www.opennet.ru
Объявлены устаревшими 11 методов верификации доменов для TLS-сертификатов
Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены…
🔗Ссылка:
https://opennet.ru/64426/
https://opennet.ru/64426/
Forwarded from purple shift
Уязвимость React2Shell (CVE-2025-55182) была раскрыта в начале декабря и наделала немало шума — поскольку затрагивает серверные компоненты React (RSC), которые используются во многих веб-приложениях.
Уязвимость оценивается как максимально опасная (CVSS 10.0) и уже активно эксплуатируется в дикой природе злоумышленниками, в том числе APT-группами.
React2Shell позволяет атакующему незамысловатым http-запросом получить удаленное выполнение кода на уязвимых серверах без всякой аутентификации. Минимально жизнеспособный эксплойт:
Эта уязвимость особенно критична из-за практически полного отсутствия артефактов. React не фиксирует происходящее, а у большинства из доступного будет лишь набор HTTP-логов, собираемых прокси.
Теоретически можно попытаться анализировать память процесса в поисках характерных сигнатур, но соотношение TP/FP будет крайне низким. В реальности в основном будем видеть нерелевантный трафик от сканеров и автоматических ботов, вместо того чтобы получать чёткие индикаторы эксплуатации уязвимости.
Сейчас атакующие активно перебирают весь спектр механизмов запуска процессов в Node.js:
Отсутствие единых стандартов журналирования в современных фронтенд-фреймворках создаёт дополнительные трудности для расследований. В результате успешная эксплуатация может оставаться незамеченной до тех пор, пока не проявятся косвенные признаки: аномальное поведение Node.js-процессов или подозрительные сетевые соединения.
На практике после успешной эксплуатации мы фиксируем один из вариантов (см. скриншот в начале поста):
— однострочная последовательность команд,
— закодированный в Base64 reverse shell,
— есть вариант in memory shell, встречали и его.
В основном фиксируем вариации команд для установок различных майнеров и приложений удаленного управления (RMM).
Что делать?
С точки зрения защиты:
— Пропатчить все уязвимые React / Next.js приложения до безопасных версий (19.0.1, 19.1.2, 19.2.1 и выше; Next.js с обновлённым RSC).
— Включить правила по обнаружению и предотвращению эксплуатации модифицированных RSC HTTP-запросов на периметре (WAF/IDS).
С точки зрения мониторинга:
— Отслеживать аномальные процессы от node.
— Отслеживать сработки WAF/IDS-решений на попытки эксплуатации этой уязвимости.
— Ретроспективно проверить активность на хостах с node.
Уязвимость оценивается как максимально опасная (CVSS 10.0) и уже активно эксплуатируется в дикой природе злоумышленниками, в том числе APT-группами.
React2Shell позволяет атакующему незамысловатым http-запросом получить удаленное выполнение кода на уязвимых серверах без всякой аутентификации. Минимально жизнеспособный эксплойт:
{
0: {
status: "resolved_model",
reason: -1,
_response: {
_prefix: "console.log('RCE')//",
_formData: { get: "$1:then:constructor" },
},
then: "$1:then",
value: '{"then":"$B"}',
},
1: "$@0",
} Эта уязвимость особенно критична из-за практически полного отсутствия артефактов. React не фиксирует происходящее, а у большинства из доступного будет лишь набор HTTP-логов, собираемых прокси.
Теоретически можно попытаться анализировать память процесса в поисках характерных сигнатур, но соотношение TP/FP будет крайне низким. В реальности в основном будем видеть нерелевантный трафик от сканеров и автоматических ботов, вместо того чтобы получать чёткие индикаторы эксплуатации уязвимости.
Сейчас атакующие активно перебирают весь спектр механизмов запуска процессов в Node.js:
- exec()
- spawn()
- execSync()
- spawnSync()
Отсутствие единых стандартов журналирования в современных фронтенд-фреймворках создаёт дополнительные трудности для расследований. В результате успешная эксплуатация может оставаться незамеченной до тех пор, пока не проявятся косвенные признаки: аномальное поведение Node.js-процессов или подозрительные сетевые соединения.
На практике после успешной эксплуатации мы фиксируем один из вариантов (см. скриншот в начале поста):
— однострочная последовательность команд,
— закодированный в Base64 reverse shell,
— есть вариант in memory shell, встречали и его.
В основном фиксируем вариации команд для установок различных майнеров и приложений удаленного управления (RMM).
Что делать?
С точки зрения защиты:
— Пропатчить все уязвимые React / Next.js приложения до безопасных версий (19.0.1, 19.1.2, 19.2.1 и выше; Next.js с обновлённым RSC).
— Включить правила по обнаружению и предотвращению эксплуатации модифицированных RSC HTTP-запросов на периметре (WAF/IDS).
С точки зрения мониторинга:
— Отслеживать аномальные процессы от node.
— Отслеживать сработки WAF/IDS-решений на попытки эксплуатации этой уязвимости.
— Ретроспективно проверить активность на хостах с node.
www.opennet.ru
Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust
В вошедшем в состав ядра Linux 6.18 механизме межпроцессного взаимодействия Binder, написанном на языке Rust, устранена уязвимость (CVE-2025-68260). Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe, напрямую работающих с указателями…
🔗Ссылка:
https://opennet.ru/64439/
https://opennet.ru/64439/
www.opennet.ru
Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox
Энтони Энзор-ДеМео (Anthony Enzor-DeMeo) назначен новым руководителем (CEO) компании Mozilla Corporation. Энтони перешёл в Mozilla с должности директора по продуктам в компании Roofstock и с декабря 2024 года занимал пост старшего вице-президента по Firefox…
🔗Ссылка:
https://opennet.ru/64433/
https://opennet.ru/64433/
www.opennet.ru
Организация OSI опубликовала рейтинг популярности открытых лицензий
Организация Open Source Initiative (OSI), занимающаяся проверкой лицензий на предмет соответствия критериям Open Source, опубликовала рейтинг популярности открытых лицензией. Позиции в рейтинге вычислены на основе числа просмотров страниц с информацией о…
🔗Ссылка:
https://opennet.ru/64443/
https://opennet.ru/64443/
Forwarded from SecuriXy.kz
🚨 CVE‑2025‑67887 (aвторизованный RCE в модуле Translate Module 1C‑Bitrix)
📌 Основные факты
Продукт: 1C‑Bitrix (модуль Перевод)
Тип: Авторизованный RCE
Уязвимые версии: ≤ 25.100.500
Требуются права: SOURCE и WRITE
⚡ Механика
Аутентификация → получение CSRF токена → загрузка архива через `
🛡️ Защита
1. Проверить логи на вызовы
2. Проверить
3. Ограничить доступ к эндпоинтам через ACL или WAF
4. Временно отключить модуль Translate
🔗 CVE https://www.cve.org/CVERecord?id=CVE-2025-67887
🔗 PoC https://karmainsecurity.com/pocs/CVE-2025-67887.php
📌 Основные факты
Продукт: 1C‑Bitrix (модуль Перевод)
Тип: Авторизованный RCE
Уязвимые версии: ≤ 25.100.500
Требуются права: SOURCE и WRITE
⚡ Механика
Аутентификация → получение CSRF токена → загрузка архива через `
translate.asset.grabber.upload` → распаковка → активация → появление shell.php в `/upload/tmp/` → выполнение команд через заголовок C:🛡️ Защита
1. Проверить логи на вызовы
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract2. Проверить
/upload/tmp на наличие php файлов 3. Ограничить доступ к эндпоинтам через ACL или WAF
4. Временно отключить модуль Translate
🔗 CVE https://www.cve.org/CVERecord?id=CVE-2025-67887
🔗 PoC https://karmainsecurity.com/pocs/CVE-2025-67887.php
www.opennet.ru
На соревновании ZeroDay Cloud продемонстрировано 11 успешных атак на Redis, PostgreSQL, MariaDB и ядро Linux
Поведены итоги соревнований ZeroDay Cloud, проведённых на конференции Black Hat Europe и нацеленных на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. В ходе мероприятия было продемонстрировано 11 ранее неизвестных уязвимостей в Redis…
🔗Ссылка:
https://opennet.ru/64444/
https://opennet.ru/64444/