⚡Очередная подборка новостей для этичного хакера: навёрстываем пропущенные новостные выпуски

👀 MEGANews. Самые важные события в мире инфосека за октябрь от журнала «Хакер»:

• Отражен мощнейший DDoS в истории
• Утекли исходники HelloKitty
• Обнаружены Android-девайсы с бэкдором
• Microsoft запретит активацию старыми ключами
• Арестован разработчик Ragnar Locker
• Уязвимости curl оказались нестрашными
• Массовые атаки на Cisco IOS XE
• Уязвимости в Squid исправляют 2,5 года
• Microsoft отказывается от VBScript
• Устройствам Apple угрожает iLeakage

🔐Самые громкие события инфобеза за ноябрь по версии компании T.Hunter:

• Официальный запуск CVSS 4.0
• NVIDIA в центре скандала с промышленным шпионажем
• Масштабная уязвимость в ключах биткоин-кошельков
• Провинившийся Binance и отправившийся на дно Sinbad
• Финальный удар по операторам LockerGoga и MegaCortex

🔥 Топ самых интересных CVE за ноябрь по версии компании T.Hunter:

• CVE-2023-5941: выполнение произвольного кода в ОС FreeBSD
• CVE-2023-5996/CVE-2023-5997: Use-after-free в компонентах/Garbage/Navigation Google Chrome
• CVE-2023-47640/CVE-2023-47629: повышение привилегий в DataHub
• CVE-2023-47444: удаленное выполнение кода на сервере в OpenCart
• CVE-2023-47585/CVE-2023-47584/CVE-2023-47586: многочисленные уязвимости в продуктах Fuji Electric
• CVE-2023-43612/CVE-2023-6045: уязвимости в OpenHarmony
• CVE-2023-6176: отказ в обслуживании в ядре Linux
• CVE-2023-32629: повышение привилегий в OverlayFS ядра Ubuntu

🌐 Security-новости от SecLab:

• Израильская ИИ-система «Евангелие» / Экстренное обновление Chrome / Жестокость вне закона
• Ноутбуки и лживая биометрия / Кибербез 2024: чего ждать? / Бил Гейтс предсказал «малину»
• Опасные рекламные данные / сколько стоит ликвидация атаки / 100 тысяч ключей от Google
• Каким будет VPN в России / Нет айтишников — нет эффективности / исторический запрет на ИИ
• CVSS 4.0 — новый стандарт / Кибервойска: мнение Минцифры / Двойной листинг и шантаж законом

#чтопроисходит #news

🔥Один из разработчиков nginx Максим Дунин создал собственный форк веб-сервера

В своём письме Максим рассказал, что не работает в F5, владеющей nginx, с 2022 года, с тех пор, как компания закрыла офис в Москве. После этого он договорился с руководителями, что будет продолжать разработку веб-сервера в качестве волонтёра.

Теперь, по его утверждениям, новые нетехнические менеджеры начали вмешиваться в разработку nginx, думая, что они лучше знают, как разрабатывать опенсорсные проекты. В частности, управление пытается вносить изменения в политику безопасности веб-сервера. При этом мнение разработчиков не учитывается.

Максим отмечает, что владельцы продукта могут вносить в него любые изменения, не спрашивая никого. Но последние действия менеджеров нарушают его соглашения с F5. Кроме того, он больше не может контролировать изменения, которые вносятся в nginx.

В ответ на это Дунин заявил, что больше не будет участвовать в разработке nginx. Вместо этого он создал FreeNginx, форк проекта, к которому приглашает присоединиться других разработчиков.

⚡️А вчера было опубликовано мини-интервью Максима, которое позволит узнать историю из первых уст.

#news

⚡Очередная подборка новостей для этичного хакера

🤯👩‍💻 Аппаратная уязвимость в процессорах Apple

Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм.

Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.

👩‍💻 Свежая публикация экспертов «Лаборатории Касперского» описывает типичные виды вредоносных программ для устройств под управлением Android.

🗂 Исследователи нашли новый метод проведения DoS-атаки на базовые сетевые сервисы (TFTP, DNS, NTP). Уязвимости подвержены более 300 тысяч серверов.

🔐 Исследование безопасности дверных замков Saflok фирмы Dormakaba, используемых в отелях и открываемых с помощью технологии RFID. В предложенном сценарии атаки злоумышленник заселяется в отель, получает ключ-карту от своего номера и на основе данных из него создает универсальный ключ, который открывает все замки в гостинице.

🐛 CVE-2024-27298: SQL-инъекция в Parse Server до 6.5.0
🐛 CVE-2024-27103: XSS в Pineterest Querybook до 3.31.1
🐛 CVE-2024-27307: Prototype Pollution в JSONata до 1.8.7
🐛 CVE-2024-26143: XSS в Ruby on Rails до 7.0.8.1
🐛 CVE-2024-27302: обход политики CORS во фреймворке go-zero до 1.4.4

🌐 Утечка маршрутов интернета / Nvidia предсказывает будущее / ИИ твой новый тиммейт: security-новости от главреда SecLab

#news #чтопроисходит

🤦‍♂️ Бэкдор, обнаруженный в широко используемой утилите Linux, взламывает зашифрованные SSH-соединения (никогда такого не было, и вот опять)

🤨 Исследователи обнаружили бэкдор в утилите для сжатия данных xz Utils, которая вошла в широко используемые дистрибутивы Linux, включая Red Hat и Debian. Хотя не было известно о включении этих версий в какие-либо продакшн выпуски крупных дистрибутивов Linux, как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали, по крайней мере, одну из версий с бэкдором, а именно в Fedora Rawhide и Debian testing, unstable и experimental дистрибутивах.

🤯 Первые признаки были выявлены в обновлении от 23 февраля, которое добавило обфусцированный код. В последующем обновлении был включен установочный скрипт, который интегрировался в функции, используемые sshd. Злонамеренные изменения были внесены одним из основных разрабов xz Utils, JiaT75, который контрибьютил проект на протяжении многих лет.

🥷 Бэкдор намеренно мешает аутентификации, выполняемой посредством SSH. Он позволяет злоумышленнику нарушить аутентификацию и, таким образом, получить доступ ко всей системе.

#news #security

🤖 Поддержка ИИ для написания расширений в Montoya API (Burp Suite Professional/Community 2025.2)

Команда PortSwigger добавила встроенную поддержку искусственного интеллекта в Montoya API. Ваши расширения теперь могут безопасно взаимодействовать с LLM с помощью специально разработанной платформы, что позволяет создавать расширенные функции автоматизации и анализа данных без необходимости сложной настройки или внешних API-ключей.

Чтобы узнать о возможноcтях расширений на базе ИИ, ознакомьтесь с Hackvertor от Гарета Хейеса, которое может:

🔸 Создавать кастомные теги преобразования на основе описаний на естественном языке.

🔸 Создавать кастомные теги на JavaScript, Python, Java или Groovy на основе кода, сгенерированного ИИ.

🔸 Автоматически генерировать теги кодирования/декодирования путем анализа трафика Repeater.

#tools #news

🤑 Вы уже наверняка знаете, что с кошельков криптобиржи Bybit было выведено ETH на сумму более $1,4 млрд… и замешана в этом Lazarus

Но как это произошло с технической стороны? Потихоньку начинают появляться подробности. Оставим в оригинале:

1) malicious JS injected into Safe{Wallet} at https://app.safe.global/_next/static/chunks/pages/_app-4f0dcee809cce622.js (because apparently, one of the nk devs just casually pushed it to production 🤡)

2) the JS modified executeTransaction() only if the signer was in a predefined list (Bybit’s multisig owners).

3) modified transaction now sets operation: 1 (delegatecall) to attacker address instead of a normal call.

4) delegatecall hits the attacker contract, which changed Safe contract's first storage slot which is masterCopy to a another attacker contract.

5) new masterCopy contract contained sweepETH() & sweepERC20(), draining $1.5B

Самое интересное — размеры выплат по программе багбаунти. Тот самый случай, когда продешевили 🤷‍♂️

#apt #news #назлобудня