.
Medium
Use one Virtual Machine to own them all — active exploitation of VMware ESX hypervisor escape ESXicape
A chain of three zero days allow threat actors to escape a Virtual Machine.
Исследователи Cisco Talos в новом отчете раскрывают новые кампании китайской APT Lotus Blossom, нацеленные на на правительственный, производственный, телеком и медиа секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване с использованием обновленных версий уже известного бэкдора Sagerunex.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
Cisco Talos Blog
Lotus Blossom espionage group targets multiple industries with different versions of Sagerunex and hacking tools
Тревожные выводы приводят аналитики специализирующейся на киберфизической безопасности компании TXOne Networks по результатам опроса 150 руководителей высшего звена в Северной Америке, Европе, на Ближнем Востоке и в Азии.
Во многих организациях по-прежнему считают, что исправление ошибок в системах OT может привести к простою оборудования и сбоям в работе, и поэтому не проводят регулярное исправление ошибок.
Согласно ежегодному отчету TXOne по кибербезопасности OT/ICS за 2024 год, 85% организаций не реализуют регулярные исправления, а большинство устанавливают их ежеквартально или еще реже, что оставляет уязвимыми для атак их системы в течение длительного времени.
И это при том, что в прошлом году подавляющее большинство компаний столкнулось с инцидентами кибербезопасности, затронувшими их ОТ-среды, а 37% инцидентов безопасности ОТ были связаны с эксплуатацией уязвимостей ПО.
На вопрос об основных проблемах регулярного исправления OT наиболее часто упоминаемой причиной была нехватка персонала или опыта (48%), за которой следовали опасения по поводу сбоев в работе (47%) и отсутствие поддержки поставщика или тестирования исправлений (43%).
Фактически, 41% организаций откладывают исправление до тех пор, пока не станет доступна поддержка поставщика.
Почти 60% респондентов применяют исправления во время плановых простоев или периодов технического обслуживания, чтобы снижает риски сбоев в работе, однако TXOne отметила, что это может быть трудновыполнимо в организациях с высокими требованиями к эффективности.
Многие респонденты заявили, что тестируют исправления в контролируемой среде перед их внедрением в реальном времени (55%), а некоторые полагаются на поэтапное внедрение исправлений (44%).
Приоритет исправлений в основном определяется критичностью затронутой системы (в 61% случаев), затем следует доступность исправлений для конкретных активов (52%), а также подверженность риску и критичность уязвимостей (49%).
Уязвимости приоритизируются в 55% случаев на основе их оценки CVSS (которая может быть обманчивой для ICS) и включения в базы данных известных эксплуатируемых уязвимостей (KEV).
Многие организации также полагаются на инструменты Exploit Prediction Scoring System (49%) и инструменты оценки времени до эксплуатирования (47%).
Чуть более половины организаций полагаются на расширенный мониторинг и обнаружение вторжений, когда исправления недоступны, а 46% используют компенсирующие меры, такие как сегментация сети и усиление защиты системы, для смягчения последствий уязвимостей.
Для купирования этих проблемы TXOne рекомендует использовать более гибкие стратегии управления исправлениями, интегрировать инструменты автоматизации и использовать виртуальное исправление.
Дополнительные подробности исследования - в отчете.
Во многих организациях по-прежнему считают, что исправление ошибок в системах OT может привести к простою оборудования и сбоям в работе, и поэтому не проводят регулярное исправление ошибок.
Согласно ежегодному отчету TXOne по кибербезопасности OT/ICS за 2024 год, 85% организаций не реализуют регулярные исправления, а большинство устанавливают их ежеквартально или еще реже, что оставляет уязвимыми для атак их системы в течение длительного времени.
И это при том, что в прошлом году подавляющее большинство компаний столкнулось с инцидентами кибербезопасности, затронувшими их ОТ-среды, а 37% инцидентов безопасности ОТ были связаны с эксплуатацией уязвимостей ПО.
На вопрос об основных проблемах регулярного исправления OT наиболее часто упоминаемой причиной была нехватка персонала или опыта (48%), за которой следовали опасения по поводу сбоев в работе (47%) и отсутствие поддержки поставщика или тестирования исправлений (43%).
Фактически, 41% организаций откладывают исправление до тех пор, пока не станет доступна поддержка поставщика.
Почти 60% респондентов применяют исправления во время плановых простоев или периодов технического обслуживания, чтобы снижает риски сбоев в работе, однако TXOne отметила, что это может быть трудновыполнимо в организациях с высокими требованиями к эффективности.
Многие респонденты заявили, что тестируют исправления в контролируемой среде перед их внедрением в реальном времени (55%), а некоторые полагаются на поэтапное внедрение исправлений (44%).
Приоритет исправлений в основном определяется критичностью затронутой системы (в 61% случаев), затем следует доступность исправлений для конкретных активов (52%), а также подверженность риску и критичность уязвимостей (49%).
Уязвимости приоритизируются в 55% случаев на основе их оценки CVSS (которая может быть обманчивой для ICS) и включения в базы данных известных эксплуатируемых уязвимостей (KEV).
Многие организации также полагаются на инструменты Exploit Prediction Scoring System (49%) и инструменты оценки времени до эксплуатирования (47%).
Чуть более половины организаций полагаются на расширенный мониторинг и обнаружение вторжений, когда исправления недоступны, а 46% используют компенсирующие меры, такие как сегментация сети и усиление защиты системы, для смягчения последствий уязвимостей.
Для купирования этих проблемы TXOne рекомендует использовать более гибкие стратегии управления исправлениями, интегрировать инструменты автоматизации и использовать виртуальное исправление.
Дополнительные подробности исследования - в отчете.
Txone
Welcome - 2024 Annual ICS-OT Cybersecurity Report
Discover critical OT/ICS cybersecurity trends, threats, and protection strategies in TXOne Networks' comprehensive 2024 annual report. View your copy today.
Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.
Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.
На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.
При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.
Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.
Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.
Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.
В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.
Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.
Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.
После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.
Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.
Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.
Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.
Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.
Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.
Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.
Технические подробности и IoC - отчете.
securelist.ru
Стилеры и бэкдоры распространяются под видом клиента для DeepSeek
Эксперты «Лаборатории Касперского» обнаружили кампании по распространению стилеров, вредоносных PowerShell-скриптов и бэкдоров через веб-страницы, копирующие дизайн сайтов DeepSeek и Grok.
Тем временем в даркнете анонсировали утечку разведданных в объеме 11 ГБ, якобы принадлежащих Главному разведывательному управлению Саудовской Аравии (GIP).
Предполагаемая утечка включает конфиденциальные файлы на сотрудников, включая телефонные номера, секретные материалы из систем и переписка по линии взаимодействия спецслужб.
Предполагаемая утечка включает конфиденциальные файлы на сотрудников, включая телефонные номера, секретные материалы из систем и переписка по линии взаимодействия спецслужб.
Forwarded from Russian OSINT
🇪🇸❗️ Суд в Испании расширяет расследование в отношении 🇮🇱NSO Group по делу о кибершпионаже с использованием Pegasus
Ранее каталонская правозащитная организация Irídia подала иск против трёх директоров израильской компании NSO Group, создателей шпионского ПО Pegasus, за их предполагаемое участие в незаконной слежке за адвокатом Андреу Ван ден Эйнде.
Ван ден Эйнде обратился в суд Барселоны после того, как в мае 2020 года обнаружил, что его мобильный телефон и компьютер были взломаны в период подготовки дела по защите политзаключённых из ERC. По данным Irídia, шпионаж якобы мог проводиться в интересах🎩 Национального центра разведки Испании (CNI).
По данным расследования CatalanGate, Pegasus использовался для слежки за 65 каталонскими политиками и активистами, включая бывшего президента Каталонии Пере Арагонеса. Однако CNI признало лишь 18 случаев.
Адвокат Андреу Ван ден Эйнде отметил, что экс-директор CNI фигурирует в нескольких судебных расследованиях, однако испанские власти продолжают использовать законы о государственной тайне, чтобы не предоставлять информацию.
Суд в Барселоне несколько дней назад вынес положительное решение в пользу правозащитной организации Irídia и постановил расследовать причастность NSO Group по делу, связанному с кибершпионажем.
В официальном пресс-релизе организации подчеркивается, что данный случай «устанавливает важный прецедент в борьбе с кибершпионажем в Европе».
Обвиняемыми стали Шалев Хулио, Омри Лави и Юваль Сомех. Суд намерен продолжить расследование с вызовом обвиняемых на допрос и запросить дополнительные документы по делу.
💠 Омри Лави – сооснователь NSO Group, входил в совет директоров OSY Technologies (2019-2023).
💠 Шалев Хулио – бывший CEO NSO Group (до 2022 года), член совета директоров Q Cyber Technologies (2019-2022) и OSY Technologies (до 2023).
💠 Юваль Сомех – управляющий директор Q Cyber Technologies (2016-2021), член совета OSY Technologies (2019-2020).
Суд подверг критике попытки прокуратуры заблокировать расширение расследования. Прокурор выступал против привлечения новых фигурантов, несмотря на настоятельные рекомендации Комитета PEGA и ПАСЕ (Парламентской ассамблеи Совета Европы) о необходимости расследования случаев использования Pegasus.
Irídia требует расширить Европейский ордер на расследование (EIO), чтобы власти 🇱🇺Люксембурга содействовали расследованию и помогли установить все обстоятельства, связанные с деятельностью NSO в Европе.
📲 ПАСЕ провело слушание по этому делу. Обсуждались вопросы, связанные с незаконным использованием кибершпионского ПО против журналистов, политиков, правозащитников и юристов. ПАСЕ намерена продолжить давление на правительства стран, использующих шпионское ПО в политических целях.
✋ @Russian_OSINT
Ранее каталонская правозащитная организация Irídia подала иск против трёх директоров израильской компании NSO Group, создателей шпионского ПО Pegasus, за их предполагаемое участие в незаконной слежке за адвокатом Андреу Ван ден Эйнде.
Ван ден Эйнде обратился в суд Барселоны после того, как в мае 2020 года обнаружил, что его мобильный телефон и компьютер были взломаны в период подготовки дела по защите политзаключённых из ERC. По данным Irídia, шпионаж якобы мог проводиться в интересах
По данным расследования CatalanGate, Pegasus использовался для слежки за 65 каталонскими политиками и активистами, включая бывшего президента Каталонии Пере Арагонеса. Однако CNI признало лишь 18 случаев.
Адвокат Андреу Ван ден Эйнде отметил, что экс-директор CNI фигурирует в нескольких судебных расследованиях, однако испанские власти продолжают использовать законы о государственной тайне, чтобы не предоставлять информацию.
Суд в Барселоне несколько дней назад вынес положительное решение в пользу правозащитной организации Irídia и постановил расследовать причастность NSO Group по делу, связанному с кибершпионажем.
В официальном пресс-релизе организации подчеркивается, что данный случай «устанавливает важный прецедент в борьбе с кибершпионажем в Европе».
Обвиняемыми стали Шалев Хулио, Омри Лави и Юваль Сомех. Суд намерен продолжить расследование с вызовом обвиняемых на допрос и запросить дополнительные документы по делу.
Суд подверг критике попытки прокуратуры заблокировать расширение расследования. Прокурор выступал против привлечения новых фигурантов, несмотря на настоятельные рекомендации Комитета PEGA и ПАСЕ (Парламентской ассамблеи Совета Европы) о необходимости расследования случаев использования Pegasus.
Irídia требует расширить Европейский ордер на расследование (EIO), чтобы власти 🇱🇺Люксембурга содействовали расследованию и помогли установить все обстоятельства, связанные с деятельностью NSO в Европе.
Please open Telegram to view this post
VIEW IN TELEGRAM
Apple разослала новую волну уведомлений об угрозах пользователям из 117 стран, которые, по их данным, подверглись целевым атакам с использованием spyware.
В прошлом году компания дважды делала аналогичные рассылки, рассылая предупреждения пользователям более чем 150 стран.
Посильную помощь в этом деле компании оказывают эксперты Amnesty International, которые изрядно потрепали поставщиков spyware за последние два года.
Традиционно в сообщениях об угрозах spyware не раскрываются личности злоумышленников, а также страны, в которых пользователи получили уведомления.
ПепелКлааса Пегасуса стучит в наши сердца!
В прошлом году компания дважды делала аналогичные рассылки, рассылая предупреждения пользователям более чем 150 стран.
Посильную помощь в этом деле компании оказывают эксперты Amnesty International, которые изрядно потрепали поставщиков spyware за последние два года.
Традиционно в сообщениях об угрозах spyware не раскрываются личности злоумышленников, а также страны, в которых пользователи получили уведомления.
Пепел
Исследователи S-RM обнаружили необычный метод атаки вымогателей Akira в ходе недавнего реагирования на инцидент у одного из своих клиентов.
Операторы Akira задействовали незащищенную веб-камеру для запуска атак шифрования на сеть жертвы, эффективно обходя EDR.
При этом хакеры переключилисль на нее после попыток развернуть шифровальщики в Windows, где были заблокированы EDR.
Первоначально злоумышленники получили доступ к корпоративной сети через уязвимое решение удаленного доступа в целевой компании, вероятно, воспользовавшись украденными учетными данными или с помощью брута.
Получив доступ, они развернули AnyDesk и смогли выкрасть корпоративные данные у компании для их дальнейшего использования в рамках двойного вымогательства.
Затем операторы ransomware использовали RDP для горизонтального перемещения и расширения присутствия в системах, прежде чем развернуть вредоносную ПО-вымогатель.
В конце концов злоумышленники загрузили защищенный паролем ZIP-файл (win.zip), содержащий вредоносную ПО (win.exe), но инструмент EDR жертвы обнаружил его и отправил в карантин, по сути заблокировав атаку.
После этого Akira исследовали альтернативные пути атаки, просканировав сеть на предмет других устройств, которые можно было бы использовать для шифрования файлов. Нашлась веб-камера и сканер отпечатков пальцев.
Исследователи S-RM полагают, что злоумышленники выбрали именно веб-камеру, поскольку она была уязвима для удаленного доступа к оболочке и несанкционированного просмотра видеопотока.
Более того, устройство работала на ОС на базе Linux, совместимой с Linux-шифровальщиком от Akira, при этом не имея агента EDR, что делало его оптимальным для удаленного шифрования файлов на сетевых ресурсах.
Злоумышленники использовали ОС Linux веб-камеры для монтирования сетевых ресурсов Windows SMB других устройств компании, после чего запустили шифратор Linux на веб-камере и задействовали его для шифрования сетевых ресурсов по SMB, эффективно обходя ПО EDR в сети.
Поскольку устройство не отслеживалось, служба безопасности пострадавшей организации не знала об увеличении вредоносного трафика SMB с камеры на пораженный сервер, что в противном случае могло бы им очень помочь.
Но не помогло - Akira зашифровала файлы в сети жертвы.
Этот инцидент показывает, что защита EDR не является всеобъемлющим решением с точки зрения обеспечения безопасности, и полагаться велело на нее для защиты от атак не следует.
Кроме того, устройства Интернета вещей не так тщательно контролируются и обслуживаются, как компьютеры, но тем не менее несут значительные риски.
В связи с этим такие устройства следует изолировать от более уязвимых сетей, включая производственные серверы и рабочие станции.
Не менее важны регулярные обновления их прошивок для исправления известных уязвимостей, которые могут быть использованы в атаках. В описанной ситуации - этот процесс упустили.
Операторы Akira задействовали незащищенную веб-камеру для запуска атак шифрования на сеть жертвы, эффективно обходя EDR.
При этом хакеры переключилисль на нее после попыток развернуть шифровальщики в Windows, где были заблокированы EDR.
Первоначально злоумышленники получили доступ к корпоративной сети через уязвимое решение удаленного доступа в целевой компании, вероятно, воспользовавшись украденными учетными данными или с помощью брута.
Получив доступ, они развернули AnyDesk и смогли выкрасть корпоративные данные у компании для их дальнейшего использования в рамках двойного вымогательства.
Затем операторы ransomware использовали RDP для горизонтального перемещения и расширения присутствия в системах, прежде чем развернуть вредоносную ПО-вымогатель.
В конце концов злоумышленники загрузили защищенный паролем ZIP-файл (win.zip), содержащий вредоносную ПО (win.exe), но инструмент EDR жертвы обнаружил его и отправил в карантин, по сути заблокировав атаку.
После этого Akira исследовали альтернативные пути атаки, просканировав сеть на предмет других устройств, которые можно было бы использовать для шифрования файлов. Нашлась веб-камера и сканер отпечатков пальцев.
Исследователи S-RM полагают, что злоумышленники выбрали именно веб-камеру, поскольку она была уязвима для удаленного доступа к оболочке и несанкционированного просмотра видеопотока.
Более того, устройство работала на ОС на базе Linux, совместимой с Linux-шифровальщиком от Akira, при этом не имея агента EDR, что делало его оптимальным для удаленного шифрования файлов на сетевых ресурсах.
Злоумышленники использовали ОС Linux веб-камеры для монтирования сетевых ресурсов Windows SMB других устройств компании, после чего запустили шифратор Linux на веб-камере и задействовали его для шифрования сетевых ресурсов по SMB, эффективно обходя ПО EDR в сети.
Поскольку устройство не отслеживалось, служба безопасности пострадавшей организации не знала об увеличении вредоносного трафика SMB с камеры на пораженный сервер, что в противном случае могло бы им очень помочь.
Но не помогло - Akira зашифровала файлы в сети жертвы.
Этот инцидент показывает, что защита EDR не является всеобъемлющим решением с точки зрения обеспечения безопасности, и полагаться велело на нее для защиты от атак не следует.
Кроме того, устройства Интернета вещей не так тщательно контролируются и обслуживаются, как компьютеры, но тем не менее несут значительные риски.
В связи с этим такие устройства следует изолировать от более уязвимых сетей, включая производственные серверы и рабочие станции.
Не менее важны регулярные обновления их прошивок для исправления известных уязвимостей, которые могут быть использованы в атаках. В описанной ситуации - этот процесс упустили.
S-Rminform
Camera off: Akira deploys ransomware via webcam
Learn how Akira ransomware exploited an unsecured webcam to bypass cybersecurity measures and deploy ransomware, highlighting key lessons and strategies for improved IoT security.
Forwarded from Social Engineering
• Этот репозиторий включает в себя большую коллекцию полезных шпаргалок и гайдов, которые автор использовал при получении различных ИБ-сертификатов. Однозначно в закладки для последующего ознакомления и изучения:
• Cheat Sheets:
• Exam Guides:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь 0x6rss раскрыл опубликовал подробности в отношении EvilLoader (вместе с PoC) - уязвимости в Telegram для Android, которая может быть использована для запуска вредоносного кода на устройстве пользователя.
Эксплойт позволяет злоумышленникам маскировать вредоносные APK-файлы под видеофайлы, что потенциально приводит к несанкционированной установке вредоносного ПО на устройства пользователей.
EvilLoader манипулирует обработкой видеофайлов в Telegram, позволяя вредоносному приложению автоматически загружаться и выполняться под видом медиаконтента.
Когда пользователь пытается воспроизвести одно из этих специально созданных «видео», Telegram предлагает ему открыть файл во внешнем приложении.
Если пользователь выбирает Cancel, то это будет выглядеть так, как будто видео не может быть воспроизведено правильно. В противном случае замаскированный APK устанавливается на устройство.
Ключевая часть атаки заключается в создании HTML-файла, который Telegram ошибочно интерпретирует как действительный видеофайл.
Уязвимость аналогична CVE-2024-7014, также нацеленной на Telegram для Android и получившей название EvilVideo, которая была раскрыта в июле 2024 года.
EvilVideo, как EvilLoader, позволяла злоумышленникам манипулировать видеофайлами для доставки вредоносных APK.
Разработчиков мессенджеры уведомили об уязвимости 4 марта 2025 года.
Тем не менее, ошибка остается неисправленной и продолжает работать в последней версии Telegram для Android 11.7.4.
Более того, полезная нагрузка доступна для продажи в киберподполье с 15 января 2025 года, что делает ее доступной для хакеров по всему миру. Теперь его называют EvilLoader вместо его первоначального названия EvilVideo.
Эксплойт позволяет злоумышленникам маскировать вредоносные APK-файлы под видеофайлы, что потенциально приводит к несанкционированной установке вредоносного ПО на устройства пользователей.
EvilLoader манипулирует обработкой видеофайлов в Telegram, позволяя вредоносному приложению автоматически загружаться и выполняться под видом медиаконтента.
Когда пользователь пытается воспроизвести одно из этих специально созданных «видео», Telegram предлагает ему открыть файл во внешнем приложении.
Если пользователь выбирает Cancel, то это будет выглядеть так, как будто видео не может быть воспроизведено правильно. В противном случае замаскированный APK устанавливается на устройство.
Ключевая часть атаки заключается в создании HTML-файла, который Telegram ошибочно интерпретирует как действительный видеофайл.
Уязвимость аналогична CVE-2024-7014, также нацеленной на Telegram для Android и получившей название EvilVideo, которая была раскрыта в июле 2024 года.
EvilVideo, как EvilLoader, позволяла злоумышленникам манипулировать видеофайлами для доставки вредоносных APK.
Разработчиков мессенджеры уведомили об уязвимости 4 марта 2025 года.
Тем не менее, ошибка остается неисправленной и продолжает работать в последней версии Telegram для Android 11.7.4.
Более того, полезная нагрузка доступна для продажи в киберподполье с 15 января 2025 года, что делает ее доступной для хакеров по всему миру. Теперь его называют EvilLoader вместо его первоначального названия EvilVideo.
0x6rss
CVE-2024-7014 RETURN: UPDATED EVILLOADER
Продолжаем делиться наиболее трендовыми уязвимостями и связанными с ними угрозами:
1. Google выкатила технические подробности об EntrySign, уязвимости проверки подписи микрокода AMD Zen (CVE-2024-56161), которая позволяет злоумышленникам устанавливать вредоносную прошивку.
Компания также выпустила Zentool, инструмент для джейлбрейка процессоров AMD.
2. Исследователи Assetnote обнаружили уязвимость десериализации в Sitecore CMS, которая может привести к атакам удаленного выполнения кода - CVE-2025-27218.
3. Разработчики Jenkins выпустили обновление безопасности, исправляющее четыре уязвимости в ядре платформы.
4. Elastic выпустила обновление безопасности для Kibana. Обновление устраняет уязвимость, которая приводит к выполнению произвольного кода через специально созданную загрузку файла и специально созданные HTTP-запросы.
5. Группа ученых представила подробности о новом типе электронной атаки на инверторы мощности, установленные на фотоэлектрических станциях.
Атака, получившая название ReThink способна нанести физический ущерб инверторам и нейтрализовать возможности фотоэлектрических систем.
6. Исследователи SEC Consult раскрыли подробности в отношении «Спящей красавицы», которая позволяет приостановить работу датчика CrowdStrike Falcon.
SEC Consult сообщила об этой проблеме поставщику после скоординированного процесса обнаружения уязвимостей в конце 2023 года, но поставщик закрыл проблему без исправления, ответив, что это всего лишь «пробел в обнаружении».
Хотя уязвимость все же была исправлена в 2025 году, и несмотря на замалчивание со стороны поставщика SEC Consult представила подробности проблемы публично.
7. Исследователи SquareX разработали полиморфное расширение Chrome, которое способно имитировать любое другое локально установленное расширение.
Такие расширения создают точную копию значка цели, всплывающего окна HTML, рабочих процессов и даже временно отключают легальное расширение, что заставляя жертв поверить в то, что они предоставляют учетные данные для настоящего расширения со всеми вытекающими.
1. Google выкатила технические подробности об EntrySign, уязвимости проверки подписи микрокода AMD Zen (CVE-2024-56161), которая позволяет злоумышленникам устанавливать вредоносную прошивку.
Компания также выпустила Zentool, инструмент для джейлбрейка процессоров AMD.
2. Исследователи Assetnote обнаружили уязвимость десериализации в Sitecore CMS, которая может привести к атакам удаленного выполнения кода - CVE-2025-27218.
3. Разработчики Jenkins выпустили обновление безопасности, исправляющее четыре уязвимости в ядре платформы.
4. Elastic выпустила обновление безопасности для Kibana. Обновление устраняет уязвимость, которая приводит к выполнению произвольного кода через специально созданную загрузку файла и специально созданные HTTP-запросы.
5. Группа ученых представила подробности о новом типе электронной атаки на инверторы мощности, установленные на фотоэлектрических станциях.
Атака, получившая название ReThink способна нанести физический ущерб инверторам и нейтрализовать возможности фотоэлектрических систем.
6. Исследователи SEC Consult раскрыли подробности в отношении «Спящей красавицы», которая позволяет приостановить работу датчика CrowdStrike Falcon.
SEC Consult сообщила об этой проблеме поставщику после скоординированного процесса обнаружения уязвимостей в конце 2023 года, но поставщик закрыл проблему без исправления, ответив, что это всего лишь «пробел в обнаружении».
Хотя уязвимость все же была исправлена в 2025 году, и несмотря на замалчивание со стороны поставщика SEC Consult представила подробности проблемы публично.
7. Исследователи SquareX разработали полиморфное расширение Chrome, которое способно имитировать любое другое локально установленное расширение.
Такие расширения создают точную копию значка цели, всплывающего окна HTML, рабочих процессов и даже временно отключают легальное расширение, что заставляя жертв поверить в то, что они предоставляют учетные данные для настоящего расширения со всеми вытекающими.
GitHub
security-research/pocs/cpus/entrysign/zentool at master · google/security-research
This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code. - google/security-research
This media is not supported in your browser
VIEW IN TELEGRAM
Дорогие девушки из сферы кибербезопасности! Любимые наши инфосекушки!
Мы вас всех ценим, очень вами дорожим и всех-всех поздравляем с наступающим праздником 8 марта! Желаем вам быть такими же красивыми и умными! А еще - подольше оставаться с нами рядом, а то совсем одичаем!
Ю ар стронг! Всех обнимаем!
Мы вас всех ценим, очень вами дорожим и всех-всех поздравляем с наступающим праздником 8 марта! Желаем вам быть такими же красивыми и умными! А еще - подольше оставаться с нами рядом, а то совсем одичаем!
Ю ар стронг! Всех обнимаем!
Исследователи из Лаборатории Касперского раскрывают новую массовую вредоносную кампанию, нацеленную на пользователей YouTube с использованием майнера SilentCryptoMiner под видом инструментов Windows Packet Divert (WPD).
Авторы контента на YouTube, ориентированного на пользователей WPD, достаточно часто публикуют обучающие и рекламные материалы в отношении различных инструментов WPD, позволяющих обходить ограничения на веб-сайты и онлайн-сервисы.
Выдавая себя за владельцев указаных WPD киберпреступники рассылают поддельные заявления о нарушении авторских прав, заставляя получателей продвигать вредоносное ПО и майнеры крипты в своих роликах.
Угрожая страйками и блокировкой злоумышленники предлагают владельцам каналов компромиссное решение, предоставляя актуальные ссылки для загрузки, которые рекомендуется разместить в ролике взамен предыдущей.
В других случаях злоумышленники связываются с создателем напрямую, выдавая себя за разработчиков инструмента и утверждая, что у оригинального инструмента теперь новая версия или новая ссылка для загрузки, и просят создателя изменить ее в своем видео.
Опасаясь утратить свои каналы, авторы идут навстречу злоумышленникам и добавляют в свои видео предлагаемые ссылки на репозитории GitHub, где якобы размещены упомянутые WPD.
Однако это троянизированные версии, которые включают загрузчик криптомайнера.
Исследователи ЛК отмечают, что подобная реклама WPD была замечена на YouTube в видеоролике, который собрал более 400 000 просмотров, а вредоносная ссылка была загружена 40 000 раз.
Кроме того, ТГ-канал с 340 тыс. подписчиками также продвигал вредоносное ПО под тем же соусом.
По данным телеметрии ЛК, вредоносная кампания затронула более 2000 жертв в России, но общее число может быть гораздо выше.
Вредоносный архив, загруженный из репозиториев GitHub, содержит загрузчик вредоносного ПО на основе Python, который запускается с помощью PowerShell через измененный скрипт запуска (general.bat).
Если антивирус жертвы завершает этот процесс, стартовый скрипт выдает сообщение об ошибке «файл не найден», предлагая пользователю отключить антивирус и повторно загрузить файл.
Исполняемый файл извлекает загрузчик второго этапа только для российских IP-адресов и запускает его на устройстве.
Полезная нагрузка второго этапа представляет собой еще один исполняемый файл, размер которого был увеличен до 690 МБ для уклонения от анализа антивирусом, при этом он также включает в себя проверки песочницы и виртуальных машин.
Загрузчик вредоносного ПО отключает Microsoft Defender, добавляя исключение, и создает службу Windows с именем DrvSvc для сохранения между перезагрузками.
В конце концов он загружает финальную полезную нагрузку, SilentCryptoMiner, модифицированную версию XMRig, способную добывать несколько криптовалют, включая ETH, ETC, XMR и RTM.
Майнер загружает удаленные конфигурации из Pastebin каждые 100 минут, чтобы их можно было обновлять динамически.
Для обхода защиты он загружается в системный процесс типа dwm.exe с помощью подмены процессов и приостанавливает майнинговую активность, когда пользователь запускает инструменты мониторинга, такие как Process Explorer и Task Manager.
Обнаруженная ЛК, в первую очередь, нацелена на российских пользователей, но может быть реализована и в более серьезном масштабе, распространяя, в том числе стилеры или ransomware.
Авторы контента на YouTube, ориентированного на пользователей WPD, достаточно часто публикуют обучающие и рекламные материалы в отношении различных инструментов WPD, позволяющих обходить ограничения на веб-сайты и онлайн-сервисы.
Выдавая себя за владельцев указаных WPD киберпреступники рассылают поддельные заявления о нарушении авторских прав, заставляя получателей продвигать вредоносное ПО и майнеры крипты в своих роликах.
Угрожая страйками и блокировкой злоумышленники предлагают владельцам каналов компромиссное решение, предоставляя актуальные ссылки для загрузки, которые рекомендуется разместить в ролике взамен предыдущей.
В других случаях злоумышленники связываются с создателем напрямую, выдавая себя за разработчиков инструмента и утверждая, что у оригинального инструмента теперь новая версия или новая ссылка для загрузки, и просят создателя изменить ее в своем видео.
Опасаясь утратить свои каналы, авторы идут навстречу злоумышленникам и добавляют в свои видео предлагаемые ссылки на репозитории GitHub, где якобы размещены упомянутые WPD.
Однако это троянизированные версии, которые включают загрузчик криптомайнера.
Исследователи ЛК отмечают, что подобная реклама WPD была замечена на YouTube в видеоролике, который собрал более 400 000 просмотров, а вредоносная ссылка была загружена 40 000 раз.
Кроме того, ТГ-канал с 340 тыс. подписчиками также продвигал вредоносное ПО под тем же соусом.
По данным телеметрии ЛК, вредоносная кампания затронула более 2000 жертв в России, но общее число может быть гораздо выше.
Вредоносный архив, загруженный из репозиториев GitHub, содержит загрузчик вредоносного ПО на основе Python, который запускается с помощью PowerShell через измененный скрипт запуска (general.bat).
Если антивирус жертвы завершает этот процесс, стартовый скрипт выдает сообщение об ошибке «файл не найден», предлагая пользователю отключить антивирус и повторно загрузить файл.
Исполняемый файл извлекает загрузчик второго этапа только для российских IP-адресов и запускает его на устройстве.
Полезная нагрузка второго этапа представляет собой еще один исполняемый файл, размер которого был увеличен до 690 МБ для уклонения от анализа антивирусом, при этом он также включает в себя проверки песочницы и виртуальных машин.
Загрузчик вредоносного ПО отключает Microsoft Defender, добавляя исключение, и создает службу Windows с именем DrvSvc для сохранения между перезагрузками.
В конце концов он загружает финальную полезную нагрузку, SilentCryptoMiner, модифицированную версию XMRig, способную добывать несколько криптовалют, включая ETH, ETC, XMR и RTM.
Майнер загружает удаленные конфигурации из Pastebin каждые 100 минут, чтобы их можно было обновлять динамически.
Для обхода защиты он загружается в системный процесс типа dwm.exe с помощью подмены процессов и приостанавливает майнинговую активность, когда пользователь запускает инструменты мониторинга, такие как Process Explorer и Task Manager.
Обнаруженная ЛК, в первую очередь, нацелена на российских пользователей, но может быть реализована и в более серьезном масштабе, распространяя, в том числе стилеры или ransomware.
Securelist
SilentCryptoMiner distributed as a bypass tool
Attackers blackmail YouTubers with complaints and account blocking threats, forcing them to distribute a miner disguised as a bypass tool.
Используемый в более чем 1 млрд. устройств IoT микроконтроллер ESP32 китайского производителя Espressif, обеспечивающий подключение по WiFi и Bluetooth, содержит недокументированные команды, которые могут быть использованы для атак.
Они позволяют подделывать доверенные устройства, осуществлять несанкционированный доступ к данным, переходить на другие устройства в сети и потенциально обеспечить долгосрочное присутствие.
К таким выводам пришли испанские исследователи из Tarlogic Security, представив результаты своего исследования на конференции RootedCON в Мадриде.
Использование такого бэкдора позволяет злоумышленникам фактически навсегда заражать чувствительные устройства, такие как мобильные телефоны, компьютеры, интеллектуальные замки или медицинское оборудование, обходя средства контроля аудита кода.
В своей презентации исследователи Tarlogic пояснили, что им удалось разработать новый драйвер USB Bluetooth на основе C, который является аппаратно-независимым и кроссплатформенным, обеспечивая прямой доступ к оборудованию без использования API-интерфейсов, специфичных для конкретной ОС.
Вооружившись новым инструментом с прямым доступом к трафику Bluetooth, исследователи обнаружили скрытые специфичные для поставщика команды (код операции 0x3F) в прошивке ESP32 Bluetooth, которые позволяют осуществлять низкоуровневый контроль над функциями Bluetooth.
Всего найдено 29 недокументированных команд, которые в совокупности представляют полноценный бэкдор для манипуляции памятью (чтение/запись ОЗУ и флэш-памяти), подмены MAC-адреса (выдача себя за другое устройство) и внедрения пакетов LMP/LLCP.
При этом Espressif официально не задокументировала эти команды, которые либо вовсе должны отсутствовать, либо остались по ошибке.
Тем не менее, проблема теперь отслеживается как CVE-2025-27840.
Среди основных рисков, связанных с использованием этих команд, - вредоносные реализации на уровне OEM и атаки на цепочку поставок.
В зависимости от того, как стеки Bluetooth обрабатывают команды HCI на устройстве, удаленная эксплуатация команд может быть возможна с помощью вредоносной прошивки или мошеннических подключений Bluetooth.
Это особенно актуально, если злоумышленник уже имеет права root, внедрил вредоносное ПО или установил на устройстве вредоносное обновление, открывающее низкоуровневый доступ.
Однако в целом физический доступ к интерфейсу USB или UART устройства был бы гораздо более серьезным и реалистичным сценарием атаки.
Результаты исследования показали практическую возможность полного контроля над чипом ESP32 и сохранения данных в чипе с помощью команд, позволяющих модифицировать оперативную память и флэш-память.
Кроме того, благодаря сохранению уязвимости в чипе, возможно распространение на другие устройства, поскольку ESP32 позволяет выполнять также сложные Bluetooth-атаки.
Несмотря на отсутствии реакции Espressif, некоторые из специалистов считают, что найденные команды являются частью некоего интерфейса тестирования и разработки производства, а не бэкдора.
Они позволяют подделывать доверенные устройства, осуществлять несанкционированный доступ к данным, переходить на другие устройства в сети и потенциально обеспечить долгосрочное присутствие.
К таким выводам пришли испанские исследователи из Tarlogic Security, представив результаты своего исследования на конференции RootedCON в Мадриде.
Использование такого бэкдора позволяет злоумышленникам фактически навсегда заражать чувствительные устройства, такие как мобильные телефоны, компьютеры, интеллектуальные замки или медицинское оборудование, обходя средства контроля аудита кода.
В своей презентации исследователи Tarlogic пояснили, что им удалось разработать новый драйвер USB Bluetooth на основе C, который является аппаратно-независимым и кроссплатформенным, обеспечивая прямой доступ к оборудованию без использования API-интерфейсов, специфичных для конкретной ОС.
Вооружившись новым инструментом с прямым доступом к трафику Bluetooth, исследователи обнаружили скрытые специфичные для поставщика команды (код операции 0x3F) в прошивке ESP32 Bluetooth, которые позволяют осуществлять низкоуровневый контроль над функциями Bluetooth.
Всего найдено 29 недокументированных команд, которые в совокупности представляют полноценный бэкдор для манипуляции памятью (чтение/запись ОЗУ и флэш-памяти), подмены MAC-адреса (выдача себя за другое устройство) и внедрения пакетов LMP/LLCP.
При этом Espressif официально не задокументировала эти команды, которые либо вовсе должны отсутствовать, либо остались по ошибке.
Тем не менее, проблема теперь отслеживается как CVE-2025-27840.
Среди основных рисков, связанных с использованием этих команд, - вредоносные реализации на уровне OEM и атаки на цепочку поставок.
В зависимости от того, как стеки Bluetooth обрабатывают команды HCI на устройстве, удаленная эксплуатация команд может быть возможна с помощью вредоносной прошивки или мошеннических подключений Bluetooth.
Это особенно актуально, если злоумышленник уже имеет права root, внедрил вредоносное ПО или установил на устройстве вредоносное обновление, открывающее низкоуровневый доступ.
Однако в целом физический доступ к интерфейсу USB или UART устройства был бы гораздо более серьезным и реалистичным сценарием атаки.
Результаты исследования показали практическую возможность полного контроля над чипом ESP32 и сохранения данных в чипе с помощью команд, позволяющих модифицировать оперативную память и флэш-память.
Кроме того, благодаря сохранению уязвимости в чипе, возможно распространение на другие устройства, поскольку ESP32 позволяет выполнять также сложные Bluetooth-атаки.
Несмотря на отсутствии реакции Espressif, некоторые из специалистов считают, что найденные команды являются частью некоего интерфейса тестирования и разработки производства, а не бэкдора.
www.documentcloud.org
2025 RootedCon BluetoothTools
Исследователи Positive Technologies сообщают об обнаружении нового злоумышленника Desert Dexter, который с сентября 2024 года атакует пользователей Ближнего Востока и Северной Африки с использованием модифицированной версии AsyncRAT.
Похожую кампанию в 2019 году изучали исследователи из Check Point, но в текущей наблюдается изменение некоторых техник в цепочке атак.
Активность, приписываемая Desert Dexter, была обнаружена в феврале 2025 года.
По оценкам Positive Technologies, жертвами кампании стали около 900 пользователей, что указывает на ее широкомасштабный характер.
Большинство из них находятся в Ливии, Саудовской Аравии, Египте, Турции, Объединенных Арабских Эмиратах, Катаре и Тунисе.
По большей части это рядовые пользователи, в том числе сотрудники предприятия в сфере добычи нефти, строительства, информационных технологий и сельского хозяйства.
Для распространения вредоносного ПО злоумышленники создают фейковые новостные группы на Facebook (мимикрирующие под Libya Press, Sky News, Almasar TV, The Libya Observer, The Times Of Israel и др), публикуют посты с рекламой и ссылками на файлообменник (Files.fm) или Telegram-канал.
По размещаемым ссылкам располагается ВПО AsyncRAT с модификациями, которые реализуют автономный кейлоггер, поиск 16 различных расширений, в том числе для двухфакторной аутентификации, и приложений для криптокошельков, а также взаимодействие с Telegram-ботом.
В конфигурации AsyncRAT используются DDNS-домены, IP-адреса которых принадлежат VPN-сервисам.
Цепочка атаки - многоступенчатая и начинается с архива RAR, который включает в себя либо пакетный скрипт, либо файл JavaScript, запрограммированный на запуск скрипта PowerShell, который отвечает за выполнение второго этапа атаки.
В частности, завершает процессы, связанные с различными службами .NET, которые могут помешать запуску вредоносного ПО, удаляет файлы с расширениями BAT, PS1 и VBS из папок C:\ProgramData\WindowsHost и C:\Users\Public и создает новый файл VBS в C:\ProgramData\WindowsHost, а также файлы BAT и PS1 в C:\Users\Public.
Затем скрипт устанавливает постоянство в системе, собирает и передает системную информацию в Telegram-бот, делает снимок экрана, и в конечном итоге запускает полезную нагрузку AsyncRAT, внедряя ее в исполняемый файл aspnet_compiler.exe.
Анализ сообщений, направленных в Telegram-бот, позволил выявить скрины рабочего стола самого злоумышленника под названием DEXTERMSI, а также ссылку на канал в Telegram под названием Dexterlyly (был создан 5 октября 2024 года).
Наличие в названии канала подстроки ly может свидетельствовать о ливийском происхождении автора - это подтверждается геолокацией в данных, отправляемых ВПО, и арабскими комментариями в PowerShell-скрипте.
Исследователи отмечают, что инструменты, используемые Desert Dexter, не отличаются особой сложностью, однако сочетание рекламы Facebook с легитимными сервисами и геополитическим таргетом привело к множественным заражениям.
Группа публикует в своих постах сообщения о якобы слитой конфиденциальной информации, что делает цепочку атаки универсальной для заражения устройств как обычных пользователей, так и высокопоставленных целей.
Технические подробности и IoC - в отчете.
Похожую кампанию в 2019 году изучали исследователи из Check Point, но в текущей наблюдается изменение некоторых техник в цепочке атак.
Активность, приписываемая Desert Dexter, была обнаружена в феврале 2025 года.
По оценкам Positive Technologies, жертвами кампании стали около 900 пользователей, что указывает на ее широкомасштабный характер.
Большинство из них находятся в Ливии, Саудовской Аравии, Египте, Турции, Объединенных Арабских Эмиратах, Катаре и Тунисе.
По большей части это рядовые пользователи, в том числе сотрудники предприятия в сфере добычи нефти, строительства, информационных технологий и сельского хозяйства.
Для распространения вредоносного ПО злоумышленники создают фейковые новостные группы на Facebook (мимикрирующие под Libya Press, Sky News, Almasar TV, The Libya Observer, The Times Of Israel и др), публикуют посты с рекламой и ссылками на файлообменник (Files.fm) или Telegram-канал.
По размещаемым ссылкам располагается ВПО AsyncRAT с модификациями, которые реализуют автономный кейлоггер, поиск 16 различных расширений, в том числе для двухфакторной аутентификации, и приложений для криптокошельков, а также взаимодействие с Telegram-ботом.
В конфигурации AsyncRAT используются DDNS-домены, IP-адреса которых принадлежат VPN-сервисам.
Цепочка атаки - многоступенчатая и начинается с архива RAR, который включает в себя либо пакетный скрипт, либо файл JavaScript, запрограммированный на запуск скрипта PowerShell, который отвечает за выполнение второго этапа атаки.
В частности, завершает процессы, связанные с различными службами .NET, которые могут помешать запуску вредоносного ПО, удаляет файлы с расширениями BAT, PS1 и VBS из папок C:\ProgramData\WindowsHost и C:\Users\Public и создает новый файл VBS в C:\ProgramData\WindowsHost, а также файлы BAT и PS1 в C:\Users\Public.
Затем скрипт устанавливает постоянство в системе, собирает и передает системную информацию в Telegram-бот, делает снимок экрана, и в конечном итоге запускает полезную нагрузку AsyncRAT, внедряя ее в исполняемый файл aspnet_compiler.exe.
Анализ сообщений, направленных в Telegram-бот, позволил выявить скрины рабочего стола самого злоумышленника под названием DEXTERMSI, а также ссылку на канал в Telegram под названием Dexterlyly (был создан 5 октября 2024 года).
Наличие в названии канала подстроки ly может свидетельствовать о ливийском происхождении автора - это подтверждается геолокацией в данных, отправляемых ВПО, и арабскими комментариями в PowerShell-скрипте.
Исследователи отмечают, что инструменты, используемые Desert Dexter, не отличаются особой сложностью, однако сочетание рекламы Facebook с легитимными сервисами и геополитическим таргетом привело к множественным заражениям.
Группа публикует в своих постах сообщения о якобы слитой конфиденциальной информации, что делает цепочку атаки универсальной для заражения устройств как обычных пользователей, так и высокопоставленных целей.
Технические подробности и IoC - в отчете.
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
Критическая уязвимость внедрения команд в IP-камерах Edimax IC-7100 в настоящее время активно задействуется вредоносным ПО ботнета для взлома устройств.
Edimax IC-7100 - это IP-камера для удаленного наблюдения в домах, небольших офисных зданиях, коммерческих помещениях и на промышленных предприятиях.
Активность обнаружили исследователи Akamai, оперативно уведомив CISA, которая, в свою очередь, попыталась связаться с тайваньским поставщиком.
В Edimax особого внимания проблеме не уделили, отметив лишь, что рассматриваемое устройство IC-7100 вышло из эксплуатации и больше получает дальнейших обновлений.
Устройство было выпущено в октябре 2011 года, более не производится и относится к числу устаревших продуктов.
Найденная уязвимость отслеживается как CVE-2025-1316 и представляет собой критическую (CVSS v4.0 9,3) уязвимость внедрения команд ОС, вызванную неправильной нейтрализацией входящих запросов.
Удаленный злоумышленник может воспользоваться этой уязвимостью и получить возможность удаленного выполнения кода, отправив на устройство специально созданные запросы.
В данном случае текущая эксплуатация осуществляется вредоносным ПО ботнета для взлома устройств, которые затем используются для запуска DDoS, проксирования вредоносного трафика или переключения на другие устройства в той же сети.
Учитывая ситуацию и активный статус эксплуатации уязвимости CVE-2025-1316, затронутые устройства следует отключить или заменить на активно поддерживаемые продукты.
CISA рекомендует пользователям минимизировать воздействие Интернета на затронутые устройства, разместить их за брандмауэрами и изолировать от критически важных бизнес-сетей.
В виду того, что Edimax не предоставила более подробной информации, исследователи предполагают, что эксплуатируемая CVE затрагивает более широкий спектр устройств, при этом маловероятно, что исправление вообще будет выпущено.
Но будем посмотреть.
Edimax IC-7100 - это IP-камера для удаленного наблюдения в домах, небольших офисных зданиях, коммерческих помещениях и на промышленных предприятиях.
Активность обнаружили исследователи Akamai, оперативно уведомив CISA, которая, в свою очередь, попыталась связаться с тайваньским поставщиком.
В Edimax особого внимания проблеме не уделили, отметив лишь, что рассматриваемое устройство IC-7100 вышло из эксплуатации и больше получает дальнейших обновлений.
Устройство было выпущено в октябре 2011 года, более не производится и относится к числу устаревших продуктов.
Найденная уязвимость отслеживается как CVE-2025-1316 и представляет собой критическую (CVSS v4.0 9,3) уязвимость внедрения команд ОС, вызванную неправильной нейтрализацией входящих запросов.
Удаленный злоумышленник может воспользоваться этой уязвимостью и получить возможность удаленного выполнения кода, отправив на устройство специально созданные запросы.
В данном случае текущая эксплуатация осуществляется вредоносным ПО ботнета для взлома устройств, которые затем используются для запуска DDoS, проксирования вредоносного трафика или переключения на другие устройства в той же сети.
Учитывая ситуацию и активный статус эксплуатации уязвимости CVE-2025-1316, затронутые устройства следует отключить или заменить на активно поддерживаемые продукты.
CISA рекомендует пользователям минимизировать воздействие Интернета на затронутые устройства, разместить их за брандмауэрами и изолировать от критически важных бизнес-сетей.
В виду того, что Edimax не предоставила более подробной информации, исследователи предполагают, что эксплуатируемая CVE затрагивает более широкий спектр устройств, при этом маловероятно, что исправление вообще будет выпущено.
Но будем посмотреть.