💻 Уже не мышь, а крыса

Исследователи из Калифорнийского университета в Ирвайне представили атаку Mic-E-Mouse, которая позволяет превратить обычную геймерскую мышь в инструмент подслушивания.

Суть атаки в том, что движения и вибрации поверхности, считываемые сенсором мыши, могут быть преобразованы в звуковые колебания. Устройство начинает фиксировать микровибрации, создаваемые речью пользователя, фактически работая как грубый микрофон.
Поначалу полученный сигнал имеет низкое качество, но исследователи применили последовательную обработку данных и алгоритмы машинного обучения, чтобы очистить шум и восстановить разборчивую речь.

Для эксперимента использовались стандартная мышь и открытые наборы речевых данных VCTK и AudioMNIST. Команда добилась увеличения отношения сигнал/шум на 19 дБ, улучшила точность автоматического распознавания говорящего на 80%, а в тестах с людьми коэффициент ошибок составил 16,79% — результат, достаточный для различимого восприятия речи.

По мнению исследователей, наибольший риск представляют мыши с сенсорами 20000 DPI и выше. В качестве целей особенно уязвимы видеоигры и другое производительное ПО: там внедрение эксплойта можно замаскировать под сетевую активность игры, не вызывая подозрений.

#новость

🤨 Дождались!

Больше года с нетерпением ожидал новый список топовых уязвимостей от OWASP. Для веба они выходят раз в 3-4 года, начиная с 2003 года. В рейтинге десяти самых распространённых за 2025 год появились две новые категории и одна консолидированная. Список предварительный (кандидат), окончательный будет чуть позже.

▎ Новые топовые уязвимости:
➡️A03:2025 — Ошибки в цепочке поставок ПО (Software Supply Chain Failures). Расширяет прежний пункт Vulnerable and Outdated Components и охватывает компрометации на всех этапах экосистемы разработки: зависимости, системы сборки и инфраструктуру распространения;
➡️A10:2025 — Неправильная обработка исключительных условий (Mishandling of Exceptional Conditions). Новая категория, включающая 24 типа уязвимостей, связанных с неправильной обработкой ошибок, логическими сбоями, "fail-open" сценариями и другими ситуациями, возникающими при аномальных условиях работы системы.

▎ Что это значит для пентестеров и разработчиков?
➡️Цепочки поставок становятся главным вектором атак. Теперь уязвимость может прийти не из кода, а из зависимостей и CI/CD;
➡️Ошибки обработки исключений — напоминание, что даже простая 500-ая ошибка может стоить дорого, если логика не защищена.

Распространите новый топ OWASP.
И да, ИБ спецы, с проф праздником вас!

UPD. Это кандидат на окончательное утверждение топа.

🔗 Ссылка на OWASP top 10 2025

📕 Готовимся к изучению докладов

Zeronights подогревает интерес! Стартовала публикация докладов программы на 2025 год.

Напоминаю, что организаторы выкатывают описания выступлений с двух ключевых треков: Offensive и SecOps.

▎ Лично мне бы первым делом хотелось послушать доклады про веб и внешнюю инфру в целом:
➡️"Когда весь периметр — одна страница: критические уязвимости на простых сайтах";
➡️"Что в дашборде твоём? Я просто хотел посмотреть метрики…";
➡️"Вредоносные расширения: как ваш браузер работает на атакующего".

🔗 Ссылка на полный список докладов Zeronights

😈 Нашёл 0-day... почти

Недавно на проекте по пентесту было обнаружено уязвимое коробочное решение Directus v9.23.3.

Directus — это open‑source платформа для управления данными, которая превращает любую SQL‑базу в headless CMS, предоставляя автоматическую REST и GraphQL API и удобный веб-интерфейс для управления контентом.

С таким ПО я столкнулся впервые, поэтому принялся ресёрчить все возможные там API-эндпоинты, файловую структуру и искать уже известные уязвимости (CVE).

Первым делом встала задача определить версию Directus. Немного покопавшись в интернете, обнаружился эндпоинт, раскрывающий версию ПО в одной из констант JS-файла по пути "/admin/assets/...js":

const jN="9.23.3"

Это позволило отсортировать все CVE под данную версию.

Уязвимостей было обнаружено полно, но в рамках этого поста хочу акцентировать внимание на ключевой, которую обнаружил сам, — загрузка любых файлов в админскую Библиотеку файлов без аутентификации + раскрытие списка файлов на эндпоинте /files. Получить доступ к любому файлу можно, зная его ID. После загрузки файлу автоматически присваивается идентификатор, и он становится доступен по публичному URL вида /assets/<ID>.

▎ Риски:
➡️Загрузка вредоносного ПО. Злоумышленник может поместить исполняемые файлы или скрипты, что при их запуске приведет к компрометации системы;
➡️Фишинговые атаки от имени компании с помощью публичных ссылок /assets/<ID>;
➡️Доступны все файлы в "Библиотеке файлов" без аутентификации: невозможность конфиденциально хранить документы и прочую чувствительную информацию для компании;
➡️А также другие риски в имеющихся уязвимостях, речи о которых в данном посте нет.

▎ Рекомендации по устранению уязвимостей:
✅Ограничить публичный доступ к конечной точки загрузки файлов — требовать аутентификацию и авторизацию для загрузок;
✅Валидировать содержимое файлы по проверке сигнатуры (MIME, magic bytes);
✅Ограничить типы и расширения файлов. Явно запрещать исполняемые форматы (например, .exe, .bat, .sh, .php и т.п.) и другие нежелательные форматы. Разрешать строго только необходимых типов по белому списку;
✅Закрыть доступ к конечной точке /files для неавторизованных пользователей;
✅Обновить версию Directus — решит множество проблем разом.

▎ Для пентестеров, обнаруживших Directus в проде:
➡️1) Первым делом определите версию ПО;
➡️2) С имеющейся версией пробуйте эксплуатировать ряд CVEшек. Ссылки на списки оставил в конце поста;
➡️3) Обязательно проверьте наличие GraphQL со включённой интроспекцией. Мне также попались alias flood, мутация без аутентификации и т.д.

Часть уязвимостей в списках CVE эксплуатируется только при наличии сессии — это отличный кейс для серого ящика. На этом проекте я как раз работал по методикам чёрного и серого ящика.

UPD. Оказывается, это не уязвимость в самой коробке, а просто мисконфиг на проекте, допускающий загрузку файлов без аутентификации.

🔗 Ссылка на список CVE Directus в Snyk
🔗 Ссылка на список CVE Directus в GitHub
🔗 Ссылка на список CVE Directus в GitLab

#кейс #материал

🎉 Первый годик!

Ровно год назад, 29 ноября 2024 года, появился канал "Пентестер на мотоцикле", и благодаря вам он продолжает расти! Ваш интерес это лучший стимул двигаться дальше, писать больше и делиться полезным!

Спасибо каждому за подписку, активность и поддержку — именно вы делаете этот проект живым.

Дальше только интереснее! 🏍

🎉 Не утекаем, а празднуем

Коллеги, всех с международным днем защиты информации!
Желаю всем крепких паролей и спокойной инфраструктуры.

🔊 Спикерим

4 декабря пройдёт Ежегодная аналитическая конференция "КОД ИБ | ИТОГИ 2025", в которой я буду принимать участие в качестве спикера.

Приду с темой "Цена лишнего факта: как неосознанные утечки бьют по прибыли", чтобы обратить внимание на скрытые риски, с которыми бизнес сталкивается каждый день, часто даже не замечая их.

Разберём, почему такие мелочи стоят бизнесу реальных денег и как не допустить утечек, которые открывают злоумышленникам дверь во внутрь.

Если будете на конференции — буду рад с вами встретиться и пообщаться)

🗣 Всем привет!

Пришло время подводить итоги года канала "Пентестер на мотоцикле"!

В этом мне сильно помог бот TGStat. Если хотите такую же статистику для своего канала, то отправьте боту @TGStat_Bot сообщение типа "2025 @username".

От себя добавлю: 2025 год оказался переломным в моей жизни: крутая карьера и хоть какая-то начальная известность в своих кругах. Много экспериментов, роста и правильных поворотов. Дальше — больше.

Всех с наступающим!

🎉 С НОВЫМ ГОДОМ!

Пусть в 2026 году ваши эксплойты будут стабильными, ложных срабатываний на минимуме, находки жирными, а клиенты адекватными!

Главное, чтобы работа приносила радость и драйв, а после рабочего дня вас ждали уют, близкие и вкусный чай (или что покрепче). С новым годом, коллеги!✨