Apple обнаружила высокосерьезную уязвимость OpenSSL, открывающую возможности для MitM-атак.

Разработчики OpenSSL объявили о выпуске исправлений для первой за два года серьезной уязвимости, обнаруженной в библиотеке. 

CVE-2024-12797 была обнаружена и раскрыта в середине декабря 2024 года.

Появилась c OpenSSL 3.2 с реализацией поддержки RPK.

Проблема связана с клиентами, использующими необработанные открытые ключи RFC7250 (RPK) для аутентификации сервера.

Поскольку при установке режима проверки SSL_VERIFY_PEER рукопожатия не прерываются, как ожидалось, затронутые клиенты могут не заметить, что сервер не прошел аутентификацию. 

Если клиент не идентифицирует сбой аутентификации, возможны атаки типа MitM на соединениях TLS и DTLS, использующие RPK.

RPK отключены по умолчанию как в клиентах, так и в серверах TLS.

Проблема возникает только тогда, когда клиенты TLS явно включают использование RPK сервером, а сервер, в свою очередь, включает отправку RPK вместо цепочки сертификатов X.509.

Затронутыми клиентами являются те, которые затем полагаются на то, что рукопожатие не будет выполнено, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, устанавливая режим проверки на SSL_VERIFY_PEER.

Клиенты, которые включают необработанные открытые ключи на стороне сервера, по-прежнему могут обнаружить, что проверка необработанного открытого ключа не удалась, вызвав SSL_get_verify_result(), а те, кто это делает и предпринимает соответствующие действия, не пострадают.

OpenSSL 3.4, 3.3 и 3.2 уязвимы. CVE-2024-12797 была исправлена с выпуском 3.4.1, 3.3.2 и 3.2.4.

Microsoft выкатила свой традиционный PatchTuesday за февраль 2025 года с исправлениями 55 уязвимостей, в том числе 4 0-day, две из которых активно эксплуатируются в атаках.

В целом закрыто также три критические RCE-уязвимости, а в общем: 19 - EoP, 2 - обхода функций безопасности, 22 - RCE, 1 - раскрытия информации, 9 - DoS и 3 - спуфинга.

Кроме того, исправлена критическая EoP-уязвимость Microsoft Dynamics 365 Sales и 10 уязвимостей Microsoft Edge.

Среди двух активно эксплуатируемых 0-day, закрытых в обновлениях, обе связаны с EoP:

- CVE-2025-21391 затрагивает хранилище Windows и позволяет реализовать удаление файлов.

Но злоумышленник сможет удалить только определенные файлы в системе и вызвать недоступность сервиса, не получая доступа к какой-либо конфиденциальной информации.

Информация о том, как эта уязвимость была использована в атаках и кто ее раскрыл, не разглашается.

- CVE-2025-21418 связана с драйвером вспомогательной функции Windows для WinSock и позволяет злоумышленникам получить привилегии SYSTEM.

Данные по ее эксплуатации также не разглашаются, а раскрыта она была анонимно.

Две другие публично раскрытые 0-day: CVE-2025-21194 и CVE-2025-21377.

Первая описывается как обход функции безопасности Microsoft Surface и касается виртуальных машин на хост-машине с унифицированным расширяемым интерфейсом микропрограммного обеспечения, позволяя обходить UEFI и нарушать защищенное ядро.

Проблему обнаружили Франциско Фалькон и Иван Арсе из Quarkslab. Microsoft не разглашает подробностей об этой уязвимости, но, вероятно, она связана с PixieFail, о которых исследователи сообщили в прошлом месяце. 

Напомним, что PixieFail - это набор из девяти уязвимостей, которые влияют на стек сетевых протоколов IPv6 EDK II компании Tianocore, который используется в Microsoft Surface и гипервизорных продуктах компании.

Вторая, CVE-2025-21377 - уязвимость раскрытия хэша NTLM пользователя Windows, позволяющая удаленному злоумышленнику потенциально войти в систему от имени этого пользователя.

Минимальное взаимодействие пользователя с вредоносным файлом, включая выбор (один щелчок), проверку (щелчок правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска файла, может привести к возникновению этой уязвимости.

Microsoft также не поделилась подробностями об этой уязвимости, но, по всей видимости, реализуется как и другие уязвимости раскрытия хэша NTLM.

Ошибку обнаружили Оуэн Чунг, Иван Шенг и Винсент Яу из Cathay Pacific, Йорик Костер из Securify BV и Блаз Сатлер из ACROS Security с 0patch.

Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.

Progress Software устранила несколько серьезных уязвимостей безопасности в своем ПО LoadMaster, которые могли быть использованы злоумышленниками для выполнения произвольных системных команд или загрузки любого файла из системы.

Kemp LoadMaster - это высокопроизводительный контроллер приложений (ADC) и балансировщик нагрузки, который обеспечивает доступность, масштабируемость, производительность и безопасность для критически важных для бизнеса приложений и веб-сайтов.

Среди исправленных недостатков:

- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133 и CVE-2024-56135 (CVSS: 8,4) - набор уязвимостей, связанных с неправильной проверкой входных данных, которые позволяют удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, выполнять произвольные системные команды с помощью тщательно созданного HTTP-запроса.

- CVE-2024-56134 (CVSS: 8,4) - уязвимость неправильной проверки входных данных, которая позволяет удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, загружать содержимое любого файла в системе с помощью тщательно сформированного HTTP-запроса.

Уязвимости затрагивают следующие версии ПО LoadMaster:

- от 7.2.55.0 до 7.2.60.1 (включительно, исправлено в 7.2.61.0 (GA),
- от 7.2.49.0 до 7.2.54.12 (включительно, исправлено в 7.2.54.13 (LTSF),
- 7.2.48.12 и более ранние (обновление до LTSF или GA),
- Multi-Tenant LoadMaster 7.1.35.12 и более ранние (исправлено в 7.1.35.13 (GA).

Progress Software отметила, что у нее нет доказательств того, что какие-либо из вышеупомянутых уязвимостей были использованы в реальных условиях.

Тем не менее, учитывая на счету компании уже были уязвимости, которые использовались бандами вымогателей в резонансных атаках, сообщения о задействовании целой линейки CVE определенно следует ожидать в перспективе.

Но будем посмотреть.

Прославленная «особой технологией» разработки ПО Ivanti выпустила обновления, устраняющие многочисленные уязвимости в Connect Secure (ICS), Policy Secure (IPS) и Cloud Services Application (CSA), которые могут быть использованы для RCE.

Все исправленные ошибки с CVSS: 9,1 и отслеживаются как:

- CVE-2024-38657: внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.

- CVE-2025-22467: переполнение буфера в стеке в Ivanti Connect Secure до версии 22.7R2.6 позволяет удаленному аутентифицированному злоумышленнику выполнить удаленный код.

- CVE-2024-10644: внедрение кода в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить RCE.

- CVE-2024-47908: внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить удаленное выполнение кода.

Недостатки были устранены в следующих версиях: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 и Ivanti CSA 5.0.5.

Компания традиционно заявляет, что не знает о каких-либо сообщениях об эксплуатации уязвимостей в реальных условиях.

Но признает, что некоторые ее периферийные продукты подвергались атакам со стороны продвинутых злоумышленников. Компания заверяет, что прилагает все усилия по улучшению своего ПО и внедрению принципов безопасности.

В общем, 50 оттенков Ivanti. И все коричневые.

Fortinet пересмотрела свои рекомендации по CVE-2024-55591, предупреждая о еще одной уязвимости, отлеживаемой как как CVE-2025-24472 (CVSS: 8,1).

Она может привести к обходу аутентификации на устройствах FortiOS и FortiProxy с помощью специально созданного запроса прокси-сервера CSF, позволяя удаленным злоумышленникам получать привилегии суперадминистратора.

Вновь раскрытая проблема затрагивает FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.

Компания выразила признательность исследователям watchTowr Labs за обнаружение и сообщение об уязвимости, которую в сообществе уже успели назначить новой 0-day.

Более того, в обновленном сообщении указано, что обе уязвимости использовались при атаках, однако Fortinet утверждает, что в реальности эксплуатировалась только CVE-2024-55591 в FortiOS и FortiProxy для взлома межсетевых экранов и корпоративных сетей.

Но она уже была исправлена вместе с предыдущей CVE-2024-55591 в FortiOS 7.0.17 или выше и FortiProxy 7.0.20/7.2.13 или выше, что означает, что никаких действий со стороны клиента не требуется, если исправления для последней уже были применены.

Исследователи Wiz обнаружили новый вариант обхода уже исправленной уязвимости в NVIDIA Container Toolkit, который можно использовать для выхода за пределы изоляции контейнера и получения полного доступа к базовому хосту.

Новая уязвимость отслеживается как CVE-2025-23359 и имеет оценку CVSS: 8.3.

Она затрагивает NVIDIA Container Toolkit (все версии до 1.17.3 включительно, исправлено в 1.17.4) и NVIDIA GPU Operator (все версии до 24.9.1 включительно, исправлено в 24.9.2).

В компании поясняют, что NVIDIA Container Toolkit для Linux содержит уязвимость TOCTOU (Time-of-Check Time-of-Use) при использовании с конфигурацией по умолчанию, когда созданный образ контейнера может получить доступ к файловой системе хоста.

Успешная эксплуатация этой уязвимости может привести к RCE, DoS, EoP, раскрытию информации и подделке данных.

Исследователи Wiz поделились техническими подробностями уязвимости, идентифицировав ее как обход другой уязвимости, отслеживаемой как CVE-2024-0132 с оценкой CVSS: 9,0, которая была устранена NVIDIA в сентябре 2024 года.

Вкратце, уязвимость позволяет злоумышленникам монтировать корневую файловую систему хоста в контейнер, предоставляя им неограниченный доступ ко всем файлам.

Более того, этот доступ может быть использован для запуска привилегированных контейнеров и достижения полного взлома хоста через сокет Unix во время выполнения.

Анализ исходного кода инструментария контейнера показал, что пути к файлам, используемые во время операций монтирования, можно изменять с помощью символической ссылки добиваясь монтирования извне контейнера (т.е. из корневого каталога) в путь внутри «/usr/lib64».

Хотя доступ к файловой системе хоста, предоставляемый при выходе из контейнера, доступен только для чтения, это ограничение можно обойти, взаимодействуя с сокетами Unix для создания новых привилегированных контейнеров и получения неограниченного доступа к файловой системе.

Как отмечают исследователи, этот повышенный уровень доступа также позволил отслеживать сетевой трафик, отлаживать активные процессы и выполнять ряд других операций на уровне хоста.

Помимо обновления до последней версии, пользователям NVIDIA Container Toolkit рекомендуется не отключать флаг «--no-cntlibs» в производственных средах.

На горизонте нарисовалась новая банда вымогателей под названием Sarcoma, которая не так давно препарировала производителя печатных плат и носителей интегральных схем Unimicron на Тайване.

Компания является одним из крупнейших производителей печатных плат в мире, имеет заводы и сервисные центры на Тайване, в Китае, Германии и Японии.

Ее продукция широко используется в мониторах LDC, компьютерах, периферийных устройствах и смартфонах.

Хакеры выкатили на своем DLS образцы файлов, предположительно украденных из систем компании, угрожая опубликовать всю информацию, включающую 377 ГБ SQL-файлов и документов, на следующей неделе, если не получат требуемый выкуп.

В свою очередь, Unimicron сообщила в бюллетене на портале Тайваньской фондовой биржи (TWSE), что 1 февраля ее работа была нарушена в результате ransomware-атаки.

Инцидент произошел 30 января и затронул Unimicron Technology (Shenzhen) Corp., ее дочернюю компанию в Китае.

Компания заявила, что ущерб от атаки локализован, а к расследованию привлечена команда внешних киберэкспертов.

Кроме того, Unimicron официально не подтвердила утечку данных.

Тем не менее, представленные Sarcoma на DLS образцы все же похожи на подлинные. От комментариев в компании по этому поводу отказались.

Что же касается ответственных исполнителей, то известно, что Sarcoma приступила к первым атакам в октябре 2024 года и быстро превратилась в одну из самых активных и эффективных группировок в сфере вымогательства, спустя месяц число жертв достигло 36 человек.

В ноябре 2024 года хакеров заметили в CYFIRMA, которая выступила с предупреждением относительно распространения Sarcoma, которая становится серьезной угрозой в виду агрессивной тактики и растущего числа жертв.

Затем в декабре того же года уже компания Dragos включила Sarcoma в число наиболее важных новых угроз для промышленных организаций по всему миру.

Чуть позже с отчетом в отношении Sarcoma выкатилась RedPiranha, поясняя, что операторы RaaS используют фишинговые письма и эксплуатацию n-day уязвимостей для получения первоначального доступа, а также реализуют атаки на цепочки поставок, переходя от поставщиков к их клиентам.

После взлома Sarcoma приступает к реализации RDP, горизонтальному перемещению и эксфильтрации данных.

Правда, задействуемый инструментарий группы пока подробно разобран не был, поэтому, точное происхождение и конфигурация TTPs пока толком не описаны.

Полагаем, что тайваньский инцидент исправит этот пробел, тем более, если окажется, что утечка все же avoir lieu. Будем следить.

Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.

Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.

Предполагаемая цель злоумышленников - кибершпионаж.

Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.

Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.

Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.

По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.

Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.

После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.

Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.

Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.

Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.

Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.

На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.

Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.

Технические подробности и IoC - в отчете.

Symantec в новом отчете отмечает, что инструменты, используемые китайскими APT, задействовались в недавней атаке с вымогательстом, по всей видимости, хакером в качестве подработки.

Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).

По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.

В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.

Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.

Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.

При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).

Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.

Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.

Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.

Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.

Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.

Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.

Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.

В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!

Исследователи Rapid7 сообщают о новой 0-day PostgreSQL, которая, по всей видимости, стала критически важным компонентом в цепочке атак на BeyondTrust Privileged Remote Access и Remote Support, которые позволили китайским хакерам взломать в конце прошлого года Минфин США.

Уязвимость отслеживается как CVE-2025-1094 (оценка CVSS: 8,1) и затрагивает интерактивный терминал PostgreSQL psql и позволяет операторам SQL, содержащим ненадежные, но правильно экранированные входные данные, вызывать SQL-инъекцию. 

Найти ошибку удалось в рамках расследования CVE-2024-12356, недавно исправленной уязвимости безопасности в ПО BeyondTrust, которая позволяет выполнять удаленный код без аутентификации.

Исследователи Rapid7 полагают, что в каждом из рассмотренных сценариев эксплойт BeyondTrust (CVE-2024-12356) требовал задействования этой уязвимости PostgreSQL для обеспечения удаленного выполнения кода.

Несмотря на то, что BeyondTrust выпустила исправления для своих уязвимостей, включая CVE-2024-12356 и отдельную CVE-2024-12686, базовая уязвимость PostgreSQL остается важной точкой опоры для злоумышленников.

По данным Rapid7, ошибка обусловлена тем, как psql обрабатывает недействительные последовательности байтов из неправильно сформированных символов UTF-8.

Это открывает возможность для сценария, в котором злоумышленник может воспользоваться SQL-инъекцией, используя команду быстрого доступа «\!», которая позволяет выполнить команду оболочки.

Злоумышленник может использовать CVE-2025-1094 для выполнения этой метакоманды, тем самым контролируя выполняемую команду оболочки операционной системы.

В качестве альтернативы злоумышленник, который может сгенерировать SQL-инъекцию через CVE-2025-1094, может выполнить произвольные SQL-операторы, контролируемые злоумышленником.

В ходе тестирования исследователи пришли к выводу, что созданные недействительные последовательности могут преждевременно завершить команду SQL, позволяя злоумышленникам внедрять дополнительные операторы и даже запускать выполнение оболочки через метакоманду psql.

По результатам проведенных тестов исследователям удалось внедрить команду, которая выполнила команду id в системе, что в итоге подтвердило возможность полной компрометации системы. 

Разработчики PostgreSQL выпустили срочный патч и предупреждают, что все версии до PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19 уязвимы.

При этом поставщик отказался признавать эксплуатацию 0-day, но тем нее менее приписал открытие Rapid7.

Rapid7 также представила модуль Metasploit, который позволяет идентифицировать уязвимые системы BeyondTrust и автоматизировать доставку полезной нагрузки.

Что же касается, самого инцидента - помимо упоминания в качестве «крупного инцидента кибербезопасности», других подробностей и оценки потенциального ущерба власти США не раскрывают.

И вряд ли раскроют, но будем посмотреть.

Valve удалила игру PirateFi с игровой платформы Steam после того, как в ней обнаружился вредоносный код для кражи cookie из браузера и захвата учетных записей.

По данным PCMag, 6 февраля разработчик Seaworth Interactive выпустил игру под названием PirateFi на платформе Steam в виде бета-версии.

На первый взгляд игра смахивала на популярные игры в жанре выживалок, но вскоре выяснилось, что в игре зашито вредоносное ПО.

Буквально через несколько дней после релиза геймеры после ее установки столкнулись со взломами своих аккаукнтов с помощью украденных cookie, а антивирусы помечали ее как Trojan.Win32.Lazzzy.gen.

Последовавшие в связи с этим жалобы в Valve привели к оперативному удалению игры из магазина и рассылке рекомендаций о необходимости перестановки своих операционок для устранения угрозы.

Безусловно, такое предупреждение вызвало неоднозначную реакцию в сообществе геймеров, многие из которых посетовали на заражение руткитом и раздули обсуждения на Reddit.

Ситуацию прояснили в SECUINFRA FALCON, идентифицировав по результатам динамического анализа и совпадениям сигнатур YARA образец в качестве Vidar stealer.

В одном случае С2 - opbafindi[.]com, в более позднем образце нашли другой - durimri[.]sbs.

Точное число жертв инцидента пока не установлено, но по оценкам SECUINFRA FALCON игру скачали 800-1500 пользователей.

Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.

Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.

Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.

Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.

При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.

Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.

Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.

Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.

Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.

Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.

Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.

В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.

Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.

Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.

Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.

Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.

К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).

У Palo Alto снова проблемы с PAN OS'ом

В среду компания опубликовала 10 новых рекомендаций по безопасности, информируя клиентов о новых и влиянии ранее известных уязвимостей на ее решения, включая потенциально серьезную уязвимость обхода аутентификации брандмауэра.

Наиболее важная CVE-2025-0108 описывается поставщиком как проблема PAN-OS’а, позволяющая неавторизованному злоумышленнику, имеющему сетевой доступ к интерфейсу управления целевого брандмауэра, обойти аутентификацию и вызвать определенные PHP-скрипты.

Palo Alto Networks поясняет, что вызов этих PHP-скриптов не обеспечивает удаленного выполнения кода, но может негативно повлиять на целостность и конфиденциальность PAN-OS’а.

Компания выпустила исправления для уязвимых версий PAN-OS’а, а также обходные пути и меры по смягчению последствий, отметив, что уязвимость значительно снижается, если доступ к интерфейсу управления разрешен только доверенным внутренним IP-адресам.

Palo Alto присвоила высокий уровень серьезности (CVSS 7,8) для проблемы PAN-OS’а, однако никаких доказательств ее реальной эксплуатации не обнаружено. 

Исследователи Assetnote, обнаружившие CVE-2025-0108 при анализе двух других уязвимостей брандмауэра Palo Alto, которые использовались в реальных атаках, относят уязвимость к критичесой, поскольку она может привести к RCE в сочетании с другой проблемой PAN-OS’а.

В свою очередь, Searchlight Cyber, которая недавно приобрела Assetnote, также в среду раскрыла технические подробности уязвимости PAN-OS’а.

Кроме того, Palo Alto Networks сообщает об исправлении еще одной проблеме с PAN-OS’ом - CVE-2025-0110, которая также имеет высокий уровень серьезности и связана с внедрением команд, но для ее эксплуатации требуются права администратора.

Также опубликованы рекомендации по проблемам средней степени серьезности в агенте Cortex XDR (позволяет отключить агента) и Cortex XDR Broker (несанкционированный доступ), а также другим проблемам PAN-OS’а (чтение и удаление файлов).

По данным Palo Alto Networks, ни одна из уязвимостей, описанных в последнем пакете рекомендаций, не была использована в реальных условиях, включая проблемы с PAN-OS’ом.

Когда молодой и перспективный CISO решил кардинально модернизировать систему кибербезопасности.

Сразу после сообщений о проблемах Palo Alto Networks с PAN-OS’ом возникли новые, связанные с начавшейся эксплуатацией.

Хакеры нацелились на межсетевые экраны Palo Alto Networks PAN-OS, задействуя недавно исправленную CVE-2025-0108, которая позволяет обойти аутентификацию.

Как ранее упоминалось, уязвимость получила высокую оценку и влияет на веб-интерфейс управления PAN-OS, а также позволяет неавторизованному злоумышленнику в сети обойти аутентификацию и вызвать определенные PHP-скрипты.

Проблема была обнаружена и сообщена Palo Alto Networks исследователями Assetnote, которые также опубликовали описание с полными техническими подробностями эксплуатации.

Они наглядно продемонстрировали, как уязвимость можно использовать для извлечения конфиденциальных системных данных, восстановления конфигураций брандмауэра или потенциального манипулирования определенными настройками в PAN-OS.

Представленный эксплойт использует путаницу путей между Nginx и Apache в PAN-OS, что позволяет обойти аутентификацию.

Злоумышленники, имеющие сетевой доступ к интерфейсу управления, могут воспользоваться этим для сбора развединформации для дальнейших атак или для ослабления защиты путем изменения доступных настроек.

В свою очередь, GreyNoise уже зафиксировала попытки эксплуатации, нацеленные на неисправленные брандмауэры PAN-OS.

Атаки стартовали 13 февраля в 17:00 UTC и, по-видимому, исходили с нескольких IP-адресов, что может указывать на участие в кампании сразу нескольких различных злоумышленников.

При этом для киберподполья есть и где развернуться, ведь в настоящее время более 4400 устройств PAN-OS раскрывают свой интерфейс управления в Интернете.

Учитывая наличие PoC и полного описания механизма эксплуатации кульминация проблем PAN-OS’а ожидается в ближайшие дни. Но будем посмотреть.