Уже по меньшей мере пять компаний в сфере ИБ стали жертвами кражи учетных записей Salesforce Business в рамках серии хакерских атак, источник которых был отслежен до платформы бизнес-аналитики Klue.
Компания призналась в блоге, что утечка данных в Klue произошла на прошлой неделе.
Хакеры получили доступ к платформе через «скомпрометированные устаревшие учетные данные, связанные с сервисом интеграции», а затем украли токены OAuth, которые клиенты использовали для подключения Klue к другим сторонним сервисам, таким как Salesforce.
После кражи токенов хакеры начали подключаться к учетным записям клиентов в Salesforce и красть их данные, что вызвало оповещения в Huntress и ReliaQuest, которые начали расследование и позже уведомили Klue о результатах.
На данный момент восемь компаний подтвердили утечки данных, связанные с Klue. Среди известных: Huntress, ReliaQuest, Recorded Future (признана нежелательной), Jamf, Tanium, Sprout Social, Gong и Insurity.
В свою очередь, Klue заявляет, что в настоящее время сотрудничает с CrowdStrike в рамках расследования инцидента. На данный момент точно известно, что список пострадавших, вероятно, пополнится в ближайшие недели, поскольку Klue начнет уведомлять других клиентов.
Компания приняла меры по локализации злоумышленников и блокировке их доступа путем аннулирования учетных данных, токенов и активных интеграций.
Помимо Salesforce, Klue имеет интеграции с Hubspot, Zoom, Google Drive и другими сервисами, но конфиденциальные финансовые данные и персональная информация хранятся в Salesforce, поэтому неудивительно, почему они выбрали именно эту интеграцию в первую очередь.
Новая хакерская группа, называющая себя Icarus, взяла на себя ответственность за взлом, опубликовав в выходные запись на своем сайте утечек в даркнете. О группе пока мало что известно.
Сейчас Icarus пытается шантажировать Klue и также предупреждает компании, что если платформа не хочет платить, им следует связаться с ней, чтобы избежать утечки украденных данных.
Инцидент имеет все признаки классической кампании ShinyHunters, как и их первоначальные нападки на Salesforce, Salesloft Drift и Gainsight, отсюда и. Продолжаем следить.
Компания призналась в блоге, что утечка данных в Klue произошла на прошлой неделе.
Хакеры получили доступ к платформе через «скомпрометированные устаревшие учетные данные, связанные с сервисом интеграции», а затем украли токены OAuth, которые клиенты использовали для подключения Klue к другим сторонним сервисам, таким как Salesforce.
После кражи токенов хакеры начали подключаться к учетным записям клиентов в Salesforce и красть их данные, что вызвало оповещения в Huntress и ReliaQuest, которые начали расследование и позже уведомили Klue о результатах.
На данный момент восемь компаний подтвердили утечки данных, связанные с Klue. Среди известных: Huntress, ReliaQuest, Recorded Future (признана нежелательной), Jamf, Tanium, Sprout Social, Gong и Insurity.
В свою очередь, Klue заявляет, что в настоящее время сотрудничает с CrowdStrike в рамках расследования инцидента. На данный момент точно известно, что список пострадавших, вероятно, пополнится в ближайшие недели, поскольку Klue начнет уведомлять других клиентов.
Компания приняла меры по локализации злоумышленников и блокировке их доступа путем аннулирования учетных данных, токенов и активных интеграций.
Помимо Salesforce, Klue имеет интеграции с Hubspot, Zoom, Google Drive и другими сервисами, но конфиденциальные финансовые данные и персональная информация хранятся в Salesforce, поэтому неудивительно, почему они выбрали именно эту интеграцию в первую очередь.
Новая хакерская группа, называющая себя Icarus, взяла на себя ответственность за взлом, опубликовав в выходные запись на своем сайте утечек в даркнете. О группе пока мало что известно.
Сейчас Icarus пытается шантажировать Klue и также предупреждает компании, что если платформа не хочет платить, им следует связаться с ней, чтобы избежать утечки украденных данных.
Инцидент имеет все признаки классической кампании ShinyHunters, как и их первоначальные нападки на Salesforce, Salesloft Drift и Gainsight, отсюда и. Продолжаем следить.
Klue
An Update on the Recent Klue Security Incident - Klue
An update from Klue's CEO on a recent security incident.
Злоумышленники приступили к задействованию уязвимости, позволяющей получить конфиденциальную информацию, в плагине WordPress Gravity SMTP, активно используемом на 100 000 сайтах.
Уязвимость отслеживается как CVE-2026-4020 и получила средний уровень серьезности, затрагивает все версии плагина, начиная с 2.1.4 и старше, и была устранена в версии 2.1.5, выпущенной 17 марта.
Defiant предупреждает, что хакеры активно используют эту уязвимость. Межсетевой экран Wordfence от Defiant заблокировал более 17 млн. попыток взлома сайтов.
Проблема связана с открытым REST API-интерфейсом в Gravity SMTP, чей параметр permission_callback всегда возвращает true, что позволяет неаутентифицированным GET-запросам получать исчерпывающий JSON-отчет о состоянии системы, сгенерированный плагином.
При этом открытая информация может содержать:
- ключи API, секреты и токены OAuth для настроенной интеграции с электронной почтой;
- учетные данные для сторонних почтовых сервисов, включая Amazon SES, Google, Mailjet, Resend и Zoho;
- подробная информация о конфигурации WordPress, включая установленные плагины, темы и версии ПО;
- данные о сервере и среде PHP;
- конфигурации базы данных, включая версию сервера и имена таблиц.
Несмотря на средний уровень опасности, CVE-2026-4020 может быть использована без аутентификации, а полученная информация может быть использована для кражи учетных данных почтового сервиса.
Это позволяет злоумышленнику выдавать себя за жертву перед третьими лицами, а также получать подробную информацию о ПО сайта и потенциальных уязвимостях.
Раскрытие учетных данных сторонних API в режиме реального времени означает, что злоумышленник может злоупотреблять подключенными к сайту почтовыми сервисами, а системный отчет значительно снижает усилия, необходимые для планирования дальнейших атак на сайт.
По данным Wordfence, активность злоумышленников резко возросла 7 июня, в тот день было заблокировано 4 млн. запросов. Аналогичная активность наблюдалась в течение нескольких последующих дней.
Wordfence составила список наиболее распространенных IP-адресов, с которых поступают запросы на использование уязвимостей, и администраторам веб-сайтов следует добавить эти адреса в свои списки блокировки.
Ключевым признаком компрометации являются запросы к /wp-json/gravitysmtp/v1/tests/mock-data, обнаруженные в журналах доступа веб-сервера, особенно те, которые содержат параметр запроса ?page=gravitysmtp-settings.
Вчера Wordfence также выпустила отдельное предупреждение о критической уязвимости, приводящей к произвольному удалению файлов без аутентификации, в плагине Avada Builder для WordPress, используемом на миллионе сайтов.
Данная уязвимость отслеживается как CVE-2026-8713 и позволяет злоумышленникам удалять произвольные файлы на сервере посредством обхода путей, при условии, что опубликованная форма Avada настроена на сохранение данных, отправленных в базу данных.
Удаление критически важных файлов, таких как wp-config.php, может вернуть сайт в исходное состояние, что потенциально может привести к полному захвату сайта и удаленному выполнению кода.
Проблема была исправлена в версии 3.15.4, которая является рекомендуемой целевой версией для обновления администраторов сайта. Активной эксплуатации CVE-2026-8713 пока не обнаружено, но это пока, так что настоятельно рекомендуется принять оперативные меры.
Уязвимость отслеживается как CVE-2026-4020 и получила средний уровень серьезности, затрагивает все версии плагина, начиная с 2.1.4 и старше, и была устранена в версии 2.1.5, выпущенной 17 марта.
Defiant предупреждает, что хакеры активно используют эту уязвимость. Межсетевой экран Wordfence от Defiant заблокировал более 17 млн. попыток взлома сайтов.
Проблема связана с открытым REST API-интерфейсом в Gravity SMTP, чей параметр permission_callback всегда возвращает true, что позволяет неаутентифицированным GET-запросам получать исчерпывающий JSON-отчет о состоянии системы, сгенерированный плагином.
При этом открытая информация может содержать:
- ключи API, секреты и токены OAuth для настроенной интеграции с электронной почтой;
- учетные данные для сторонних почтовых сервисов, включая Amazon SES, Google, Mailjet, Resend и Zoho;
- подробная информация о конфигурации WordPress, включая установленные плагины, темы и версии ПО;
- данные о сервере и среде PHP;
- конфигурации базы данных, включая версию сервера и имена таблиц.
Несмотря на средний уровень опасности, CVE-2026-4020 может быть использована без аутентификации, а полученная информация может быть использована для кражи учетных данных почтового сервиса.
Это позволяет злоумышленнику выдавать себя за жертву перед третьими лицами, а также получать подробную информацию о ПО сайта и потенциальных уязвимостях.
Раскрытие учетных данных сторонних API в режиме реального времени означает, что злоумышленник может злоупотреблять подключенными к сайту почтовыми сервисами, а системный отчет значительно снижает усилия, необходимые для планирования дальнейших атак на сайт.
По данным Wordfence, активность злоумышленников резко возросла 7 июня, в тот день было заблокировано 4 млн. запросов. Аналогичная активность наблюдалась в течение нескольких последующих дней.
Wordfence составила список наиболее распространенных IP-адресов, с которых поступают запросы на использование уязвимостей, и администраторам веб-сайтов следует добавить эти адреса в свои списки блокировки.
Ключевым признаком компрометации являются запросы к /wp-json/gravitysmtp/v1/tests/mock-data, обнаруженные в журналах доступа веб-сервера, особенно те, которые содержат параметр запроса ?page=gravitysmtp-settings.
Вчера Wordfence также выпустила отдельное предупреждение о критической уязвимости, приводящей к произвольному удалению файлов без аутентификации, в плагине Avada Builder для WordPress, используемом на миллионе сайтов.
Данная уязвимость отслеживается как CVE-2026-8713 и позволяет злоумышленникам удалять произвольные файлы на сервере посредством обхода путей, при условии, что опубликованная форма Avada настроена на сохранение данных, отправленных в базу данных.
Удаление критически важных файлов, таких как wp-config.php, может вернуть сайт в исходное состояние, что потенциально может привести к полному захвату сайта и удаленному выполнению кода.
Проблема была исправлена в версии 3.15.4, которая является рекомендуемой целевой версией для обновления администраторов сайта. Активной эксплуатации CVE-2026-8713 пока не обнаружено, но это пока, так что настоятельно рекомендуется принять оперативные меры.
Wordfence
Attackers Actively Exploiting Sensitive Information Exposure Vulnerability in Gravity SMTP Plugin
On March 30th, 2026, we publicly disclosed a Sensitive Information Exposure vulnerability in Gravity SMTP, a WordPress plugin with an estimated 100,000 active installations.
Forwarded from Social Engineering
• Вышел 8-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute.
• К слову, весь материал собран энтузиастами со всего мира. Вы также можете принять участие и поделиться знаниями, которые могут опубликовать в следующем номере. Приятного чтения!
S.E. ▪️ infosec.work ▪️ VT
• К слову, весь материал собран энтузиастами со всего мира. Вы также можете принять участие и поделиться знаниями, которые могут опубликовать в следующем номере. Приятного чтения!
S.E. ▪️ infosec.work ▪️ VT
Исследователи SOCRadar сообщают, что в ходе масштабной кампании FortiBleed использовались специальные анализаторы трафика для сбора секретных данных аутентификации из скомпрометированных межсетевых экранов и кражи учетных данных.
Операция была нацелена на более чем 430 000 межсетевых экранов FortiGate по всему миру и стартовала как минимум с февраля 2026 года.
Исследователи полагают, что злоумышленник выступает в роли посредника первоначального доступа (IAB), используя подбор учетных данных, атаки методом перебора, сбор учетных данных и взлом паролей в автономном режиме для получения доступа к корпоративным сетям.
По их мнению, задействовался инструмент на основе Golang под названием FortigateSniffer, который злоупотребляет встроенной в FortiOS функцией диагностики и анализа пакетов для перехвата трафика аутентификации, проходящего через скомпрометированные устройства FortiGate.
Злоумышленники использовали эту легитимную функцию на скомпрометированных устройствах для кражи учетных данных из сетевого трафика, проходящего через межсетевой экран.
Упомянутый нструмент предназначен для мониторинга трафика на предмет учетных данных, хэшей паролей и секретных ключей аутентификации, передаваемых по различным протоколам (по 24), включая RADIUS, NTLM, Kerberos и LDAP.
Примечательно, что на прошлой неделе Fortinet заявляла, что этот инцидент представляет собой совокупность ранее скомпрометированных учетных данных, а не новую уязвимость или инцидент, но отчет SocRadar указывает на активную кампанию по компрометации VPN-устройств.
Злоумышленник развернул на скомпрометированных устройствах FortiGate фреймворк для сбора учетных данных под названием FortigateSniffer, предварительно получив административный доступ путем подбора учетных данных и атак методом перебора.
По имеющимся данным, этот инструмент подключается к устройствам FortiGate по SSH и запускает команду анализа пакетов FortiOS diagnose sniffer.
Команда diagnose sniffer packet - это встроенный диагностический инструмент FortiOS, который администраторы используют для устранения неполадок с подключением, аутентификацией и производительностью сети.
Команда позволяет администраторам в режиме реального времени проверять сетевой трафик, проходящий через межсетевой экран FortiGate, что полезно для выявления сбоев подключения, проблем с маршрутизацией и ошибок аутентификации.
Данные пакетов, собранные с устройств FortiGate, обрабатывались компонентом под названием SNIFTRAN, который восстанавливал захваченный трафик в файлы PCAP.
Затем полученные данные были обработаны с помощью инструментария глубокого анализа PCAP на основе Python, который извлекал из сетевого трафика учетные данные в открытом виде, хэши паролей, билеты Kerberos, материалы аутентификации NTLM, учетные данные электронной почты, учетные данные баз данных и другие артефакты аутентификации.
Затем инструментарий генерировал файлы, готовые для использования с Hashcat, содержащие хеши NTLM и Kerberos, и извлекал учетные данные в открытом виде из таких протоколов, как SMTP, IMAP, POP3, MySQL и RADIUS, если таковые имелись.
В свою очередь, Кевин Бомонт предположил, что злоумышленники также получили хешированные учетные данные, загрузив файлы конфигурации FortiGate с скомпрометированных устройств.
Затем злоумышленники извлекли хешированные учетные данные и взломали их с помощью Hashcat и 36 графических процессоров корпоративного класса. Взлом паролей осуществлялся на платформе компании GenAI, которая сдает в аренду вычислительные ресурсы GPU.
Причем оба варианта анализа кампании подтверждают наличие специализированных платформ для взлома на базе графических процессоров, обнаруженных на серверах злоумышленника.
Пользователям устройств Fortinet доступен список IP, на которые нацелена кампания дабы свериться и выяснить, не были ли какие-либо из их систем атакованы или скомпрометированы.
Операция была нацелена на более чем 430 000 межсетевых экранов FortiGate по всему миру и стартовала как минимум с февраля 2026 года.
Исследователи полагают, что злоумышленник выступает в роли посредника первоначального доступа (IAB), используя подбор учетных данных, атаки методом перебора, сбор учетных данных и взлом паролей в автономном режиме для получения доступа к корпоративным сетям.
По их мнению, задействовался инструмент на основе Golang под названием FortigateSniffer, который злоупотребляет встроенной в FortiOS функцией диагностики и анализа пакетов для перехвата трафика аутентификации, проходящего через скомпрометированные устройства FortiGate.
Злоумышленники использовали эту легитимную функцию на скомпрометированных устройствах для кражи учетных данных из сетевого трафика, проходящего через межсетевой экран.
Упомянутый нструмент предназначен для мониторинга трафика на предмет учетных данных, хэшей паролей и секретных ключей аутентификации, передаваемых по различным протоколам (по 24), включая RADIUS, NTLM, Kerberos и LDAP.
Примечательно, что на прошлой неделе Fortinet заявляла, что этот инцидент представляет собой совокупность ранее скомпрометированных учетных данных, а не новую уязвимость или инцидент, но отчет SocRadar указывает на активную кампанию по компрометации VPN-устройств.
Злоумышленник развернул на скомпрометированных устройствах FortiGate фреймворк для сбора учетных данных под названием FortigateSniffer, предварительно получив административный доступ путем подбора учетных данных и атак методом перебора.
По имеющимся данным, этот инструмент подключается к устройствам FortiGate по SSH и запускает команду анализа пакетов FortiOS diagnose sniffer.
Команда diagnose sniffer packet - это встроенный диагностический инструмент FortiOS, который администраторы используют для устранения неполадок с подключением, аутентификацией и производительностью сети.
Команда позволяет администраторам в режиме реального времени проверять сетевой трафик, проходящий через межсетевой экран FortiGate, что полезно для выявления сбоев подключения, проблем с маршрутизацией и ошибок аутентификации.
Данные пакетов, собранные с устройств FortiGate, обрабатывались компонентом под названием SNIFTRAN, который восстанавливал захваченный трафик в файлы PCAP.
Затем полученные данные были обработаны с помощью инструментария глубокого анализа PCAP на основе Python, который извлекал из сетевого трафика учетные данные в открытом виде, хэши паролей, билеты Kerberos, материалы аутентификации NTLM, учетные данные электронной почты, учетные данные баз данных и другие артефакты аутентификации.
Затем инструментарий генерировал файлы, готовые для использования с Hashcat, содержащие хеши NTLM и Kerberos, и извлекал учетные данные в открытом виде из таких протоколов, как SMTP, IMAP, POP3, MySQL и RADIUS, если таковые имелись.
В свою очередь, Кевин Бомонт предположил, что злоумышленники также получили хешированные учетные данные, загрузив файлы конфигурации FortiGate с скомпрометированных устройств.
Затем злоумышленники извлекли хешированные учетные данные и взломали их с помощью Hashcat и 36 графических процессоров корпоративного класса. Взлом паролей осуществлялся на платформе компании GenAI, которая сдает в аренду вычислительные ресурсы GPU.
Причем оба варианта анализа кампании подтверждают наличие специализированных платформ для взлома на базе графических процессоров, обнаруженных на серверах злоумышленника.
Пользователям устройств Fortinet доступен список IP, на которые нацелена кампания дабы свериться и выяснить, не были ли какие-либо из их систем атакованы или скомпрометированы.
SOCRadar® Cyber Intelligence Inc.
Dismantling FortiBleed: Inside a Russian Fortinet Compromise Operation - SOCRadar
Dismantling FortiBleed provides an in-depth investigation into an active credential-harvesting operation targeting more than 430,000 FortiGate firewalls...
Исследователи Лаборатории Касперского обнаружили продолжающуюся кампанию по распространению вредоносного ПО, использующего взломанные учетные записи WhatsApp для распространения вредоносных VBScript-вложений.
Вложенные файлы устанавливают ManageEngine Endpoint Central, легитимный инструмент удаленного управления, который предоставляет злоумышленникам удаленный доступ к зараженным системам.
Кампания затронула пользователей Малайзии, Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России и Вьетнаме, при этом на Малайзию приходится примерно 80% выявленных случаев заражения.
При этом вредоносные вложения распространялись через взломанные аккаунты WhatsApp их контактам, что указывает на использование злоумышленниками доверительных отношений для реализации атаки. Метод взлома аккаунтов остается неизвестным.
Вредоносные файлы замаскированы под деловые и финансовые документы с использованием таких названий, как «Financial Reports.vbs», «Account Statement.vbs» и «Outstanding Payment List.vbs».
В ЛК также обнаружили локализованные варианты на португальском, французском, немецком и малайском языках, что указывает на широкомасштабную международную атаку.
Основная цель кампании - пользователи WhatsApp Desktop и WhatsApp Web. Для заражения требуется взаимодействие с пользователем: получатели должны загрузить вложение, а затем открыть его.
После выполнения скрипт VBScript запускается через Windows Script Host (WScript.exe), создает скрытые каталоги в C:\Users\Public\Documents\ и загружает дополнительные полезные нагрузки с контролируемой злоумышленником инфраструктуры.
По данным ЛК, задействовались различные методы обфускации, включая закодированные скрипты, случайные имена переменных, мусорный код и восстановление строк.
Некоторые варианты также используют легитимные утилиты Windows, такие как curl.exe, bitsadmin.exe, certutil.exe и PowerShell, для получения дополнительных полезных нагрузок.
Второй этап включает два файла VBScript. Один из них многократно пытается изменить параметр контроля учетных записей пользователей Windows (UAC) ConsentPromptBehaviorAdmin, что может уменьшить количество запросов на административные действия, если пользователь предоставит повышенные привилегии. Другой загружает и распаковывает ZIP-архив, содержащий полезную нагрузку следующего этапа.
В итоге устанавливается ManageEngine Endpoint Central, используемая для развертывания ПО, удаленной поддержки и системного администрирования.
Архив содержит установщик агента Endpoint Central (UEMSAgent.msi), сертификаты, файлы конфигурации и вредоносный скрипт запуска (setup1.vbs), который незаметно устанавливает агент с помощью msiexec.exe.
Анализ встроенного файла DCAgentServerInfo.json выявил несколько серверов С2, включая один IP, ранее связанный с инфраструктурой ValleyRAT и Gh0st.
Однако, по мнению ЛК, имеющихся артефактов недостаточно, чтобы приписать эту активность к известному злоумышленнику. Несмотря на обнаружение ряда образцов VBScript с комментариями и заметками на китайском языке, китайское происхождение актора маловероятно.
Технические подробности - в отчете.
Вложенные файлы устанавливают ManageEngine Endpoint Central, легитимный инструмент удаленного управления, который предоставляет злоумышленникам удаленный доступ к зараженным системам.
Кампания затронула пользователей Малайзии, Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России и Вьетнаме, при этом на Малайзию приходится примерно 80% выявленных случаев заражения.
При этом вредоносные вложения распространялись через взломанные аккаунты WhatsApp их контактам, что указывает на использование злоумышленниками доверительных отношений для реализации атаки. Метод взлома аккаунтов остается неизвестным.
Вредоносные файлы замаскированы под деловые и финансовые документы с использованием таких названий, как «Financial Reports.vbs», «Account Statement.vbs» и «Outstanding Payment List.vbs».
В ЛК также обнаружили локализованные варианты на португальском, французском, немецком и малайском языках, что указывает на широкомасштабную международную атаку.
Основная цель кампании - пользователи WhatsApp Desktop и WhatsApp Web. Для заражения требуется взаимодействие с пользователем: получатели должны загрузить вложение, а затем открыть его.
После выполнения скрипт VBScript запускается через Windows Script Host (WScript.exe), создает скрытые каталоги в C:\Users\Public\Documents\ и загружает дополнительные полезные нагрузки с контролируемой злоумышленником инфраструктуры.
По данным ЛК, задействовались различные методы обфускации, включая закодированные скрипты, случайные имена переменных, мусорный код и восстановление строк.
Некоторые варианты также используют легитимные утилиты Windows, такие как curl.exe, bitsadmin.exe, certutil.exe и PowerShell, для получения дополнительных полезных нагрузок.
Второй этап включает два файла VBScript. Один из них многократно пытается изменить параметр контроля учетных записей пользователей Windows (UAC) ConsentPromptBehaviorAdmin, что может уменьшить количество запросов на административные действия, если пользователь предоставит повышенные привилегии. Другой загружает и распаковывает ZIP-архив, содержащий полезную нагрузку следующего этапа.
В итоге устанавливается ManageEngine Endpoint Central, используемая для развертывания ПО, удаленной поддержки и системного администрирования.
Архив содержит установщик агента Endpoint Central (UEMSAgent.msi), сертификаты, файлы конфигурации и вредоносный скрипт запуска (setup1.vbs), который незаметно устанавливает агент с помощью msiexec.exe.
Анализ встроенного файла DCAgentServerInfo.json выявил несколько серверов С2, включая один IP, ранее связанный с инфраструктурой ValleyRAT и Gh0st.
Однако, по мнению ЛК, имеющихся артефактов недостаточно, чтобы приписать эту активность к известному злоумышленнику. Несмотря на обнаружение ряда образцов VBScript с комментариями и заметками на китайском языке, китайское происхождение актора маловероятно.
Технические подробности - в отчете.
Восьмилетняя use-after-free уязвимость высокой степени серьезности в системе безопасности KNOX от Samsung сделала миллионы устройств Galaxy на базе Android, начиная с S9 и заканчивая S25, уязвимыми для атак на ядро.
CVE‑2026‑20971 (CVSS 7.8) может быть использована через взаимодействие между PROCA и FIVE.
PROCA, система аутентификации процессов, является проприетарной подсистемой в ядре устройств Samsung, предназначенной для предотвращения выполнения несанкционированных процессов.
Она проверяет подлинность процессов с помощью FIVE, подсистемы проверки целостности на стороне ядра, основанной на модели измерения целостности Linux и расширенной Samsung.
FIVE отслеживает уровень доверия в каждом запущенном процессе, используя объект task_integrity, который записывает его состояние безопасности.
Если процесс изменяется, например, создает дочерний процесс, дочерний процесс вызывает execve(), который запускает новую проверку целостности и отбрасывает старую.
Это должно происходить мгновенно, но тут в дело вступает вытесняющее ядро Android, внутри которого все это работает. В результате образуется крошечное окно, которое, если оно достижимо, является классической целью для состояния гонки с использованием освобожденной памяти.
Из-за вытесняющего ядра поток может быть приостановлен между чтением указателя и его использованием. Целевая задача выполняет execve(), а именно task_integrity_put(old_tint), освобождая исходную структуру. proc_integrity_value_read() возобновляет выполнение и вызывает task_integrity_user_read() с указателем на освобожденную память.
Исследователи LucidBit Labs полагают, что эксплуатация этой уязвимости достаточно сложная, но возможная. Встроенная в ядро целостность потока управления (KCFI) сделала это практически невозможным, но не совсем.
Она не устранила уязвимость, но закрыла произвольные вызовы функций, которые являются наиболее опасным путем эксплуатации.
LucidBit Labs заявляет, что уязвимость может быть активирована из ненадежного приложения и может привести к повреждению памяти ядра, потенциально предоставляя злоумышленнику путь к более глубокому контролю над устройством.
Исследователи сообщили о своих выводах Samsung, которая исправила проблему в обновлении от января 2026 года.
При этом она существовала на нескольких поколениях устройств Samsung, включая Galaxy S9–S25, устройства серии A, а также модели на базе процессоров Exynos и Qualcomm. В своем уведомлении Samsung отметила затронутые версии Android 13, 14, 15 и 16.
CVE‑2026‑20971 (CVSS 7.8) может быть использована через взаимодействие между PROCA и FIVE.
PROCA, система аутентификации процессов, является проприетарной подсистемой в ядре устройств Samsung, предназначенной для предотвращения выполнения несанкционированных процессов.
Она проверяет подлинность процессов с помощью FIVE, подсистемы проверки целостности на стороне ядра, основанной на модели измерения целостности Linux и расширенной Samsung.
FIVE отслеживает уровень доверия в каждом запущенном процессе, используя объект task_integrity, который записывает его состояние безопасности.
Если процесс изменяется, например, создает дочерний процесс, дочерний процесс вызывает execve(), который запускает новую проверку целостности и отбрасывает старую.
Это должно происходить мгновенно, но тут в дело вступает вытесняющее ядро Android, внутри которого все это работает. В результате образуется крошечное окно, которое, если оно достижимо, является классической целью для состояния гонки с использованием освобожденной памяти.
Из-за вытесняющего ядра поток может быть приостановлен между чтением указателя и его использованием. Целевая задача выполняет execve(), а именно task_integrity_put(old_tint), освобождая исходную структуру. proc_integrity_value_read() возобновляет выполнение и вызывает task_integrity_user_read() с указателем на освобожденную память.
Исследователи LucidBit Labs полагают, что эксплуатация этой уязвимости достаточно сложная, но возможная. Встроенная в ядро целостность потока управления (KCFI) сделала это практически невозможным, но не совсем.
Она не устранила уязвимость, но закрыла произвольные вызовы функций, которые являются наиболее опасным путем эксплуатации.
LucidBit Labs заявляет, что уязвимость может быть активирована из ненадежного приложения и может привести к повреждению памяти ядра, потенциально предоставляя злоумышленнику путь к более глубокому контролю над устройством.
Исследователи сообщили о своих выводах Samsung, которая исправила проблему в обновлении от января 2026 года.
При этом она существовала на нескольких поколениях устройств Samsung, включая Galaxy S9–S25, устройства серии A, а также модели на базе процессоров Exynos и Qualcomm. В своем уведомлении Samsung отметила затронутые версии Android 13, 14, 15 и 16.
Обнаруженная с Claude Mythos Preview 29-летняя ошибка в прокси-сервере Squid, известная как Squidbleed, потенциально может приводить к утечке HTTP-запросов в открытом виде.
Squid - это широко используемый веб-прокси с открытым исходным кодом, который позволяет сократить потребление полосы пропускания и улучшить время отклика за счет кэширования. Squid поддерживает HTTP, HTTPS, FTP и другие протоколы.
Исследователи Calif обнаружили, что Squid подвержен уязвимости, аналогичной печально известной уязвимости OpenSSL, известной как Heartbleed, поэтому назвали её Squidbleed.
Уязвимость отслеживается как CVE-2026-47729 и приводит к тому, что FTP-парсер Squid считывает данные за пределы буфера памяти, в область, которая может содержать незакрытые данные HTTP-запросов предыдущего пользователя.
Для эксплуатации уязвимости злоумышленнику необходимо контролировать FTP-сервер, доступный через прокси-сервер.
Squidbleed представляет наибольшую опасность в средах с общим доступом к прокси-серверам, таких как корпоративные сети, школы и общедоступные точки доступа Wi-Fi, где несколько пользователей могут направлять трафик через один и тот же экземпляр Squid.
Злоумышленник, имеющий доступ к такой сети, может незаметно перехватывать данные HTTP-запросов, принадлежащие другим пользователям, потенциально получая учетные данные для аутентификации, токены сессий и ключи API.
Уязвимость ограничивается HTTP-трафиком в открытом виде и развертываниями, где Squid завершает TLS-соединение. Стандартные HTTPS-соединения, передаваемые через непрозрачные туннели Connect, не затрагиваются.
Хотя это и уменьшает общую поверхность атаки, конфиденциальные учетные данные все еще могут передаваться в открытом виде по HTTP-трафику во многих корпоративных и устаревших средах.
Патч был включен в версию Squid 8 в апреле 2026 года и выпущен в версии 7.6 в июне 2026 года. Риск эксплуатации можно снизить, полностью отключив поддержку FTP, если она не требуется.
Squid - это широко используемый веб-прокси с открытым исходным кодом, который позволяет сократить потребление полосы пропускания и улучшить время отклика за счет кэширования. Squid поддерживает HTTP, HTTPS, FTP и другие протоколы.
Исследователи Calif обнаружили, что Squid подвержен уязвимости, аналогичной печально известной уязвимости OpenSSL, известной как Heartbleed, поэтому назвали её Squidbleed.
Уязвимость отслеживается как CVE-2026-47729 и приводит к тому, что FTP-парсер Squid считывает данные за пределы буфера памяти, в область, которая может содержать незакрытые данные HTTP-запросов предыдущего пользователя.
Для эксплуатации уязвимости злоумышленнику необходимо контролировать FTP-сервер, доступный через прокси-сервер.
Squidbleed представляет наибольшую опасность в средах с общим доступом к прокси-серверам, таких как корпоративные сети, школы и общедоступные точки доступа Wi-Fi, где несколько пользователей могут направлять трафик через один и тот же экземпляр Squid.
Злоумышленник, имеющий доступ к такой сети, может незаметно перехватывать данные HTTP-запросов, принадлежащие другим пользователям, потенциально получая учетные данные для аутентификации, токены сессий и ключи API.
Уязвимость ограничивается HTTP-трафиком в открытом виде и развертываниями, где Squid завершает TLS-соединение. Стандартные HTTPS-соединения, передаваемые через непрозрачные туннели Connect, не затрагиваются.
Хотя это и уменьшает общую поверхность атаки, конфиденциальные учетные данные все еще могут передаваться в открытом виде по HTTP-трафику во многих корпоративных и устаревших средах.
Патч был включен в версию Squid 8 в апреле 2026 года и выпущен в версии 7.6 в июне 2026 года. Риск эксплуатации можно снизить, полностью отключив поддержку FTP, если она не требуется.
blog.calif.io
Squidbleed (CVE-2026-47729)
Heartbleed's ancient cousin, hiding in Squid since 1997.
SSRF-уязвимость в Cisco Unified Communications Manager Server, CVE-2026-20230, теперь активно используется в реальных атаках.
Уязвимость в Cisco Unified Communications Manager (Unified CM) и Cisco Unified Communications Manager Session Management Edition (Unified CM SME) может позволить неавторизованному удаленному злоумышленнику проводить атаки типа SSRF через уязвимое устройство.
Обновления безопасности для CVE-2026-20230 вышли 3 июня, а Cisco предупреждала, что ее использование может предоставить злоумышленникам права root на устройстве.
Она обусловлена некорректной проверкой входных данных для определенных HTTP-запросов. Злоумышленник может реализовать ее, отправив специально сформированный HTTP-запрос на уязвимое устройство.
Успешная эксплуатация может позволить злоумышленнику записывать файлы в базовую операционную систему, которые впоследствии могут быть использованы для получения прав root.
Об уязвимости сообщила SSD Secure, однако на тот момент никаких технических подробностей предоставлено не было. В настоящее время, по данным Defused, эта уязвимость активно используется в атаках.
В выходные исследователи задетектили эксплуатацию CVE-2026-20230, при этом до этого момента попыток эксплуатации не наблюдалось, а сама она еще не внесена в список CISA KEV.
По данным Defused, атаки осуществляются с одного IP и используют правильно сформированные полезные нагрузки типа file:// для создания файлов на устройстве.
Хотя эта уязвимость может быть использована в атаках для запуска веб-оболочек и получения прав root, обнаруженный Defused прототип, по всей видимости, предназначен для выявления уязвимых устройств путем попытки записи на них текстового файла с именем /tmp/cve-2026-20230-test.txt.
После того, как стало известно об уязвимости, SSD Secure опубликовала техническое описание с пояснением принципа её работы и демонстрацией работоспособности эксплойта.
Исследователи обнаружили, что неавторизованный злоумышленник может использовать уязвимость в обработке предоставленных пользователем URL-адресов компонентом Webdialer, заставляя приложение записывать произвольные файлы в ОС, используя URI типа file://.
Контролируя путь к файлу и содержимое, записываемое на диск, злоумышленник может использовать уязвимость для удаленного выполнения кода и, в конечном итоге, получения прав root на уязвимых устройствах.
SSD Secure отметила, что для эксплуатации злоумышленнику сначала необходимо получить имя хоста целевой системы, прежде чем осуществлять атаку. Однако исследователи продемонстрировали, как эту информацию можно получить с устройства еще до начала эксплуатации.
Нынешняя эксплуатация, по всей видимости, носит разведывательный характер, тем не менее, можно констатировать, что проблема полностью раскрыта, и, вероятно, в ближайшее время следует ожидать, что число нацеленных на нее акторов будет увеличиваться.
Уязвимость в Cisco Unified Communications Manager (Unified CM) и Cisco Unified Communications Manager Session Management Edition (Unified CM SME) может позволить неавторизованному удаленному злоумышленнику проводить атаки типа SSRF через уязвимое устройство.
Обновления безопасности для CVE-2026-20230 вышли 3 июня, а Cisco предупреждала, что ее использование может предоставить злоумышленникам права root на устройстве.
Она обусловлена некорректной проверкой входных данных для определенных HTTP-запросов. Злоумышленник может реализовать ее, отправив специально сформированный HTTP-запрос на уязвимое устройство.
Успешная эксплуатация может позволить злоумышленнику записывать файлы в базовую операционную систему, которые впоследствии могут быть использованы для получения прав root.
Об уязвимости сообщила SSD Secure, однако на тот момент никаких технических подробностей предоставлено не было. В настоящее время, по данным Defused, эта уязвимость активно используется в атаках.
В выходные исследователи задетектили эксплуатацию CVE-2026-20230, при этом до этого момента попыток эксплуатации не наблюдалось, а сама она еще не внесена в список CISA KEV.
По данным Defused, атаки осуществляются с одного IP и используют правильно сформированные полезные нагрузки типа file:// для создания файлов на устройстве.
Хотя эта уязвимость может быть использована в атаках для запуска веб-оболочек и получения прав root, обнаруженный Defused прототип, по всей видимости, предназначен для выявления уязвимых устройств путем попытки записи на них текстового файла с именем /tmp/cve-2026-20230-test.txt.
После того, как стало известно об уязвимости, SSD Secure опубликовала техническое описание с пояснением принципа её работы и демонстрацией работоспособности эксплойта.
Исследователи обнаружили, что неавторизованный злоумышленник может использовать уязвимость в обработке предоставленных пользователем URL-адресов компонентом Webdialer, заставляя приложение записывать произвольные файлы в ОС, используя URI типа file://.
Контролируя путь к файлу и содержимое, записываемое на диск, злоумышленник может использовать уязвимость для удаленного выполнения кода и, в конечном итоге, получения прав root на уязвимых устройствах.
SSD Secure отметила, что для эксплуатации злоумышленнику сначала необходимо получить имя хоста целевой системы, прежде чем осуществлять атаку. Однако исследователи продемонстрировали, как эту информацию можно получить с устройства еще до начала эксплуатации.
Нынешняя эксплуатация, по всей видимости, носит разведывательный характер, тем не менее, можно констатировать, что проблема полностью раскрыта, и, вероятно, в ближайшее время следует ожидать, что число нацеленных на нее акторов будет увеличиваться.
Cisco
Cisco Security Advisory: Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability
A vulnerability in Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an unauthenticated, remote attacker to conduct server-side request forgery (SSRF) attacks…
Zafran Security предупреждает об обнаружении четырех уязвимостей в платформе ИИ с открытым исходным кодом Dify, которые могут быть использованы для кражи данных других пользователей в многопользовательских облачных конфигурациях.
Dify - это мегапопулярная платформа LLMOps для создания, развертывания, обслуживания и мониторинга приложений ИИ, которая задействуется в более чем 1 млн. приложений почти в 50 отраслях.
Выявленные уязвимости в системе безопасности платформы получили условные наименование DifyTap и позволяют злоумышленникам читать личные чаты из приложений других клиентов, инициировать внутренние API-запросы между арендаторами, просматривать документы, загруженные другими арендаторами, а также получать доступ к файлам других пользователей в рамках одного и того же арендатора.
Уязвимость отслеживается как CVE-2026-41947 (CVSS 9.1) и впервые обнаружилась в функции трассировки Dify, которая поддерживает профилирование и мониторинг приложений искусственного интеллекта.
Поскольку конечные точки, необходимые для настройки трассировки, не проверяли учетную запись отправителя, злоумышленники могли отправлять запросы к любому приложению, размещенному на этом экземпляре.
Для эксплуатации уязвимости требуется пользователь консоли Dify, доступный любому пользователю, зарегистрировавшемуся на платформе.
Злоумышленник может настроить собственную трассировку для любого приложения, к которому он имеет доступ как клиент, включая все общедоступные приложения. Это позволяет злоумышленнику создать постоянный канал для утечки всех сообщений и ответов, отправляемых в приложении.
Вторая уязвимость, CVE-2026-41948 (CVSS 9.4), затрагивает демон плагинов, отвечающий за управление и запуск плагинов Dify.
Два примитива в демоне предоставляют доступ к произвольным конечным точкам API через запросы GET и POST и могут быть использованы для осуществления атак с обходом пути, получения значков плагинов других арендаторов или воздействия на среды других арендаторов.
Оставшиеся две уязвимости отслеживаются как CVE-2026-41949 и CVE-2026-41950, представляют собой серьезные дефекты, связанные с обработкой идентификации файлов и прав доступа в Dify, позволяющие просматривать файлы, загруженные другими пользователями, или получать доступ к файлам, загруженным другими пользователями в той же учетной записи.
Zafran также обнаружила, что примерно полтора года, до 21 декабря 2025 года, библиотека для анализа PDF-файлов, используемая в предварительной версии приложения, применяла двоичный файл Chromium PDFium версии 126.0.6462.0, который был уязвим к CVE-2024-5846, ошибке использования памяти после освобождения, о которой стало известно в июне 2024 года.
Все исправления встроены в версия Dify 1.14.2. Пользователям рекомендуется как можно скорее обновиться и внедрить правила WAF, специально разработанные для защиты от CVE-2026-41948.
Dify - это мегапопулярная платформа LLMOps для создания, развертывания, обслуживания и мониторинга приложений ИИ, которая задействуется в более чем 1 млн. приложений почти в 50 отраслях.
Выявленные уязвимости в системе безопасности платформы получили условные наименование DifyTap и позволяют злоумышленникам читать личные чаты из приложений других клиентов, инициировать внутренние API-запросы между арендаторами, просматривать документы, загруженные другими арендаторами, а также получать доступ к файлам других пользователей в рамках одного и того же арендатора.
Уязвимость отслеживается как CVE-2026-41947 (CVSS 9.1) и впервые обнаружилась в функции трассировки Dify, которая поддерживает профилирование и мониторинг приложений искусственного интеллекта.
Поскольку конечные точки, необходимые для настройки трассировки, не проверяли учетную запись отправителя, злоумышленники могли отправлять запросы к любому приложению, размещенному на этом экземпляре.
Для эксплуатации уязвимости требуется пользователь консоли Dify, доступный любому пользователю, зарегистрировавшемуся на платформе.
Злоумышленник может настроить собственную трассировку для любого приложения, к которому он имеет доступ как клиент, включая все общедоступные приложения. Это позволяет злоумышленнику создать постоянный канал для утечки всех сообщений и ответов, отправляемых в приложении.
Вторая уязвимость, CVE-2026-41948 (CVSS 9.4), затрагивает демон плагинов, отвечающий за управление и запуск плагинов Dify.
Два примитива в демоне предоставляют доступ к произвольным конечным точкам API через запросы GET и POST и могут быть использованы для осуществления атак с обходом пути, получения значков плагинов других арендаторов или воздействия на среды других арендаторов.
Оставшиеся две уязвимости отслеживаются как CVE-2026-41949 и CVE-2026-41950, представляют собой серьезные дефекты, связанные с обработкой идентификации файлов и прав доступа в Dify, позволяющие просматривать файлы, загруженные другими пользователями, или получать доступ к файлам, загруженным другими пользователями в той же учетной записи.
Zafran также обнаружила, что примерно полтора года, до 21 декабря 2025 года, библиотека для анализа PDF-файлов, используемая в предварительной версии приложения, применяла двоичный файл Chromium PDFium версии 126.0.6462.0, который был уязвим к CVE-2024-5846, ошибке использования памяти после освобождения, о которой стало известно в июне 2024 года.
Все исправления встроены в версия Dify 1.14.2. Пользователям рекомендуется как можно скорее обновиться и внедрить правила WAF, специально разработанные для защиты от CVE-2026-41948.
Zafran Security
DifyTap: Zafran discovers how attackers can silently wiretap AI data across tenants on a platform powering 1M+ apps
В рамках новой кампании ClickFix для macOS используются команды Терминала для скрытой загрузки, монтирования и запуска вредоносного ПО, похищающего информацию из вредоносных DMG.
В рамках этой кампании злоумышленники заражают устройства Mac вредоносной ПО Atomic macOS Stealer (AMOS), которая нацелена на учетные данные браузера, данные криптокошельков, Keychain, данные из мессенджеров и пользовательские документы.
Исследователи Palo Alto Networks первыми заметили эту кампанию и утверждают, что она начинается с поддельной страницы CAPTCHA, которая предлагает пользователям открыть Терминал и вставить вредоносную команду для подтверждения своей личности.
После выполнения команда загружает DMG-файл с сервера злоумышленника, незаметно монтирует его с помощью встроенной в macOS утилиты hdiutil, находит содержащийся в нем пакет приложения и автоматически запускает его.
ClickFix - это метод социнженерии, который отображает поддельные CAPTCHA, ошибки браузера или системные предупреждения, обманом заставляя посетителей скопировать и выполнить предоставленные злоумышленником «инструкции по исправлению».
За последний год этот метод приобрел популярность среди злоумышленников и используется как киберпреступниками, так и APT-группами для распространения вредоносного ПО.
Атаки ClickFix с использованием DMG-файлов не являются чем-то новым, но в предыдущих кампаниях обычно пользователи вручную открывали загруженные DMG-файлы для запуска вредоносных приложений или выполнения скриптов с серверов злоумышленниками.
Обнаруженная компанией Palo Alto кампания сочетает в себе оба подхода, используя команду в терминале для незаметной загрузки DMG-файла и запуска содержащегося в нем вредоносного ПО.
После выполнения команды в Терминале злоумышленник загружает вредоносный DMG-файл из svs-verificationdate[.]beer с помощью curl с -fsSL флагом quiet и сохраняет его в папку /tmp под случайным именем файла.
Затем команда выполняет команду hdiutil attach -nobrowse для монтирования загруженного образа диска без его отображения в Finder или на рабочем столе.
Затем скрипт выполняет поиск первого доступного установщика с расширением .app или .pkg на глубине до трех каталогов, и если он найден, запускает его с помощью команды открытия macOS.
Исследователи заметили, что вредоносное ПО распространялось в виде образа диска с именем s.01M0td.dmg, который монтировал том, содержащий самоподписанный пакет приложения с именем NNApp.app.
Вредоносная ПО отображает фейковое окно аутентификации в системных настройках, в котором пользователю будет предложено ввести пароль, что позволит его украсть.
Вредоносная ПО нацелена на восемь браузеров на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc и Yandex.
Она крадет файлы cookie, базы данных авторизации, информацию для автозаполнения, сохраненные данные платежных карт и данные профиля браузера.
Вредоносный код также нацелен на браузеры на основе Firefox, включая LibreWolf, SeaMonkey, Tor Browser, Waterfox и Zen Browser, похищая ту же информацию.
Согласно Palo Alto, вредоносная ПО ищет и крадет данные криптокошельков, включая Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet и TonKeeper.
Похищает и данные Telegram Desktop и Discord, базы данных Apple Notes, cookie-файлы Safari, файлы баз данных Apple Keychain и пользовательские документы с расширениями PDF, TXT или RTF.
Все собранные данные затем сохраняются в ZIP-архиве и загружаются на сервер злоумышленника.
Особый интерес вызвало то, что вредоносное ПО заменяет легитимные установки Ledger Live и Trezor Suite вредоносными версиями, вероятно, для совершения кражи криптовалюты.
В рамках этой кампании злоумышленники заражают устройства Mac вредоносной ПО Atomic macOS Stealer (AMOS), которая нацелена на учетные данные браузера, данные криптокошельков, Keychain, данные из мессенджеров и пользовательские документы.
Исследователи Palo Alto Networks первыми заметили эту кампанию и утверждают, что она начинается с поддельной страницы CAPTCHA, которая предлагает пользователям открыть Терминал и вставить вредоносную команду для подтверждения своей личности.
После выполнения команда загружает DMG-файл с сервера злоумышленника, незаметно монтирует его с помощью встроенной в macOS утилиты hdiutil, находит содержащийся в нем пакет приложения и автоматически запускает его.
ClickFix - это метод социнженерии, который отображает поддельные CAPTCHA, ошибки браузера или системные предупреждения, обманом заставляя посетителей скопировать и выполнить предоставленные злоумышленником «инструкции по исправлению».
За последний год этот метод приобрел популярность среди злоумышленников и используется как киберпреступниками, так и APT-группами для распространения вредоносного ПО.
Атаки ClickFix с использованием DMG-файлов не являются чем-то новым, но в предыдущих кампаниях обычно пользователи вручную открывали загруженные DMG-файлы для запуска вредоносных приложений или выполнения скриптов с серверов злоумышленниками.
Обнаруженная компанией Palo Alto кампания сочетает в себе оба подхода, используя команду в терминале для незаметной загрузки DMG-файла и запуска содержащегося в нем вредоносного ПО.
После выполнения команды в Терминале злоумышленник загружает вредоносный DMG-файл из svs-verificationdate[.]beer с помощью curl с -fsSL флагом quiet и сохраняет его в папку /tmp под случайным именем файла.
Затем команда выполняет команду hdiutil attach -nobrowse для монтирования загруженного образа диска без его отображения в Finder или на рабочем столе.
Затем скрипт выполняет поиск первого доступного установщика с расширением .app или .pkg на глубине до трех каталогов, и если он найден, запускает его с помощью команды открытия macOS.
Исследователи заметили, что вредоносное ПО распространялось в виде образа диска с именем s.01M0td.dmg, который монтировал том, содержащий самоподписанный пакет приложения с именем NNApp.app.
Вредоносная ПО отображает фейковое окно аутентификации в системных настройках, в котором пользователю будет предложено ввести пароль, что позволит его украсть.
Вредоносная ПО нацелена на восемь браузеров на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc и Yandex.
Она крадет файлы cookie, базы данных авторизации, информацию для автозаполнения, сохраненные данные платежных карт и данные профиля браузера.
Вредоносный код также нацелен на браузеры на основе Firefox, включая LibreWolf, SeaMonkey, Tor Browser, Waterfox и Zen Browser, похищая ту же информацию.
Согласно Palo Alto, вредоносная ПО ищет и крадет данные криптокошельков, включая Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet и TonKeeper.
Похищает и данные Telegram Desktop и Discord, базы данных Apple Notes, cookie-файлы Safari, файлы баз данных Apple Keychain и пользовательские документы с расширениями PDF, TXT или RTF.
Все собранные данные затем сохраняются в ZIP-архиве и загружаются на сервер злоумышленника.
Особый интерес вызвало то, что вредоносное ПО заменяет легитимные установки Ledger Live и Trezor Suite вредоносными версиями, вероятно, для совершения кражи криптовалюты.
X (formerly Twitter)
Unit 42 (@Unit42_Intel) on X
The latest macOS ClickFix variant invisibly mounts DMG images in the background to execute a macOS infostealer and hijack cryptocurrency wallet info. Details at https://t.co/8Bg5ojzg26
JFrog предупреждает об уязвимости в фреймворке обработки мультимедиа FFmpeg, которая позволяет злоумышленникам вызывать сбои в работе приложений и удаленно выполнять произвольный код.
Уязвимость отслеживается как CVE-2026-8461 (CVSS 8,8) и представляет собой запись за пределы допустимого диапазона в куче внутри библиотеки libavcodec в декодере MagicYUV FFmpeg.
Недостаток связан с обработкой фрагментов в декодере MagicYUV и обусловлен несоответствием между тем, как распределитель кадров и декодер вычисляют высоту цветовой плоскости.
Уязвимость получила условное название PixelSmash и может привести к сбою любого приложения, использующего FFmpeg. Выполнение кода может быть достигнуто путем обращения к структуре AVBuffer FFmpeg - объекту управления буфером с подсчетом ссылок, выделяемому сразу после данных пикселей каждой плоскости.
Для выполнения кода злоумышленнику необходимо атаковать структуру AVBuffer в FFmpeg - объект управления буфером с подсчетом ссылок, выделяемый сразу после данных пикселей каждой плоскости.
По данным JFrog, разместив команду оболочки с нулевым завершением в определенном месте за пределами допустимого диапазона, злоумышленник может получить доступ к выполнению оболочки до того, как процесс FFmpeg завершится с ошибкой при последующем повреждении кучи.
Вредоносная ПО PixelSmash может быть использована для RCE через специально созданные медиафайлы, передаваемые любому приложению, использующему библиотеку libavcodec из FFmpeg для декодирования видео.
На настольных компьютерах уязвимость срабатывает, когда пользователь открывает вредоносный файл в видеоплеере или когда он переходит в папку, содержащую этот файл, если генератор миниатюр файлового менеджера использует уязвимую библиотеку.
Выполнение кода на сервере происходит, когда медиафайл загружается на медиасервер, платформу чата или облачный сервис транскодирования, который автоматически его обрабатывает.
Уязвимость также может быть использована на сетевых хранилищах (NAS), медиаустройствах и смарт-телевизорах, которые генерируют миниатюры или предварительные просмотры видео.
Для доступа к целевой системе не требуется никакой аутентификации, специальных привилегий или предварительного доступа, кроме возможности доставки медиафайла - стандартной поверхности атаки для любого приложения обработки мультимедиа.
Полезная нагрузка эксплойта может быть доставлена в виде файла AVI, MKV или MOV размером 50 КБ. Она может использоваться в Zero-Click атаках через торренты, если у жертвы в торрент-клиенте настроена загрузка медиафайлов непосредственно в контролируемую папку медиатеки.
Как только загрузка торрента завершится, автоматическое сканирование библиотеки запустит полезную нагрузку.
В платформе облачного хранения Nextcloud, использующей независимую сборку FFmpeg, уязвимость может быть активирована через дополнительный поставщик предварительного просмотра фильмов, который вызывает системный исполняемый файл FFmpeg для генерации миниатюр.
Злоумышленнику не требуется никакого взаимодействия, кроме проверки видимости файла в списке папок, обработка на стороне сервера делает все остальное, что делает этот способ атаки практически безошибочным.
JFrog подтвердила возможность успешной эксплуатации уязвимости в Kodi, mpv, ffmpegthumbnailer (используемом GNOME, KDE, XFCE), Jellyfin, Emby, Nextcloud, Immich, PhotoPrism и OBS Studio.
Кроме того, также продемонстрировала успешное выполнение удаленного выполнения кода (RCE) в Jellyfin. Исправления включены FFmpeg 8.1.2, пользователям рекомендуется обновить программу как можно скорее.
Уязвимость отслеживается как CVE-2026-8461 (CVSS 8,8) и представляет собой запись за пределы допустимого диапазона в куче внутри библиотеки libavcodec в декодере MagicYUV FFmpeg.
Недостаток связан с обработкой фрагментов в декодере MagicYUV и обусловлен несоответствием между тем, как распределитель кадров и декодер вычисляют высоту цветовой плоскости.
Уязвимость получила условное название PixelSmash и может привести к сбою любого приложения, использующего FFmpeg. Выполнение кода может быть достигнуто путем обращения к структуре AVBuffer FFmpeg - объекту управления буфером с подсчетом ссылок, выделяемому сразу после данных пикселей каждой плоскости.
Для выполнения кода злоумышленнику необходимо атаковать структуру AVBuffer в FFmpeg - объект управления буфером с подсчетом ссылок, выделяемый сразу после данных пикселей каждой плоскости.
По данным JFrog, разместив команду оболочки с нулевым завершением в определенном месте за пределами допустимого диапазона, злоумышленник может получить доступ к выполнению оболочки до того, как процесс FFmpeg завершится с ошибкой при последующем повреждении кучи.
Вредоносная ПО PixelSmash может быть использована для RCE через специально созданные медиафайлы, передаваемые любому приложению, использующему библиотеку libavcodec из FFmpeg для декодирования видео.
На настольных компьютерах уязвимость срабатывает, когда пользователь открывает вредоносный файл в видеоплеере или когда он переходит в папку, содержащую этот файл, если генератор миниатюр файлового менеджера использует уязвимую библиотеку.
Выполнение кода на сервере происходит, когда медиафайл загружается на медиасервер, платформу чата или облачный сервис транскодирования, который автоматически его обрабатывает.
Уязвимость также может быть использована на сетевых хранилищах (NAS), медиаустройствах и смарт-телевизорах, которые генерируют миниатюры или предварительные просмотры видео.
Для доступа к целевой системе не требуется никакой аутентификации, специальных привилегий или предварительного доступа, кроме возможности доставки медиафайла - стандартной поверхности атаки для любого приложения обработки мультимедиа.
Полезная нагрузка эксплойта может быть доставлена в виде файла AVI, MKV или MOV размером 50 КБ. Она может использоваться в Zero-Click атаках через торренты, если у жертвы в торрент-клиенте настроена загрузка медиафайлов непосредственно в контролируемую папку медиатеки.
Как только загрузка торрента завершится, автоматическое сканирование библиотеки запустит полезную нагрузку.
В платформе облачного хранения Nextcloud, использующей независимую сборку FFmpeg, уязвимость может быть активирована через дополнительный поставщик предварительного просмотра фильмов, который вызывает системный исполняемый файл FFmpeg для генерации миниатюр.
Злоумышленнику не требуется никакого взаимодействия, кроме проверки видимости файла в списке папок, обработка на стороне сервера делает все остальное, что делает этот способ атаки практически безошибочным.
JFrog подтвердила возможность успешной эксплуатации уязвимости в Kodi, mpv, ffmpegthumbnailer (используемом GNOME, KDE, XFCE), Jellyfin, Emby, Nextcloud, Immich, PhotoPrism и OBS Studio.
Кроме того, также продемонстрировала успешное выполнение удаленного выполнения кода (RCE) в Jellyfin. Исправления включены FFmpeg 8.1.2, пользователям рекомендуется обновить программу как можно скорее.
JFrog
PixelSmash - Critical FFmpeg Vulnerability Turns Media Files into Weapons
PixelSmash (CVE-2026-8461) is a high-severity FFmpeg flaw discovered by JFrog that allows remote code execution via a malformed 50 KB media file. Upgrading is urged.
В Бельгии хакеры украли данные мобильных телефонов сотрудников бельгийской разведывательной службы.
По данным бельгийской государственной телерадиокомпании RTBF, данные были получены от компании, управлявшей платформой управления мобильными устройствами агентства.
И в данном случае, вариант один, можно даже не гадать: взлом был связан с серией атак на серверы Ivanti EPMM.
Теперь украденные данные, включая имена, номера телефонов и адреса электронной почты сотрудников госбезопасности Бельгии, в руках киберподполья.
По данным бельгийской государственной телерадиокомпании RTBF, данные были получены от компании, управлявшей платформой управления мобильными устройствами агентства.
И в данном случае, вариант один, можно даже не гадать: взлом был связан с серией атак на серверы Ivanti EPMM.
Теперь украденные данные, включая имена, номера телефонов и адреса электронной почты сотрудников госбезопасности Бельгии, в руках киберподполья.
RTBF
Des cybercriminels ont piraté les données GSM des agents de la Sûreté de l’État - RTBF Actus
Les alertes publiées par la société américaine de cybersécurité Ivanti depuis mai 2025 sont rédigées dans un jargon...
Появились новые подробности, как хакерам удалось реализовать уязвимость Cisco Catalyst SD-WAN (CVE-2026-20245) в 0-day атаках для создания фейковых учетных записей root на целевых устройствах.
CVE-2026-20245 представляет собой серьезную уязвимость внедрения команд в Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) и Validator (vBond), позволяющую авторизованным злоумышленникам выполнять произвольные команды от имени root путем загрузки специально созданного файла.
Поставщик сообщил о ней в начале этого месяца, предупредив, что CVE-2026-20245 была использована в ограниченном числе атак, но не предоставив никаких подробностей.
Тогда Cisco лишь отметила, что успешная эксплуатация уязвимости позволила злоумышленникам получить права root, а некоторые инциденты были связаны с несанкционированным изменением конфигурации, передаваемой на периферийные устройства.
В свою очередь, исследователи Mandiant сообщили, что CVE-2026-20245 была использована для повышения привилегий после того, как злоумышленники уже получили доступ к целевым устройствам SD-WAN.
По данным исследователей, вторжение началось с несанкционированных пиринговых соединений SD-WAN, обнаруженных в инфраструктуре поставщика услуг.
Начиная с марта 2026 года, злоумышленник устанавливал фейковые соединения с другими устройствами и проходил аутентификацию на затронутых устройствах SD-WAN Manager, используя свою vmanage-admin учетную запись.
В Mandiant полагают, что несанкционированное соединение могло быть создано с использованием ранее обнаруженных нулей в Cisco SD-WAN, позволяющих обойти аутентификацию, CVE-2026-20127 и CVE-2026-20182, однако точный метод так и не установлен.
Получив доступ, злоумышленники поменяли пароль учетной записи админа по умолчанию, вошли в веб-интерфейс SD-WAN Manager и извлекли информацию о конфигурации периферийных устройств, контроллеров и шаблонов SD-WAN.
Mandiant полагает, что после завершения своих действий злоумышленники восстановили исходный пароль для учетной записи администратора, вероятно, чтобы снизить вероятность обнаружения.
Затем злоумышленники использовали CVE-2026-20245 через функцию загрузки данных арендатора в интерфейсе командной строки SD-WAN, загрузив вредоносный CSV-файл evil_tenant.csv.
CVE-2026-20245, о которой Mandiant сообщила Cisco, затрагивает интерфейс командной строки (CLI) контроллеров Cisco Catalyst SD-WAN и позволяет авторизованному локальному злоумышленнику выполнять произвольные команды от имени root, предоставив специально созданный файл в уязвимую систему.
Вредоносная ПО сначала создала резервные копии файлов конфигурации системы, включая /etc/passwdи /etc/shadow, а затем создала новую учетную запись с именем troot с правами root.
Затем злоумышленники использовали su команду Linux для переключения с скомпрометированной административной учетной записи на вновь созданную учетную запись root, получив таким образом полный контроль над устройством.
По словам Mandiant, нападавшие активно использовали методы, препятствующие проведению криминалистических расследований, дабы избежать обнаружения.
Что включает в себя резервное копирование конфигурационных файлов перед их изменением и последующее восстановление после эксплуатации уязвимости.
Они также очистили следы эксплуатации, удалив вредоносный CSV-файл, удалив временные файлы, созданные во время атаки, и стерев следы использования мошеннической учетной записи root.
Mandiant утверждает, что в марте 2026 наблюдалась некоторая активность несанкционированного пиринга в системах, которые не были уязвимы ни к одной из ранее выявленных уязвимостей обхода аутентификации.
Cisco же сообщила исследователям, что взлом не связан с уязвимостью CVE-2026-20182, и предположила, что злоумышленники могли использовать сертификаты, украденные во время предыдущего взлома, чтобы восстановить доступ к устройствам.
Исследователи представили IOCs, IP злоумышленников и рекомендации.
CVE-2026-20245 представляет собой серьезную уязвимость внедрения команд в Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) и Validator (vBond), позволяющую авторизованным злоумышленникам выполнять произвольные команды от имени root путем загрузки специально созданного файла.
Поставщик сообщил о ней в начале этого месяца, предупредив, что CVE-2026-20245 была использована в ограниченном числе атак, но не предоставив никаких подробностей.
Тогда Cisco лишь отметила, что успешная эксплуатация уязвимости позволила злоумышленникам получить права root, а некоторые инциденты были связаны с несанкционированным изменением конфигурации, передаваемой на периферийные устройства.
В свою очередь, исследователи Mandiant сообщили, что CVE-2026-20245 была использована для повышения привилегий после того, как злоумышленники уже получили доступ к целевым устройствам SD-WAN.
По данным исследователей, вторжение началось с несанкционированных пиринговых соединений SD-WAN, обнаруженных в инфраструктуре поставщика услуг.
Начиная с марта 2026 года, злоумышленник устанавливал фейковые соединения с другими устройствами и проходил аутентификацию на затронутых устройствах SD-WAN Manager, используя свою vmanage-admin учетную запись.
В Mandiant полагают, что несанкционированное соединение могло быть создано с использованием ранее обнаруженных нулей в Cisco SD-WAN, позволяющих обойти аутентификацию, CVE-2026-20127 и CVE-2026-20182, однако точный метод так и не установлен.
Получив доступ, злоумышленники поменяли пароль учетной записи админа по умолчанию, вошли в веб-интерфейс SD-WAN Manager и извлекли информацию о конфигурации периферийных устройств, контроллеров и шаблонов SD-WAN.
Mandiant полагает, что после завершения своих действий злоумышленники восстановили исходный пароль для учетной записи администратора, вероятно, чтобы снизить вероятность обнаружения.
Затем злоумышленники использовали CVE-2026-20245 через функцию загрузки данных арендатора в интерфейсе командной строки SD-WAN, загрузив вредоносный CSV-файл evil_tenant.csv.
CVE-2026-20245, о которой Mandiant сообщила Cisco, затрагивает интерфейс командной строки (CLI) контроллеров Cisco Catalyst SD-WAN и позволяет авторизованному локальному злоумышленнику выполнять произвольные команды от имени root, предоставив специально созданный файл в уязвимую систему.
Вредоносная ПО сначала создала резервные копии файлов конфигурации системы, включая /etc/passwdи /etc/shadow, а затем создала новую учетную запись с именем troot с правами root.
Затем злоумышленники использовали su команду Linux для переключения с скомпрометированной административной учетной записи на вновь созданную учетную запись root, получив таким образом полный контроль над устройством.
По словам Mandiant, нападавшие активно использовали методы, препятствующие проведению криминалистических расследований, дабы избежать обнаружения.
Что включает в себя резервное копирование конфигурационных файлов перед их изменением и последующее восстановление после эксплуатации уязвимости.
Они также очистили следы эксплуатации, удалив вредоносный CSV-файл, удалив временные файлы, созданные во время атаки, и стерев следы использования мошеннической учетной записи root.
Mandiant утверждает, что в марте 2026 наблюдалась некоторая активность несанкционированного пиринга в системах, которые не были уязвимы ни к одной из ранее выявленных уязвимостей обхода аутентификации.
Cisco же сообщила исследователям, что взлом не связан с уязвимостью CVE-2026-20182, и предположила, что злоумышленники могли использовать сертификаты, украденные во время предыдущего взлома, чтобы восстановить доступ к устройствам.
Исследователи представили IOCs, IP злоумышленников и рекомендации.
Cisco
Cisco Security Advisory: Cisco Catalyst SD-WAN Controller, Catalyst SD-WAN Manager, and Catalyst SD-WAN Validator Authenticated…
A vulnerability in the CLI of Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, and Cisco Catalyst SD-WAN Validator, formerly SD-WAN vBond, could allow an authenticated, local attacker to execute…
В рамках очередного этапа Endgame, Microsoft, Европол и международные партнеры нейтрализовали инфраструктуру, используемую вредоносными ПО Amadey и StealC.
По данным Европола, в результате операции были выведены из строя 326 серверов и 142 домена. Также было изъято более 41 млн. евро (47 млн. долл.) в криптовалюте и вовзвращено около 27 млн. учетных данных, украденных из более чем 385 тысяч скомпрометированных систем.
В ходе скоординированных действий также удар был нанесен по SocGholish (FakeUpdates), вредоносной ПО, которая заражает посетителей через скомпрометированные веб-сайты, предлагающие поддельные обновления браузера.
В Endgame участвовали силовики Канады, Дании, Германии, Нидерландов, Великобритании и США, координацию осуществляли Европол и Евроюст.
Поддержку оказали Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus и др.
Операция была направлена на подрыв инфраструктуры киберпреступников, которая задействовалась для получения первоначального доступа к системам, кражи учетных данных и, в конечном итоге, развертывания ransomware или совершения финансовых махинаций.
Amadey и StealC реализуется в киберподполье через сервисы «вредоносное ПО как услуга», в рамках которых партнеры платят за доступ к конструкторам вредоносного ПО, панелям управления, поддержке и инфраструктуре.
Преступники используют Amadey для получения первоначального доступа к устройствам жертв с целью развертывания дополнительного вредоносного ПО.
StealC - для кражи учетных данных, криптовалютных кошельков и другой конфиденциальной информации, которая впоследствии может быть продана или использована в атаках с применением программ-вымогателей.
Amadey фактически - это вредоносный ботнет, используемый как бандами вымогателей, так и APT-группами, для взлома сетей. В последнее время StealC широко стал применяться в атаках ClickFix, включая создание поддельных обучающих видеороликов в TikTok и FileFix.
В своем гражданском иске Microsoft отметила, что выявила более 200 вредоносных доменов и IP, используемых для С2, связанных с Amadey и StealC, и совместно с партнерами отключило инфраструктуру посредством изъятия доменов, регистрации и уведомления поставщиков услуг.
Согласно жалобе Microsoft, украденные учетные данные, полученные с помощью StealC, обычно продаются на подпольных торговых площадках и через брокеров первоначального доступа (IAB). Затем используются другими злоумышленниками для взлома сетей, кражи данных и развертывания программ-вымогателей.
Компания заявила, что за первые две недели мая 2026 года две группы вредоносных ПО были связаны с более чем 140 000 зараженных устройств.
ESET заявила, что оказала помощь в проведении операции, выявив и нарушив работу инфраструктуры, используемой обоими семействами вредоносных ПО. В результате операции захвачено около 50 доменов и почти 200 активных серверов С2.
Proofpoint и IBM X-Force также внесли свой вклад в сбор развединформации и анализ вредоносного ПО, а Bitsight оказала помощь, выявив и проанализировав инфраструктуру вредоносных ПО, составив карту серверов и соответствующей инфраструктуры С2.
В целом в рамках Endgame были нейтрализованы различные семейства вредоносных ПО, включая DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium и SmokeLoader.
По данным Европола, в результате операции были выведены из строя 326 серверов и 142 домена. Также было изъято более 41 млн. евро (47 млн. долл.) в криптовалюте и вовзвращено около 27 млн. учетных данных, украденных из более чем 385 тысяч скомпрометированных систем.
В ходе скоординированных действий также удар был нанесен по SocGholish (FakeUpdates), вредоносной ПО, которая заражает посетителей через скомпрометированные веб-сайты, предлагающие поддельные обновления браузера.
В Endgame участвовали силовики Канады, Дании, Германии, Нидерландов, Великобритании и США, координацию осуществляли Европол и Евроюст.
Поддержку оказали Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus и др.
Операция была направлена на подрыв инфраструктуры киберпреступников, которая задействовалась для получения первоначального доступа к системам, кражи учетных данных и, в конечном итоге, развертывания ransomware или совершения финансовых махинаций.
Amadey и StealC реализуется в киберподполье через сервисы «вредоносное ПО как услуга», в рамках которых партнеры платят за доступ к конструкторам вредоносного ПО, панелям управления, поддержке и инфраструктуре.
Преступники используют Amadey для получения первоначального доступа к устройствам жертв с целью развертывания дополнительного вредоносного ПО.
StealC - для кражи учетных данных, криптовалютных кошельков и другой конфиденциальной информации, которая впоследствии может быть продана или использована в атаках с применением программ-вымогателей.
Amadey фактически - это вредоносный ботнет, используемый как бандами вымогателей, так и APT-группами, для взлома сетей. В последнее время StealC широко стал применяться в атаках ClickFix, включая создание поддельных обучающих видеороликов в TikTok и FileFix.
В своем гражданском иске Microsoft отметила, что выявила более 200 вредоносных доменов и IP, используемых для С2, связанных с Amadey и StealC, и совместно с партнерами отключило инфраструктуру посредством изъятия доменов, регистрации и уведомления поставщиков услуг.
Согласно жалобе Microsoft, украденные учетные данные, полученные с помощью StealC, обычно продаются на подпольных торговых площадках и через брокеров первоначального доступа (IAB). Затем используются другими злоумышленниками для взлома сетей, кражи данных и развертывания программ-вымогателей.
Компания заявила, что за первые две недели мая 2026 года две группы вредоносных ПО были связаны с более чем 140 000 зараженных устройств.
ESET заявила, что оказала помощь в проведении операции, выявив и нарушив работу инфраструктуры, используемой обоими семействами вредоносных ПО. В результате операции захвачено около 50 доменов и почти 200 активных серверов С2.
Proofpoint и IBM X-Force также внесли свой вклад в сбор развединформации и анализ вредоносного ПО, а Bitsight оказала помощь, выявив и проанализировав инфраструктуру вредоносных ПО, составив карту серверов и соответствующей инфраструктуры С2.
В целом в рамках Endgame были нейтрализованы различные семейства вредоносных ПО, включая DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium и SmokeLoader.
Europol
Global cyber strike disrupts SocGholish, Amadey, and StealC malware networks – Coordinated actions take down criminal infrastructure;…
Europol together with partners from across the globe today announces a landmark blow to cybercriminal networks as part of Operation Endgame, a sweeping international operation targeting the criminal infrastructure behind ransomware and malware like SocGholish…
Исследователи из Лаборатории Касперского представили результаты анализа ландшафта угроз для малого и среднего бизнеса в 2026 году, начиная от фишинга и мошенничества до поддельных инструментов ИИ.
В 2026 году малый и средний бизнес остается привлекательной мишенью для злоумышленников - как операторов массовых кампаний, так и тех, кто пытается проникнуть в крупные предприятия через доверительные отношения.
При этом небольшим компаниям часто не хватает ресурсов и зрелых политик кибербезопасности для эффективного противодействия постоянно эволюционирующим угрозам.
Эксперты ЛК сходятся во мнении, что информирование малых и средних предприятий о релевантных для них киберугрозах поможет им выстраивать более эффективные стратегии защиты.
В преддверии Международного дня малого и среднего бизнеса, который отмечается 27 июня, исследователи ЛК выкатили анализ актуальных на 2026 год угроз для небольших компаний по всему миру с примерами реальных атак.
Отметим основные выводы:
- За первые четыре месяца 2026 года решения ЛК зафиксировали более 33 300 кибератак на малые и средние предприятия, замаскированных под популярные инструменты ИИ, - это почти в пять раз больше, чем в 2025 году, и на 39% превышает число атак, использующих в качестве приманки офисные приложения и сервисы для совместной работы, рассматриваемые в настоящем исследовании.
- Популярные мессенджеры и коммуникационные сервисы остаются наиболее распространенной приманкой: мы зафиксировали почти 415 тысяч атак с использованием поддельных приложений для переписки и видеозвонков.
- Злоумышленники следят за трендами: среди ИИ-инструментов, чаще всего используемых в качестве приманки, оказались Claude и OpenClaw (бывший ClawdBot/MoltBot), получившие широкое распространение в 2026 году.
- Мошенники распространяют поддельные инструменты ИИ, похищая средства у бизнеса и перехватывая доступ к аккаунтам организаций в соцсетях.
- Большинство предложений в даркнете о продаже первоначального доступа в корпоративные инфраструктуры касаются малого и среднего бизнеса. Это может объясняться тем, что небольшие компании, как правило, защищены слабее крупных корпораций, но при этом часто выступают их доверенными подрядчиками.
Подробная инфографика, статистика и практические примеры - в отчете.
В 2026 году малый и средний бизнес остается привлекательной мишенью для злоумышленников - как операторов массовых кампаний, так и тех, кто пытается проникнуть в крупные предприятия через доверительные отношения.
При этом небольшим компаниям часто не хватает ресурсов и зрелых политик кибербезопасности для эффективного противодействия постоянно эволюционирующим угрозам.
Эксперты ЛК сходятся во мнении, что информирование малых и средних предприятий о релевантных для них киберугрозах поможет им выстраивать более эффективные стратегии защиты.
В преддверии Международного дня малого и среднего бизнеса, который отмечается 27 июня, исследователи ЛК выкатили анализ актуальных на 2026 год угроз для небольших компаний по всему миру с примерами реальных атак.
Отметим основные выводы:
- За первые четыре месяца 2026 года решения ЛК зафиксировали более 33 300 кибератак на малые и средние предприятия, замаскированных под популярные инструменты ИИ, - это почти в пять раз больше, чем в 2025 году, и на 39% превышает число атак, использующих в качестве приманки офисные приложения и сервисы для совместной работы, рассматриваемые в настоящем исследовании.
- Популярные мессенджеры и коммуникационные сервисы остаются наиболее распространенной приманкой: мы зафиксировали почти 415 тысяч атак с использованием поддельных приложений для переписки и видеозвонков.
- Злоумышленники следят за трендами: среди ИИ-инструментов, чаще всего используемых в качестве приманки, оказались Claude и OpenClaw (бывший ClawdBot/MoltBot), получившие широкое распространение в 2026 году.
- Мошенники распространяют поддельные инструменты ИИ, похищая средства у бизнеса и перехватывая доступ к аккаунтам организаций в соцсетях.
- Большинство предложений в даркнете о продаже первоначального доступа в корпоративные инфраструктуры касаются малого и среднего бизнеса. Это может объясняться тем, что небольшие компании, как правило, защищены слабее крупных корпораций, но при этом часто выступают их доверенными подрядчиками.
Подробная инфографика, статистика и практические примеры - в отчете.
Forwarded from Russian OSINT
🇺🇸🇨🇳Anthropic обвинила Alibaba Group Holding Limited в дистилляции знаний своих 🈁 топовых моделей
Согласно позиции американской стороны, в период с апреля по июнь 2026 года со стороны Alibaba была зафиксирована якобы масштабная скоординированная кампания, которую в Anthropic назвали крупнейшей известной атакой методом дистилляции знаний на сегодняшний день. Для обхода региональных ограничений, поскольку сервисы Claude официально недоступны на территории КНР, специалисты Alibaba создали якобы около 25 000 фиктивных учетных записей. Через эти поддельные профили было проведено не менее 28,8 млн сессий взаимодействия с ИИ-моделью.
Под промышленной дистилляцией в данном контексте понимается несанкционированное извлечение интеллектуальной собственности, когда сторонние разработчики обучают собственные менее развитые ИИ-модели на базе ответов и логических цепочек более продвинутых конкурирующих систем. Представители Anthropic подчеркнули, что эта активность была направлена на копирование наиболее ценных функций Claude, в числе которых находятся агентные рассуждения и написание программного кода.
Руководство Anthropic отметило, что подобные действия позволяют конкурентам избегать затрат на исследования и разработки. При этом официальные лица США оценивают убытки лабораторий Кремниевой долины от несанкционированной дистилляции в миллиарды долларов.
👆Ситуация усугубляется общим ростом геополитической напряженности между Вашингтоном и Пекином в сфере высоких технологий. Буквально на этой же неделе представители Alibaba обратились в американский суд с требованием исключить холдинг из черного списка Пентагона, куда компания была внесена из-за предполагаемых связей с Народно-освободительной армией Китая.
✋ @Russian_OSINT
Согласно позиции американской стороны, в период с апреля по июнь 2026 года со стороны Alibaba была зафиксирована якобы масштабная скоординированная кампания, которую в Anthropic назвали крупнейшей известной атакой методом дистилляции знаний на сегодняшний день. Для обхода региональных ограничений, поскольку сервисы Claude официально недоступны на территории КНР, специалисты Alibaba создали якобы около 25 000 фиктивных учетных записей. Через эти поддельные профили было проведено не менее 28,8 млн сессий взаимодействия с ИИ-моделью.
Под промышленной дистилляцией в данном контексте понимается несанкционированное извлечение интеллектуальной собственности, когда сторонние разработчики обучают собственные менее развитые ИИ-модели на базе ответов и логических цепочек более продвинутых конкурирующих систем. Представители Anthropic подчеркнули, что эта активность была направлена на копирование наиболее ценных функций Claude, в числе которых находятся агентные рассуждения и написание программного кода.
Руководство Anthropic отметило, что подобные действия позволяют конкурентам избегать затрат на исследования и разработки. При этом официальные лица США оценивают убытки лабораторий Кремниевой долины от несанкционированной дистилляции в миллиарды долларов.
👆Ситуация усугубляется общим ростом геополитической напряженности между Вашингтоном и Пекином в сфере высоких технологий. Буквально на этой же неделе представители Alibaba обратились в американский суд с требованием исключить холдинг из черного списка Пентагона, куда компания была внесена из-за предполагаемых связей с Народно-освободительной армией Китая.
Please open Telegram to view this post
VIEW IN TELEGRAM
DirtyClone - новая уязвимость, позволяющая повысить привилегии в ядре Linux из семейства DirtyFrag, для которой 25 июня JFrog представила рабочий PoC - первую публичную демонстрацию данного варианта.
CVE-2026-43503 (CVSS 8.8) позволяет локальному пользователю повредить память, защищенную файлами, с помощью клонированного сетевого пакета и получить права root. Патч был включен в основную ветку 21 мая.
Когда ядро копирует сетевой пакет внутри себя, две вспомогательные функции удаляют флаг безопасности, который помечает память пакета как общую с файлом на диске. Именно отсутствие флага и является уязвимостью.
Злоумышленник загружает в память привилегированный исполняемый файл, например /usr/bin/su, передаёт страницы памяти в сетевой пакет и заставляет ядро клонировать его.
Он проходит через туннель IPsec, контролируемый злоумышленником, а этап расшифровки перезаписывает проверки входа в систему исполняемого файла байтами, выбранными злоумышленником. При следующем запуске команды su происходит передача прав root.
Файл на диске никогда не изменяется. Изменение сохраняется только в копии, хранящейся в памяти ядра, поэтому инструменты проверки целостности файлов его не обнаруживают, атака не оставляет следов аудита, а перезагрузка восстанавливает исходный бинарный файл.
Для эксплуатации уязвимости требуется CAP_NET_ADMIN для настройки туннеля IPsec в локальной области. В Debian и Fedora непривилегированные пространства имен пользователей включены по умолчанию, поэтому локальный пользователь может получить эту возможность внутри нового пространства имен.
В Ubuntu 24.04 и более поздних версиях создание пространств имен через AppArmor ограничено, что блокирует стандартный путь эксплойта. Кэш страниц используется совместно на уровне хоста, поэтому изменения, внесенные внутри пространства имен, влияют на каждый процесс на машине.
К уязвимым системам относятся многопользовательские серверы, средства запуска CI, хосты контейнеров и кластеры Kubernetes, где недоверенные пользователи могут создавать пространства имен.
JFrog подтвердила наличие уязвимости в системах Debian, Ubuntu и Fedora с конфигурациями пространств имен по умолчанию.
Это уже четвёртый случай повышения привилегий за последнее время с тем же самым сбоем: данные в памяти, хранящиеся в файлах, обрабатываются как пакетные данные, а затем сетевая операция на месте выполняет запись туда, куда следовало бы скопировать. Ранее:
- Copy Fail (CVE-2026-31431) впервые появилась в конце апреля, используя модуль algif_aead для записи четырехбайтового файла в кэш страниц.
- DirtyFrag (CVE-2026-43284 и CVE-2026-43500) появилась 7 мая, объединяя пути IPsec ESP и RxRPC для выполнения полной операции записи.
- Fragnesia (CVE-2026-46300) появилась 13 мая и обошла патч DirtyFrag благодаря ошибке сброса флага в функции skb_try_coalesce().
Каждое исправление закрывало один путь выполнения кода, оставляя другие открытыми. DirtyClone сосредоточена на функции __pskb_copy_fclone(), при этом также затронута функция skb_shift(), более широкое исправление CVE охватывает дополнительные вспомогательные функции для передачи фрагментов, где тот же флаг может быть потерян.
Основная проблема заключается не в одной некорректной вспомогательной функции. Это проблема контракта: каждый участок кода, перемещающий фрагменты skb, должен каждый раз сохранять бит разделяемого фрагмента.
В ядре реализована технология сетевого взаимодействия с нулевым копированием, позволяющая использовать память, хранящуюся в файлах, в качестве данных пакетов, а один-единственный потерянный флаг в любой точке цепочки превращает оптимизацию производительности в примитив записи. Каждый вариант находил путь, где контракт не соблюдался.
Хёнву Ким 16 мая представил более масштабный патч, охватывающий несколько оставшихся вспомогательных функций для передачи фрагментов.
Объединенное исправление было реализовано 21 мая (коммит 48f6a5356a33), 23 мая ему был присвоен CVE-2026-43503, и включен в Linux v7.1-rc5 24 мая.
CVE-2026-43503 (CVSS 8.8) позволяет локальному пользователю повредить память, защищенную файлами, с помощью клонированного сетевого пакета и получить права root. Патч был включен в основную ветку 21 мая.
Когда ядро копирует сетевой пакет внутри себя, две вспомогательные функции удаляют флаг безопасности, который помечает память пакета как общую с файлом на диске. Именно отсутствие флага и является уязвимостью.
Злоумышленник загружает в память привилегированный исполняемый файл, например /usr/bin/su, передаёт страницы памяти в сетевой пакет и заставляет ядро клонировать его.
Он проходит через туннель IPsec, контролируемый злоумышленником, а этап расшифровки перезаписывает проверки входа в систему исполняемого файла байтами, выбранными злоумышленником. При следующем запуске команды su происходит передача прав root.
Файл на диске никогда не изменяется. Изменение сохраняется только в копии, хранящейся в памяти ядра, поэтому инструменты проверки целостности файлов его не обнаруживают, атака не оставляет следов аудита, а перезагрузка восстанавливает исходный бинарный файл.
Для эксплуатации уязвимости требуется CAP_NET_ADMIN для настройки туннеля IPsec в локальной области. В Debian и Fedora непривилегированные пространства имен пользователей включены по умолчанию, поэтому локальный пользователь может получить эту возможность внутри нового пространства имен.
В Ubuntu 24.04 и более поздних версиях создание пространств имен через AppArmor ограничено, что блокирует стандартный путь эксплойта. Кэш страниц используется совместно на уровне хоста, поэтому изменения, внесенные внутри пространства имен, влияют на каждый процесс на машине.
К уязвимым системам относятся многопользовательские серверы, средства запуска CI, хосты контейнеров и кластеры Kubernetes, где недоверенные пользователи могут создавать пространства имен.
JFrog подтвердила наличие уязвимости в системах Debian, Ubuntu и Fedora с конфигурациями пространств имен по умолчанию.
Это уже четвёртый случай повышения привилегий за последнее время с тем же самым сбоем: данные в памяти, хранящиеся в файлах, обрабатываются как пакетные данные, а затем сетевая операция на месте выполняет запись туда, куда следовало бы скопировать. Ранее:
- Copy Fail (CVE-2026-31431) впервые появилась в конце апреля, используя модуль algif_aead для записи четырехбайтового файла в кэш страниц.
- DirtyFrag (CVE-2026-43284 и CVE-2026-43500) появилась 7 мая, объединяя пути IPsec ESP и RxRPC для выполнения полной операции записи.
- Fragnesia (CVE-2026-46300) появилась 13 мая и обошла патч DirtyFrag благодаря ошибке сброса флага в функции skb_try_coalesce().
Каждое исправление закрывало один путь выполнения кода, оставляя другие открытыми. DirtyClone сосредоточена на функции __pskb_copy_fclone(), при этом также затронута функция skb_shift(), более широкое исправление CVE охватывает дополнительные вспомогательные функции для передачи фрагментов, где тот же флаг может быть потерян.
Основная проблема заключается не в одной некорректной вспомогательной функции. Это проблема контракта: каждый участок кода, перемещающий фрагменты skb, должен каждый раз сохранять бит разделяемого фрагмента.
В ядре реализована технология сетевого взаимодействия с нулевым копированием, позволяющая использовать память, хранящуюся в файлах, в качестве данных пакетов, а один-единственный потерянный флаг в любой точке цепочки превращает оптимизацию производительности в примитив записи. Каждый вариант находил путь, где контракт не соблюдался.
Хёнву Ким 16 мая представил более масштабный патч, охватывающий несколько оставшихся вспомогательных функций для передачи фрагментов.
Объединенное исправление было реализовано 21 мая (коммит 48f6a5356a33), 23 мая ему был присвоен CVE-2026-43503, и включен в Linux v7.1-rc5 24 мая.
Ubuntu
CVE-2026-43503 | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
Исследователи F6 подвели итоги первого исследования актуальных схем мошенничества в цифровых каналах - совокупный ущерб от него за последние полтора года составил более 600 млрд рублей.
В исследователи использовались данные 10 ведущих российских банков за 2025-2026 гг., а также статистику ЦБ и МВД России,
Доля инцидентов, связанных с использованием социнженерии для хищения денег клиентов финансовых организаций, на протяжении последних полутора лет остаётся примерно на одном уровне и составляет более 94%.
Ещё 4% инцидентов приходится на фишинговые атаки, когда злоумышленники, используя мошеннические сайты либо вредоносные приложения, похищают у пользователей данные банковских карт, а затем пользуются ими для кражи денег с банковских счетов.
Доля атак с использованием вредоносного ПО за 2025 год увеличилась вдвое (с 0,1% до 0,2%) и продолжает расти.
Около 1,5 млн Android-устройств российских пользователей скомпрометированы различными вредоносными приложениями, причём 85% заражений приходится на трояны Mamont, SpyNote и его различные версии.
Анализ показывает, что пока что атакам подвергается малая часть заражённых устройств, однако каждая такая потенциальная угроза может стать реальной в любой момент.
По итогам исследования аналитики выкатили топ самых актуальных схем финансового мошенничества, куда вошли чаще всего детектируюмые решениями F6 и/или наносящие пользователям наибольший финансовый ущерб:
- «Прямой» NFCGate. При установке такого приложения под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют обналичить деньги со счёта в банкомате.
- «Обратный» NFCGate. При использовании «прямого» NFCGate сообщники преступников, дропы, приходят к банкомату, чтобы снять деньги жертвы. «Обратная» версия позволяет пропустить этот шаг: мошенники под разными предлогами направляют пользователя к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле - преступникам.
В мае 2026 года на обе схемы с использованием вредоносных версий легитимного приложения NFCGate пришлось 5% от всех впервые выявленных скомпрометированных Android-устройств.
- Mamont. Этот троян удалённого доступа - одна из главных угроз для клиентов ведущих российских банков. В мае 2026 года доля впервые скомпрометированных Mamont Android-устройств составила около 40%.
Функционал Mamont позволяет злоумышленникам получить доступ к информации, которая позволяет им выполнять от имени пользователя незаконные финансовые операции - входить в личные кабинеты банков, кредитных и микрофинансовых организаций, получать кредиты и займы, совершать незаконные денежные переводы.
- Falcon. Android-троян образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в более чем 30 популярных сервисах, включая банковские и другие приложения.
Отличительная особенность - может удалять антивирусы с устройства сразу после собственной установки. В мае 2026 года на долю Falcon пришлось более 2% впервые выявленных скомпрометированных Android-устройств.
- LunaSpy. Шпионское вредоносное ПО для Android, выполняет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных. Может маскироваться под антивирусные ПО. Доля такого ВПО на скомпрометированных Android-устройствах составила около 2%.
- Ещё 45% среди впервые выявленных в мае 2026 года скомпрометированных Android-устройств приходится на долю шпионского ПО SpyNote и его разновидностей. Он проникает на мобильные устройства под видом легитимных приложений и позволяет злоумышленникам похищать конфиденциальные данные пользователя, включая платёжную информацию.
Кроме того, в число самых опасных F6 включила схему финансового мошенничества с использованием DarkWatchman, которую используют в атаках на бухгалтеров компаний в России, Беларуси, Казахстане и Узбекистане.
С полной версией исследования можно ознакомиться здесь.
В исследователи использовались данные 10 ведущих российских банков за 2025-2026 гг., а также статистику ЦБ и МВД России,
Доля инцидентов, связанных с использованием социнженерии для хищения денег клиентов финансовых организаций, на протяжении последних полутора лет остаётся примерно на одном уровне и составляет более 94%.
Ещё 4% инцидентов приходится на фишинговые атаки, когда злоумышленники, используя мошеннические сайты либо вредоносные приложения, похищают у пользователей данные банковских карт, а затем пользуются ими для кражи денег с банковских счетов.
Доля атак с использованием вредоносного ПО за 2025 год увеличилась вдвое (с 0,1% до 0,2%) и продолжает расти.
Около 1,5 млн Android-устройств российских пользователей скомпрометированы различными вредоносными приложениями, причём 85% заражений приходится на трояны Mamont, SpyNote и его различные версии.
Анализ показывает, что пока что атакам подвергается малая часть заражённых устройств, однако каждая такая потенциальная угроза может стать реальной в любой момент.
По итогам исследования аналитики выкатили топ самых актуальных схем финансового мошенничества, куда вошли чаще всего детектируюмые решениями F6 и/или наносящие пользователям наибольший финансовый ущерб:
- «Прямой» NFCGate. При установке такого приложения под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют обналичить деньги со счёта в банкомате.
- «Обратный» NFCGate. При использовании «прямого» NFCGate сообщники преступников, дропы, приходят к банкомату, чтобы снять деньги жертвы. «Обратная» версия позволяет пропустить этот шаг: мошенники под разными предлогами направляют пользователя к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле - преступникам.
В мае 2026 года на обе схемы с использованием вредоносных версий легитимного приложения NFCGate пришлось 5% от всех впервые выявленных скомпрометированных Android-устройств.
- Mamont. Этот троян удалённого доступа - одна из главных угроз для клиентов ведущих российских банков. В мае 2026 года доля впервые скомпрометированных Mamont Android-устройств составила около 40%.
Функционал Mamont позволяет злоумышленникам получить доступ к информации, которая позволяет им выполнять от имени пользователя незаконные финансовые операции - входить в личные кабинеты банков, кредитных и микрофинансовых организаций, получать кредиты и займы, совершать незаконные денежные переводы.
- Falcon. Android-троян образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в более чем 30 популярных сервисах, включая банковские и другие приложения.
Отличительная особенность - может удалять антивирусы с устройства сразу после собственной установки. В мае 2026 года на долю Falcon пришлось более 2% впервые выявленных скомпрометированных Android-устройств.
- LunaSpy. Шпионское вредоносное ПО для Android, выполняет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных. Может маскироваться под антивирусные ПО. Доля такого ВПО на скомпрометированных Android-устройствах составила около 2%.
- Ещё 45% среди впервые выявленных в мае 2026 года скомпрометированных Android-устройств приходится на долю шпионского ПО SpyNote и его разновидностей. Он проникает на мобильные устройства под видом легитимных приложений и позволяет злоумышленникам похищать конфиденциальные данные пользователя, включая платёжную информацию.
Кроме того, в число самых опасных F6 включила схему финансового мошенничества с использованием DarkWatchman, которую используют в атаках на бухгалтеров компаний в России, Беларуси, Казахстане и Узбекистане.
С полной версией исследования можно ознакомиться здесь.
Исследователи Лаборатории Касперского в своем новом отчете рассказывают, как одна уязвимость в софте Schneider Electric может стать угрозой для промышленного предприятия, как обнаружить ее на рабочих станциях и минимизировать риски.
CVE-2024-2658 была обнаружена в 2024 году в компоненте FlexNet Publisher, используемом в Schneider Electric Floating License Manager.
FlexNet Publisher - это сторонний продукт от компании Flexera Software. Разработчики платформы Schneider Electric FLM и многих других решений встраивают FlexNet Publisher в виде библиотеки для управления лицензированием своих продуктов.
Программное обеспечение применяется для управления лицензиями в продуктах Schneider Electric, которые служат для комплексной автоматизации производства: от программирования промышленных логических контроллеров до создания единых диспетчерских пультов.
Проблема относится к классу CWE-427: Uncontrolled Search Path Element и возникает из-за того, что системное приложение обращается к конфигурационному файлу OpenSSL по жестко заданному в коде пути, не накладывая на него ограничения доступа.
Эта особенность позволяет локальному пользователю без прав администратора подготовить собственный конфигурационный файл OpenSSL и добиться загрузки сторонней DLL в системный процесс lmadmin.exe - службы, отвечающей за работу лицензирования.
В результате код злоумышленника может быть выполнен уже в контексте службы, а не обычного пользователя. При определенных условиях это открывает путь к дальнейшему повышению привилегий до уровня NT AUTHORITY\SYSTEM.
В таком случае злоумышленник может получить полный доступ к локальным конфигурационным файлам, служебным данным и секретам, доступным на данном хосте.
Возможность дальнейшего перемещения на другие узлы промышленной сети, например на рабочие станции инженеров, зависит от сетевой связности, наличия сохраненных учетных данных и сетевой архитектуры.
Кроме того, атакующий может нарушить работу сервера лицензий, что напрямую влияет на доступность инженерного ПО и операций сопровождения.
Технические подробности того, почему жестко заданный путь к openssl.cnf внутри приложения оказался опасным, как выглядит цепочка эксплуатации уязвимости и какие меры необходимо предпринять - в отчете.
CVE-2024-2658 была обнаружена в 2024 году в компоненте FlexNet Publisher, используемом в Schneider Electric Floating License Manager.
FlexNet Publisher - это сторонний продукт от компании Flexera Software. Разработчики платформы Schneider Electric FLM и многих других решений встраивают FlexNet Publisher в виде библиотеки для управления лицензированием своих продуктов.
Программное обеспечение применяется для управления лицензиями в продуктах Schneider Electric, которые служат для комплексной автоматизации производства: от программирования промышленных логических контроллеров до создания единых диспетчерских пультов.
Проблема относится к классу CWE-427: Uncontrolled Search Path Element и возникает из-за того, что системное приложение обращается к конфигурационному файлу OpenSSL по жестко заданному в коде пути, не накладывая на него ограничения доступа.
Эта особенность позволяет локальному пользователю без прав администратора подготовить собственный конфигурационный файл OpenSSL и добиться загрузки сторонней DLL в системный процесс lmadmin.exe - службы, отвечающей за работу лицензирования.
В результате код злоумышленника может быть выполнен уже в контексте службы, а не обычного пользователя. При определенных условиях это открывает путь к дальнейшему повышению привилегий до уровня NT AUTHORITY\SYSTEM.
В таком случае злоумышленник может получить полный доступ к локальным конфигурационным файлам, служебным данным и секретам, доступным на данном хосте.
Возможность дальнейшего перемещения на другие узлы промышленной сети, например на рабочие станции инженеров, зависит от сетевой связности, наличия сохраненных учетных данных и сетевой архитектуры.
Кроме того, атакующий может нарушить работу сервера лицензий, что напрямую влияет на доступность инженерного ПО и операций сопровождения.
Технические подробности того, почему жестко заданный путь к openssl.cnf внутри приложения оказался опасным, как выглядит цепочка эксплуатации уязвимости и какие меры необходимо предпринять - в отчете.
Продолжаем следить и знакомить с наиболее трендовыми уязвимостями и угрозами:
1. Злоумышленники успешно использовали уязвимость в PTC Windchill, что стало первым подтвержденным случаем злоупотребления популярной платформой управления жизненным циклом продукта (PLM) в реальных условиях.
CVE-2026-12569 затрагивает продукты Windchill и FlexPLM компании PTC. Некорректная проверка входных данных может быть использована удаленным неаутентифицированным злоумышленником для выполнения произвольного кода с помощью специально сформированных запросов.
Это первая в истории уязвимость продукта PTC, добавленная в каталог KEV CISA, и, судя по всему, нет никаких публичных сообщений об использовании других уязвимостей.
В марте немецкая полиция физически предупреждала компании об опасности, создаваемой другой уязвимостью PTC Windchill, CVE-2026-4681.
Для CVE-2026-12569 PTC начала выпускать исправления и меры по ее устранению 17 июня. На следующий день производитель опубликовал (IoC, предупредив, что злоумышленники используют ее для развертывания постоянных веб-оболочек JSP, позволяющих удаленно выполнять команды и осуществлять утечку данных.
Незадолго до подтверждения факта эксплуатации уязвимости, сообщалось, что немецкая полиция начала оповещать организации о последней уязвимости PTC после того, как узнала о готовящихся атаках.
2. Хакеры используют уязвимость в критически важном оборудовании, установленном в промышленных сетях. Активная кампания нацелена на преобразователи последовательного интерфейса в Ethernet от Lantronix. Эти устройства обычно используются для передачи команд на оборудование ICS по сетевому соединению.
3. В последних обновлениях GitLab CE/EE устранено 13 уязвимостей, в том числе три серьезных дефекта. Наиболее серьёзной является CVE-2026-10086, представляющая собой XSS в панели аналитики GitLab EE, обусловленную некорректной проверкой входных данных.
Уязвимость могла позволить авторизованному пользователю с правами разработчика выполнять произвольный клиентский код в контексте сессий других пользователей.
Следующая CVE-2026-10712 - XSS в обработчике ресурсов среды разработки Web IDE, которая могла позволить неавторизованным злоумышленникам выполнять код JavaScript в браузерных сессиях пользователей.
Третья CVE-2026-12053 описывается как недостаточная фильтрация выходных данных в Duo Workflows, которая могла позволить пользователям получить доступ к конфиденциальной информации, уже внесенной в проект.
4. Киберподполье нацелилось на три уязвимости в устройствах Ubiquiti, работающих под управлением ОС UniFi. Ошибки позволяют злоумышленникам вносить несанкционированные изменения и захватывать контроль над устройствами.
UniFi используется в маршрутизаторах, коммутаторах, расширителях Wi-Fi, сетевых хранилищах (NAS) и других сетевых устройствах Ubiquiti. Удивительно, но эти три ошибки являются первыми уязвимостями UniFi OS, добавленными в базу данных KEV CISA.
5. Microsoft предоставит пользователям Windows 10 дополнительный год бесплатных обновлений безопасности. Программа Windows 10 ESU продлена до 12 октября 2027 года. Изначально она должна была завершиться в октябре этого года.
6. Исследователь Итон Звеаре обнаружил уязвимости в двух разных веб-приложениях Johnson&Johnson, которые привели к утечке данных о сотрудниках и стажерах.
7. Исследователи анонсировали новые атаки на цепочки поставок: Aikido Security, Microsoft, SafeDep, Socket Security, Step Security, Step Security.
8. Trend Micro сообщает о масштабной кампании по эксплуатации уязвимостей, направленную на серверы Langflow AI с использованием криптомайнера.
9. Злоумышленники начали взламывать сайты Ghost CMS в мае, используя CVE-2026-26980, но в этом месяце была обнаружена новая кампания, которая теперь использует приманки ClickFix на взломанных сайтах.
10. Breached[.]hn, один из нескольких клонов оригинального BreachForums, запущенных в этом году, внезапно закрылся на этой неделе, заявив, что «ShinyHunters, вероятно, убьют нас даже после этого».
1. Злоумышленники успешно использовали уязвимость в PTC Windchill, что стало первым подтвержденным случаем злоупотребления популярной платформой управления жизненным циклом продукта (PLM) в реальных условиях.
CVE-2026-12569 затрагивает продукты Windchill и FlexPLM компании PTC. Некорректная проверка входных данных может быть использована удаленным неаутентифицированным злоумышленником для выполнения произвольного кода с помощью специально сформированных запросов.
Это первая в истории уязвимость продукта PTC, добавленная в каталог KEV CISA, и, судя по всему, нет никаких публичных сообщений об использовании других уязвимостей.
В марте немецкая полиция физически предупреждала компании об опасности, создаваемой другой уязвимостью PTC Windchill, CVE-2026-4681.
Для CVE-2026-12569 PTC начала выпускать исправления и меры по ее устранению 17 июня. На следующий день производитель опубликовал (IoC, предупредив, что злоумышленники используют ее для развертывания постоянных веб-оболочек JSP, позволяющих удаленно выполнять команды и осуществлять утечку данных.
Незадолго до подтверждения факта эксплуатации уязвимости, сообщалось, что немецкая полиция начала оповещать организации о последней уязвимости PTC после того, как узнала о готовящихся атаках.
2. Хакеры используют уязвимость в критически важном оборудовании, установленном в промышленных сетях. Активная кампания нацелена на преобразователи последовательного интерфейса в Ethernet от Lantronix. Эти устройства обычно используются для передачи команд на оборудование ICS по сетевому соединению.
3. В последних обновлениях GitLab CE/EE устранено 13 уязвимостей, в том числе три серьезных дефекта. Наиболее серьёзной является CVE-2026-10086, представляющая собой XSS в панели аналитики GitLab EE, обусловленную некорректной проверкой входных данных.
Уязвимость могла позволить авторизованному пользователю с правами разработчика выполнять произвольный клиентский код в контексте сессий других пользователей.
Следующая CVE-2026-10712 - XSS в обработчике ресурсов среды разработки Web IDE, которая могла позволить неавторизованным злоумышленникам выполнять код JavaScript в браузерных сессиях пользователей.
Третья CVE-2026-12053 описывается как недостаточная фильтрация выходных данных в Duo Workflows, которая могла позволить пользователям получить доступ к конфиденциальной информации, уже внесенной в проект.
4. Киберподполье нацелилось на три уязвимости в устройствах Ubiquiti, работающих под управлением ОС UniFi. Ошибки позволяют злоумышленникам вносить несанкционированные изменения и захватывать контроль над устройствами.
UniFi используется в маршрутизаторах, коммутаторах, расширителях Wi-Fi, сетевых хранилищах (NAS) и других сетевых устройствах Ubiquiti. Удивительно, но эти три ошибки являются первыми уязвимостями UniFi OS, добавленными в базу данных KEV CISA.
5. Microsoft предоставит пользователям Windows 10 дополнительный год бесплатных обновлений безопасности. Программа Windows 10 ESU продлена до 12 октября 2027 года. Изначально она должна была завершиться в октябре этого года.
6. Исследователь Итон Звеаре обнаружил уязвимости в двух разных веб-приложениях Johnson&Johnson, которые привели к утечке данных о сотрудниках и стажерах.
7. Исследователи анонсировали новые атаки на цепочки поставок: Aikido Security, Microsoft, SafeDep, Socket Security, Step Security, Step Security.
8. Trend Micro сообщает о масштабной кампании по эксплуатации уязвимостей, направленную на серверы Langflow AI с использованием криптомайнера.
9. Злоумышленники начали взламывать сайты Ghost CMS в мае, используя CVE-2026-26980, но в этом месяце была обнаружена новая кампания, которая теперь использует приманки ClickFix на взломанных сайтах.
10. Breached[.]hn, один из нескольких клонов оригинального BreachForums, запущенных в этом году, внезапно закрылся на этой неделе, заявив, что «ShinyHunters, вероятно, убьют нас даже после этого».
Ptc
Customer Updates: Remote Code Execution Vulnerability in PTC’s Windchill and FlexPLM Solutions | June 2026 | PTC
PTC has identified a critical vulnerability in Windchill and FlexPLM that requires immediate action. Customers should review the eSupport article for the full list of affected Windchill and FlexPLM versions and the remediation steps customers should take…