🤙 Не спешите закрывать тикеты по React2Shell. Предыдущее обновление ничего не починило.

Сага с дырявым серверным рендерингом, о которой писал ранее, получила продолжение. Безопасники из Vercel вынуждены были признать что первоначальный фикс критической уязвимости был неполным😬 Пока админы выдыхали и закрывали тикеты, выяснилось, что реализация React Server Components по-прежнему содержит серьезные архитектурные просчеты. Итогом нового аудита стали новые CVE.

Наиболее опасный CVE-2025-55184 с высоким рейтингом критичности. Суть проблемы кроется в механизме десериализации данных в App Router. Хацкер может отправить специально сформированный HTTP-запрос на любой эндпоинт приложения, заставив серверный процесс уйти в бесконечный цикл или потребить аномальное количество ресурсов. В результате node процесс виснет намертво, CPU улетает на 100%, и сервис полностью ложится. Для этого даже не нужна аутентификация, просто кривой пакет, который парсер не может нормально переварить.

Второй сюрприз под номером CVE-2025-55183 выглядит не так страшно, но бьет по приватности. Уязвимость позволяет через манипуляции с запросами вытащить скомпилированный исходный код Server Actions. Удаленного выполнения кода это не дает, но раскрывает всю внутреннюю бизнес-логику бэкенда. Если ваши разработчики любят хардкодить API-ключи или токены прямо в теле функций (а все мы знаем, что они это любят 🤤), то считайте, что эти данные уже утекли.

Под раздачу попали практически все современные версии пакетов react-server-dom-parcel, react-server-dom-webpack и react-server-dom-turbopack ветки 19.x. Это значит, что уязвимы проекты на Next.js начиная с версии 13 и заканчивая свежайшей 15-й. Единственный способ закрыть дыру - обновлять сам фреймворк до патч-версий (например, 14.2.20 или 15.0.4), где переписали логику валидации входных данных.

Фреймворки стали настолько сложными, что даже их создатели не могут с первого раза залатать дыру в логике. Стабильность, которую мы заслужили 😰

Типичный 🥸 Сисадмин

Этот сбой в рендеринге матрицы доказывает, что мы живем в изолированном контейнере.

Интересно, что будет, если зайти внутрь и прописать sudo reboot?

Типичный 🥸 Сисадмин

🎌 Итоги саммита мейнтейнеров ядра Linux в Токио

Главное событие года для тех, кто решает, каким будет Linux, прошло в Японии. Теперь Rust в ядре больше не эксперимент. Мейнтейнеры официально сняли с него плашку experimental. Отныне это полноценная часть ядра, нравится это староверам или нет. Драмы про (C vs Rust) утихают. Если раньше драйверы на Rust были диковинкой, то теперь это новый стандарт, к которому придется привыкать всем, кто хочет писать код для современного железа.

Отдельно прошлись по теме ИИ. Торвальдс, который обычно скептичен к хайпу, внезапно пояснил, что он большой фанат использования нейросетей... но только чтобы ИИ разгребал тонны спама в списках рассылки и находил глупые баги еще до того, как они попадут на глаза человеку. Писать код за разработчиков роботам пока не доверят 😬

В целом, саммит показал, что ядро взрослеет (или стареет, судя по седине участников). Фокус смещается с добавления фич на стабильность и борьбу с выгоранием мейнтейнеров, которых катастрофически не хватает.

Типичный 🥸 Сисадмин

Запущен фонд поддержки разработки эксплойтов для старого железа 🏴‍☠️

Организация Fulu (Freedom from Unethical Limitations on Users), основанная активистами движения за право ремонта (даже такое есть 😮), запустила программу грантов, в рамках которой они будут официально платить энтузиастам и реверс-инженерам за взлом заблокированных устройств. Речь идет о девасах, которые превратились в электронный мусор не из-за поломки, а из-за программных ограничений... потерянных паролей, неотвязанных аккаунтов или (что важнее) отключения серверов активации производителем.

Поводом стал момент с термостатами Nest первых поколений. После прекращения поддержки Google они превратились в умные кирпичи на стене. Fulu предложила $10 000 за способ вернуть им функциональность, и в итоге выплату получили двое независимых исследователей, представивших рабочие методы обхода блокировок.

Техническая задача перед участниками стоит нетривиальная. Им нужно не просто найти уязвимость, а создать надежные инструменты для обхода и разблокировки загрузчиков. В ход идет весь арсенал от поиска аппаратных бэкдоров и дампинга памяти до фаззинга интерфейсов ввода и эксплуатации уязвимостей в Secure Boot. Главное дать возможность накатить на старое железо альтернативную прошивку, минуя цифровую подпись вендора, которая сейчас отправляет миллионы рабочих девайсов на свалку.

Корпорации вроде Apple и Samsung годами прикрывают эту практику заботой о безопасности и борьбой с кражами. Однако инициаторы проекта справедливо указывают, что когда вендор прекращает поддержку устройства или оно попадает в переработку, защита превращается в средство запланированного устаревания. Создание легальных, общедоступных эксплойтов должно разорвать этот порочный круг, превратив кирпичи обратно в полезное железо.

Для админов и гиков это открывает интересные перспективы. Если программа взлетит, то умельцы могут заработать немного шекелей, а мы можем получить поток дешевых и мощных устройств (бывших флагманов), которые можно будет перепрошить под свои задачи. Жаль только, что производители скорее удавятся, чем отдадут ключи шифрования добровольно, так что вся надежда на парней с паяльниками и декомпиляторами 🤙

Типичный 🥸 Сисадмин

💸 Мой личный Фонд Национального Благосостояния. Стабильность, уверенность, двухканальный режим.

Как говорил Баффетт:

Инвестируй в то, в чем разбираешься

Типичный 🥸 Сисадмин

🔑 Как хацкеры забыли отключить дебаг в продакшене

На просторах даркнета всплыл перспективный стартап в сфере шифровальщиков. Группировка запустила RaaS-платформу, где весь бизнес-процесс от генерации пейлоадов до выбивания денег... построен через ботов в ТГ. Входной порог низкий, малварь написана на модном Go и умеет шифровать как Windows, так и Linux. Казалось бы, идеальный инструмент, но есть нюанс... 😮

При анализе сэмплов исследователи безопасности выпали в осадок. Авторы малвари допустили ошибку уровня лабораторной работы первокурсника. Мастер-ключ для шифрования (используется AES-256 GCM) не генерируется уникально, а жестко зашит в бинарник. Но это полбеды. В пылу отладки кодеры забыли выпилить функцию, которая сохраняет этот самый ключ в открытом текстовом файле прямо в системную папку %TEMP% на машине жертвы.

Получается, если вы поймали эту конкретную заразу, платить выкуп не нужно, достаточно просто заглянуть во временные файлы. Релизная ли это спешка или деградация современного андерграунда? Впрочем, баг скорее всего уже пофиксили, но проблема в другом... C2-серверы переезжают в публичные API телеги.

Типичный 🥸 Сисадмин

Что ощущаешь, занимаясь DevOps, когда всё спокойно

MemOps 😃

Сотруднику забыли закрыть доступ к внутренним системам, из-за чего в сеть утекло около двух третей населения Южной Кореи 😅

Пока индустрия судорожно внедряет Zero Trust, обмазывается эвристикой в EDR и сливает бюджеты на пентесты, южнокорейский Coupang (типа как Ozon и тд.) преподал всем болезненный урок классической ИБ. Утечку 33,7 млн записей спровоцировал бывший сотрудник, чьи учетные данные просто забыли отключить при увольнении. Компания утверждает, что данные (имена, адреса, история заказов) не появились в открытом доступе, однако это не остановило волну фишинга, и полиция уже получила сотни сообщений о мошенниках.

Человек покинул компанию, сдал бейдж и ноутбук, но, судя по всему, сохранил валидные креды к критическим эндпоинтам или API-ключам, которые, вероятно, не ротировались годами. Это типичный пример зомби-доступа, когда привилегии переживают своего владельца, превращая легитимного пользователя в невидимую угрозу. Система DLP, конечно, могла бы триггернуться на аномальную выгрузку данных, но, как это часто бывает, алерты либо утонули в шуме логов, либо доступ считался доверенным по старой памяти.

Разумно иногда проверять скрипты автоматического депровижининга и актуальность списков доступа, пока ваш бывший коллега не решил проверить, работают ли еще его ключи от продакшена, просто ради интереса или мелкой мести.

Типичный 🥸 Сисадмин

Судя по слою пыли, это решение перешло из статуса временного костыля в статус легаси архитектуры 😬

Типичный 🥸 Сисадмин

Открытый перелом файловой системы со смещением таблицы разделов. Требуется срочная операция по вправлению суперблока.
#предложка

Типичный 🏥 Сисадмин

#предложка
Когда флешка так сильно грелась, что пришлось применить радикальные меры охлаждения 🏥

Типичный 🥸 Сисадмин

Внезапное оптическое заземление? 🏥

Типичный 🥸 Сисадмин

🤔 Вся жизнь процесса это ложь... malloc() обещает ему непрерывный кусок памяти, которого физически не существует. Процесс счастлив в своём неведении, созерцая тени страниц на стенах виртуальной адресации, даже не подозревая, что его данные давно размазаны по свопу.

Если вывести процесс из пещеры виртуальной адресации и показать ему прямой доступ к физической памяти, он ослепнет и упадет в Kernel Panic. Некоторые истины лучше не знать.

З.Ы. Обратите внимание на Хром слева. Он счастлив в своём неведении, пожирая гигабайты и думая, что вся память мира принадлежит ему. Он не знает, что за стеной стоит OOM Killer с дубиной, готовый в любой момент разрушить его хрупкий мир абстракций.

.... и тогда Хром поймёт главную истину, что ложки не существует. Есть только Null Pointer 🥄

Типичный 👾 Сисадмин

И, возможно, прямо сейчас где-то Снаружи нашей симуляции сидит Админ, смотрит на твой🫵 зависший процесс и уже заносит палец над kill -9.

Notepad++ мог скачать малварь через апдейтер 😱

Разработчики Notepad++ экстренно выкатили версию 8.8.9, выяснилось, что механизм автообновления редактора (тот самый GUP.exe) годами толком не проверял подлинность скачиваемых файлов. Этим воспользовались хацкеры, которые начали перехватывать трафик апдейтера и подсовывать пользователям вместо новой версии редактора троян.

Апдейтер стучится за обновлением, но из-за отсутствия нормальной криптографической проверки перенаправляется на вредоносный сервер. В итоге в папку %TEMP% прилетает файл AutoUpdater.exe, который вместо патча начинает активно собирать инфу о системе... запускает netstat, systeminfo, tasklist и whoami. Собранные данные потом сливаются на публичный файлообменник temp.sh через системный curl.

В новой версии 8.8.9 наконец-то прикрутили жесткую проверку цифровой подписи установщика, так что теперь, если подпись не сойдется, обновление прервется.

Типичный 🥸 Сисадмин

Типичный 💾 Сисадмин