НеКасперский

Латинская драма На BreachForums выложили базу Universidad Peruana de Ciencias Aplicadas. Это одно из самых престижных учебных заведений Перу, но статус не уберег его от серьёзного взлома. В общий доступ попало свыше 25 ГБ с именами, контактами и фотографиями. Теперь любой может получить целый спектр личных сведений под спам и фишинг. Руководство учреждения, разумеется, никаких действий не предприняло. Они в целом проигнорировали факт утечки. Ни подтверждений, ни опровержений от них не последовало. НеКасперский

ДрипСик Нейросеть, которая ещё вчера крутилась во всех лентах, вдруг выдала сюрприз. Исследователи из Wiz наскочили на открытую ClickHouse-базу у DeepSeek, доступную без пароля и логина. Внутри – секретные ключи, логи чатов и прочие внутренние материалы, которые в идеале должны сидеть за семью замками. После новости DeepSeek оперативно закрыли базу, а команда безопасности уже занялась расследованием. Но кому хочется, чтобы личная переписка и конфиденциальные данные оказались на всеобщее обозрение? НеКасперский

Яблочный штрудель Исследователи из Технологического института Джорджии и Рурского университета опубликовали детали сразу двух новых атак — FLOP и SLAP. Их целью являются спекулятивные механизмы современных чипов Apple, включая поколения M2/A15 и выше. Атаки используют JavaScript или WebAssembly в браузере и позволяют перехватывать личные данные. Под удар попали макбуки, выпущенные с 2022 года, настольные Маки — с 2023-го и iPhone, вышедшие после 2021 года. Авторы находок сообщают, что неверные прогнозы памяти во время спекулятивного исполнения помогают выйти за границы безопасной области, чтобы прочесть или изменить чужие сведения. Компания уже признала проблему и готовит обновление безопасности. Пока же единственное средство снижения угрозы — отключить JavaScript, но, само собой, многие сайты перестанут работать. Исследователи сообщили о уязвимостях ещё в прошлом году, Apple согласилась с выводами и пообещала патч в ближайших апдейтах. НеКасперский

Масштабный провал От атаки злоумышленников пострадала онлайн-платформа Change Healthcare, занимающаяся обработкой медицинских рецептов в США. Инцидент повлёк за собой серьёзные проблемы в работе крупных аптек и сетей больниц по всей стране, нарушения затронули…

Ведро с дыркой Настройка path-style запросов к S3 через nginx преподносит сюрприз. Если в нормализованном пути обнаружится символ переноса строки — %0A, то правило rewrite может пропустить этот фрагмент и отдать управление чужому бакету. Ведь S3 не воспринимает %0A как нечто незаконное, позволяя загрузить объект с именем foo%0Abar и весёлой XSS-вставкой внутри. Пикантность возрастает, когда в конфиге используется location /static/ с rewrite и proxy_pass без указания пути. Комбинация ../ и %0A оставляет лазейку для эксплуатации. Если объектное хранилище ещё и публичное, злоумышленник легко создаст собственный бакет и внедрит скрипт. НеКасперский

Очепятка В Mastercard при настройке DNS сети своего подрядчика Akamai, из-за чего несколько лет открывали плацдарм для хакеров. Они пропустили одну букву и вместо «akam.net» в одном из серверов написали «akam.ne». С июня 2020-го этот ляп спокойно оставался незамеченным, пока один ИБ специалист не выкупил одноимённый домен Нигер за $300. Он поднял там свой DNS-сервер и обнаружил аномально большой поток запросов из разных стран. Благодаря опечатки злоумышленники могли проворачивать MITM — перехватывать почту, выдавать SSL/TLS-сертификаты и подменять трафик. Ошибка на одном из пяти DNS-серверов Mastercard, но риск немалый. Минимум 20% всех запросов к основным серверам компании могли оказаться в чужих руках. Более того, существует предположение, что домен итак использовался в качестве атак, потому что таковой был зарегистрирован в Нигере с 2015 по 2018. Mastercard хоть и не сразу, но поправила проблему. Всё, что компенсировали исследователю — $300, потраченные на покупку домена. 🙂 НеКасперский

Восстание мертвецов Мы обычно про фишинг не пишем, но в Innostage заметили что-то уж очень уникальное. Сотрудников компании закидали фишинговыми письмами с легитимного домена реальной компании. Если банально прогуглить Торгсервис, то в подлинности убедишься, эти домены размещены на официальном сайте. Вся суть в том, что хоть компания и реальная, но была ликвидирована ещё в начале 2010-х. Её зомби-домен злоумышленники использовали для рассылки RDP-файлов, но почему-то от имени министерства цифрового развития. НеКасперский

Трио Мы уже привыкли слышать новости о том, что Китай следит за гражданами других стран с помощью кибератак. Однако, не всегда для слежки требуются подготовленные хакеры. Иногда хватает примитивных подходов. Власти Филиппин арестовали трёх преступников, подозреваемых в шпионаже на местных объектах КИИ. Двое задержанных оказались местными, один из пособников является гражданином Китая. Под видом разработчиков беспилотного транспорта они помогали КНР наблюдать за действиями сил национальной обороны. Участники этого трио установили на своём автомобиле оборудование для слежки. В течение месяца они разъезжали по Маниле и острову Лусон, чтобы собрать сведения о военных и полицейских лагерях, местных правительственных учреждениях, электростанциях и даже торговых центрах. В результате ареста у них изъяли ИКТ-оборудование, на котором хранились топографические кадры, изображения объектов критически важной инфраструктуры и другие конфиденциальные данные. Причиной инцидента могло стать обострение взаимоотношений Филиппин и КНР на фоне споров из-за стратегического водного пути в Южно-Китайском море. Не исключено, что незаконно полученные данные могут быть использованы в военных целях. Тем не менее представители посольства КНР заявили, что обвинения гражданина Китая в шпионской деятельности на Филиппинах являются беспочвенной спекуляцией. Google Maps отдыхает 😎 НеКасперский

«Базис» и ИСП РАН обнаружили уязвимости в открытом коде для виртуализации Они протестировали open source элементы, применяемых в решениях по виртуализации, в том числе от самого Базиса. В результате партнеры нашли почти две сотни дефектов в коде, некоторые из которых можно охарактеризовать как уязвимости. Исследование проходило при помощи фаззинг-тестирования – за счет него выявлено 5 дефектов в Apache Directory LDAP API и 8 в библиотеке libvirt, которой уделили особое внимание libvirt. Библиотека предоставляет API для управления виртуальными машинами, поэтому сбой в ее работе может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации. Большая часть дефектов приводили к переполнению буфера. Специальное разработанные фаззинг-тесты для наиболее критичных компонентов открытого ПО доступны в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО. Применили и статический анализ. С его помощью выявлены еще 178 дефектов в коде, после чего создано 86 исправлений, преимущественно для популярного брокера сообщений ActiveMQ Artemis и сервера каталогов Apache Directory. Если исправления примут в основные ветки и учтут при следующих обновляениях, то OS-продукты, используемые Базисом, станут безопаснее и качественнее. Хочется надеяться, что подобные усилия станут распространенной практикой в российской ИТ-индустрии. НеКасперский

Знали заранее По всей видимости, как-то противостоять фрилансерам из Северной Кореи. Безопасники из Флориды наняли на работу северокорейского хакера, который в первый же рабочий день накатил на корпоративный Mac малварь со своего RaspberryPI. Очевидно…

Виновны Пророссийские украинские хакеры из Берегини вновь взломали компьютеры сотрудников ТЦК Одесской области, наживающихся на чужом горе. Участники группировки слили информацию о структуре и штатной численности по военкоматам, а также начали публиковать личные данные «героев» на своём сайте. В числе скомпрометированных сведений: • ФИО • Возраст • Номер телефона • Адрес • Место рождения • Водительское удостоверение • Частичные паспортные данные • Должность • Ссылки на соцсети По словам Берегини, начальник отдела персонала одесского областного ТЦК вместе со своими подчинёнными использовал мобильные телефоны и банковские карты погибших военных, чтобы провести ряд махинаций и украсть денежные средства. В качестве доказательств хакеры опубликовали содержимое компьютеров и скриншоты переписок. На беде счастье не построишь 🤷🏻‍♂️ НеКасперский

Ну это пятёрка Школьник нашёл брешь, угрожающую миллиардам людей по всему миру. Парень под ником hackermondev обнаружил уязвимость в Cloudflare, позволяющую злоумышленникам отследить геолокацию пользователей X, Signal и запрещённого в РФ Discord. Система доставки контента CDN, эксплуатирующая распределённую сеть серверов для быстрой загрузки данных, сохраняет кеш на ближайших к пользователям серверах. Школьник заметил, что Cloudflare располагается в 330 городах мира. Он отправлял юзерам изображение, перехватывал URL файла с помощью Burp Suite и запускал собственный инструмент Cloudflare teleport, отправляющий запросы во все центры обработки данных компании, чтобы узнать, куда был направлен кэш. Такой метод позволил определить рядом с каким дата-центром находится потенциальная жертва. Причём пользователю даже не обязательно открывать полученное сообщение, хватит и push-уведомления. Cloudflare знали о проблеме, но устранить решили только тогда, когда на это указал школьник. НеКасперский