Forwarded from purple shift
Уязвимость React2Shell (CVE-2025-55182) была раскрыта в начале декабря и наделала немало шума — поскольку затрагивает серверные компоненты React (RSC), которые используются во многих веб-приложениях.
Уязвимость оценивается как максимально опасная (CVSS 10.0) и уже активно эксплуатируется в дикой природе злоумышленниками, в том числе APT-группами.
React2Shell позволяет атакующему незамысловатым http-запросом получить удаленное выполнение кода на уязвимых серверах без всякой аутентификации. Минимально жизнеспособный эксплойт:
Эта уязвимость особенно критична из-за практически полного отсутствия артефактов. React не фиксирует происходящее, а у большинства из доступного будет лишь набор HTTP-логов, собираемых прокси.
Теоретически можно попытаться анализировать память процесса в поисках характерных сигнатур, но соотношение TP/FP будет крайне низким. В реальности в основном будем видеть нерелевантный трафик от сканеров и автоматических ботов, вместо того чтобы получать чёткие индикаторы эксплуатации уязвимости.
Сейчас атакующие активно перебирают весь спектр механизмов запуска процессов в Node.js:
Отсутствие единых стандартов журналирования в современных фронтенд-фреймворках создаёт дополнительные трудности для расследований. В результате успешная эксплуатация может оставаться незамеченной до тех пор, пока не проявятся косвенные признаки: аномальное поведение Node.js-процессов или подозрительные сетевые соединения.
На практике после успешной эксплуатации мы фиксируем один из вариантов (см. скриншот в начале поста):
— однострочная последовательность команд,
— закодированный в Base64 reverse shell,
— есть вариант in memory shell, встречали и его.
В основном фиксируем вариации команд для установок различных майнеров и приложений удаленного управления (RMM).
Что делать?
С точки зрения защиты:
— Пропатчить все уязвимые React / Next.js приложения до безопасных версий (19.0.1, 19.1.2, 19.2.1 и выше; Next.js с обновлённым RSC).
— Включить правила по обнаружению и предотвращению эксплуатации модифицированных RSC HTTP-запросов на периметре (WAF/IDS).
С точки зрения мониторинга:
— Отслеживать аномальные процессы от node.
— Отслеживать сработки WAF/IDS-решений на попытки эксплуатации этой уязвимости.
— Ретроспективно проверить активность на хостах с node.
Уязвимость оценивается как максимально опасная (CVSS 10.0) и уже активно эксплуатируется в дикой природе злоумышленниками, в том числе APT-группами.
React2Shell позволяет атакующему незамысловатым http-запросом получить удаленное выполнение кода на уязвимых серверах без всякой аутентификации. Минимально жизнеспособный эксплойт:
{
0: {
status: "resolved_model",
reason: -1,
_response: {
_prefix: "console.log('RCE')//",
_formData: { get: "$1:then:constructor" },
},
then: "$1:then",
value: '{"then":"$B"}',
},
1: "$@0",
} Эта уязвимость особенно критична из-за практически полного отсутствия артефактов. React не фиксирует происходящее, а у большинства из доступного будет лишь набор HTTP-логов, собираемых прокси.
Теоретически можно попытаться анализировать память процесса в поисках характерных сигнатур, но соотношение TP/FP будет крайне низким. В реальности в основном будем видеть нерелевантный трафик от сканеров и автоматических ботов, вместо того чтобы получать чёткие индикаторы эксплуатации уязвимости.
Сейчас атакующие активно перебирают весь спектр механизмов запуска процессов в Node.js:
- exec()
- spawn()
- execSync()
- spawnSync()
Отсутствие единых стандартов журналирования в современных фронтенд-фреймворках создаёт дополнительные трудности для расследований. В результате успешная эксплуатация может оставаться незамеченной до тех пор, пока не проявятся косвенные признаки: аномальное поведение Node.js-процессов или подозрительные сетевые соединения.
На практике после успешной эксплуатации мы фиксируем один из вариантов (см. скриншот в начале поста):
— однострочная последовательность команд,
— закодированный в Base64 reverse shell,
— есть вариант in memory shell, встречали и его.
В основном фиксируем вариации команд для установок различных майнеров и приложений удаленного управления (RMM).
Что делать?
С точки зрения защиты:
— Пропатчить все уязвимые React / Next.js приложения до безопасных версий (19.0.1, 19.1.2, 19.2.1 и выше; Next.js с обновлённым RSC).
— Включить правила по обнаружению и предотвращению эксплуатации модифицированных RSC HTTP-запросов на периметре (WAF/IDS).
С точки зрения мониторинга:
— Отслеживать аномальные процессы от node.
— Отслеживать сработки WAF/IDS-решений на попытки эксплуатации этой уязвимости.
— Ретроспективно проверить активность на хостах с node.
www.opennet.ru
Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust
В вошедшем в состав ядра Linux 6.18 механизме межпроцессного взаимодействия Binder, написанном на языке Rust, устранена уязвимость (CVE-2025-68260). Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe, напрямую работающих с указателями…
🔗Ссылка:
https://opennet.ru/64439/
https://opennet.ru/64439/
www.opennet.ru
Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox
Энтони Энзор-ДеМео (Anthony Enzor-DeMeo) назначен новым руководителем (CEO) компании Mozilla Corporation. Энтони перешёл в Mozilla с должности директора по продуктам в компании Roofstock и с декабря 2024 года занимал пост старшего вице-президента по Firefox…
🔗Ссылка:
https://opennet.ru/64433/
https://opennet.ru/64433/
www.opennet.ru
Организация OSI опубликовала рейтинг популярности открытых лицензий
Организация Open Source Initiative (OSI), занимающаяся проверкой лицензий на предмет соответствия критериям Open Source, опубликовала рейтинг популярности открытых лицензией. Позиции в рейтинге вычислены на основе числа просмотров страниц с информацией о…
🔗Ссылка:
https://opennet.ru/64443/
https://opennet.ru/64443/
Forwarded from SecuriXy.kz
🚨 CVE‑2025‑67887 (aвторизованный RCE в модуле Translate Module 1C‑Bitrix)
📌 Основные факты
Продукт: 1C‑Bitrix (модуль Перевод)
Тип: Авторизованный RCE
Уязвимые версии: ≤ 25.100.500
Требуются права: SOURCE и WRITE
⚡ Механика
Аутентификация → получение CSRF токена → загрузка архива через `
🛡️ Защита
1. Проверить логи на вызовы
2. Проверить
3. Ограничить доступ к эндпоинтам через ACL или WAF
4. Временно отключить модуль Translate
🔗 CVE https://www.cve.org/CVERecord?id=CVE-2025-67887
🔗 PoC https://karmainsecurity.com/pocs/CVE-2025-67887.php
📌 Основные факты
Продукт: 1C‑Bitrix (модуль Перевод)
Тип: Авторизованный RCE
Уязвимые версии: ≤ 25.100.500
Требуются права: SOURCE и WRITE
⚡ Механика
Аутентификация → получение CSRF токена → загрузка архива через `
translate.asset.grabber.upload` → распаковка → активация → появление shell.php в `/upload/tmp/` → выполнение команд через заголовок C:🛡️ Защита
1. Проверить логи на вызовы
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract2. Проверить
/upload/tmp на наличие php файлов 3. Ограничить доступ к эндпоинтам через ACL или WAF
4. Временно отключить модуль Translate
🔗 CVE https://www.cve.org/CVERecord?id=CVE-2025-67887
🔗 PoC https://karmainsecurity.com/pocs/CVE-2025-67887.php
www.opennet.ru
На соревновании ZeroDay Cloud продемонстрировано 11 успешных атак на Redis, PostgreSQL, MariaDB и ядро Linux
Поведены итоги соревнований ZeroDay Cloud, проведённых на конференции Black Hat Europe и нацеленных на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. В ходе мероприятия было продемонстрировано 11 ранее неизвестных уязвимостей в Redis…
🔗Ссылка:
https://opennet.ru/64444/
https://opennet.ru/64444/
www.opennet.ru
Обновление Firefox 146.0.1. В Firefox появится опция для полного отключения AI
Доступен корректирующий выпуск Firefox 146.0.1, в котором устранены 3 уязвимости, вызванные обращением к уже освобождённым областям памяти (CVE-2025-14860) и выходом за границы буферов (CVE-2025-14861). Потенциально данные проблемы способны привести к выполнению…
🔗Ссылка:
https://opennet.ru/64449/
https://opennet.ru/64449/
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Атакующие загружали вредоносные расширения в браузер для кражи данных
👨💻 Как это работает?
В Chromium-based браузерах ранее поддерживался аргумент командной строки
Позднее данный аргумент был скрыт, однако его всё ещё можно было использовать, если отключить соответствующее ограничение с помощью флага:
Таким образом, атакующие могли перезапускать Chrome или Edge с уже загруженным вредоносным расширением без необходимости установки через официальный магазин
В актуальных версиях Chromium данный способ уже не работает
🔭 Обнаружение:
🔤 Хантим аргументы командной строки
#detection@detectioneasy
#ttp@detectioneasy
Атакующие загружали вредоносные расширения в браузер для кражи данных
В Chromium-based браузерах ранее поддерживался аргумент командной строки
--load-extension, который позволял запускать браузер с указанием пути к расширениюПозднее данный аргумент был скрыт, однако его всё ещё можно было использовать, если отключить соответствующее ограничение с помощью флага:
--disable-features=DisableLoadExtensionCommandLineSwitch
Таким образом, атакующие могли перезапускать Chrome или Edge с уже загруженным вредоносным расширением без необходимости установки через официальный магазин
В актуальных версиях Chromium данный способ уже не работает
ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "chrome.exe" and CommandLine contains "--load-extension"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Gdatasoftware
Browser Hijacking: Three Technique Studies
If you are searching for technical information on how browser hijacking works, there does not seem to be much out there apart from generic removal instructions. This might be an educational gap we should try and close.
1🤯1