• Автор этого материала поделиться личным опытом превращения старенького ноутбука ASUS, который был выпущен 12 лет назад, в полноценный домашний сервер под Linux Ubuntu Server 24.04.5 LTS.
• Получилось что-то вроде мини-датацентра — он хранит файлы на жёстком диске с бэкапом в облаке, Docker-контейнеры крутит для дата-аналитики и даже имеет легковесный интерфейс XFCE, при этом есть потенциал к росту до терминала для управления умным домом. В статье описано, почему было решено отказаться от WSL на ноутбуке Huawei, как настроить удалённый доступ через xRDP (чтобы не было чёрного экрана), запустить там Docker, сборку Superset и JupyterLab с Anaconda (с разными версиями Python), прикрутить Samba-шару для домашнего использования и организовать бэкап в облачное хранилище.
• В общем и целом, статья окажется полезной всем желающим и особенно тем, кто не знает, куда девать и что делать со своим старым ноутбуком \ ПК.
• P.S. Читайте комменты, там много советов и другой ценной информации.
#Разное #Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Большинство систем безопасности слепы не из-за отсутствия инструментов, а из-за отсутствия данных. Если аудит в Windows настроен формально — система событий есть, но пользы от неё нет.
На открытом уроке разберём, как превратить операционную систему в полноценный источник данных для систем класса SIEM. Мы покажем, как работает журнал событий Windows, как настраивать расширенный аудит, какие события действительно важны и как организовать их сбор.
Разберём установку агента Wazuh и практические подходы к построению наблюдаемости. Вы получите чёткое понимание, как формируется телеметрия и как сделать её пригодной для анализа и выявления инцидентов.
🗓 Урок пройдет 8 апреля в 20:00 МСК в преддверии старта курса «Специалист по внедрению SIEM».
👉Зарегистрируйтесь и начните работать с данными, а не просто собирать их: https://otus.pw/Th3q/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
На открытом уроке разберём, как превратить операционную систему в полноценный источник данных для систем класса SIEM. Мы покажем, как работает журнал событий Windows, как настраивать расширенный аудит, какие события действительно важны и как организовать их сбор.
Разберём установку агента Wazuh и практические подходы к построению наблюдаемости. Вы получите чёткое понимание, как формируется телеметрия и как сделать её пригодной для анализа и выявления инцидентов.
🗓 Урок пройдет 8 апреля в 20:00 МСК в преддверии старта курса «Специалист по внедрению SIEM».
👉Зарегистрируйтесь и начните работать с данными, а не просто собирать их: https://otus.pw/Th3q/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
• Изучая географию дата-центров по всему миру, можно найти необычные и интересные места их расположения. Например, в ядерном бункере или в церкви....
• Вот вы бы догадались, что за пределами часовни расположен ЦОД? А вот в хитрые испанцы взяли и построили. В 2005 году серверная площадью около 120 кв. м. успешно начала функционировать в бывшей часовне Torre Girona, где разместили один из самых мощных (на тот момент) суперкомпьютеров Европы, производительностью около 94 терафлопс.
• Таким образом «модернизированная» часовня помогала ученым решать различные задачи, такие как прогнозирование погоды, исследование генома человека или же изобретение нового лекарства. Несколько фото можете глянуть выше.
• Но есть еще один интересный ЦОД (фото 3 и 4), который находится в Стокгольме и очень напоминает строение из фильмов о Джеймсе Бонде, его имя Bahnhof или Pionen White Mountains (кодовое название, сохранившееся у объекта со времен войны). Он расположился в 30 метрах под скалой в бывшем ядерном убежище. От внешнего мира Дата Центр отделяет 40-сантиметровая стальная дверь, так же на территории убежища расположен офис телекоммуникационной компании и точка обмена трафиком. Кстати, вот несколько интересных фактов:
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Тем временем, TeamPCP переключается с открытого программного обеспечения на среду AWS. После перероверки украденных учетных данных с помощью TruffleHog хакерская группа приступила к нацеливанию на сервисы AWS.
Как сообщает Wiz, злоумышленник, стоящий за масштабной мартовской кампанией, направленной на разработчиков ПО с открытым исходным кодом, использовал скомпрометированные учетные данные для доступа к средам AWS и кражи дополнительных данных.
TeamPCP (DeadCatx3, PCPcat и ShellForce) действует с 2024 года, первоначально сосредоточившись на облачных средах, в середине 2025 года группа переключилась на атаки на цепочки поставок, нацеленные на кражу учетных данных CI/CD в больших масштабах.
В последние две недели TeamPCP попала в заголовки новостных лент после взлома сканера уязвимостей Trivy от Aqua Security в рамках кампании, которая с тех пор распространилась на NPM, PyPI и OpenVSX.
По данным OpenSourceMalware, различные инциденты, приписываемые этой группе за последние недели, взаимосвязаны, поскольку все они были вызваны взломом Trivy, который, в свою очередь, произошел из-за неправильной смены учетных данных после взлома в феврале.
Вредоносное ПО, внедренное в пакеты Trivy и GitHub Actions, выполнялось при работе Trivy в нижестоящих конвейерах, что позволило TeamPCP скомпрометировать токены публикации разработчиков NPM, а также токен PyPI, принадлежащий гендиректору LiteLLM Крришу Дхолакии.
LiteLLM скачивают более 90 млн. раз в месяц, так что последствия его взлома были колоссальными. Среди прочего, был раскрыт токен Telnyx PyPI, что привело к внедрению вредоносного ПО в пакеты Telnyx PyPI.
По оценкам специалистов, в рамках этой кампании пострадали десятки тысяч репозиториев, поскольку вредоносное ПО TeamPCP было разработано для сбора учетных данных, токенов API, токенов SSH и других секретов из зараженных систем разработчиков.
Согласно отчету Wiz, хакерская группа не стала тратить время на проверку украденных учетных данных.
Они попросту задействовали инструмент с открытым исходным кодом TruffleHog, дабы убедиться, что украденные ключи доступа AWS, секреты приложений Azure и различные токены SaaS по-прежнему действительны и используются.
В течение 24 часов после подтверждения группа перешла к операциям по обнаружению уязвимостей в скомпрометированных средах AWS, перечисляя различные сервисы, уделяя особое внимание контейнерам, где хакеры составляли карты кластеров и определений задач. Она также атаковала менеджеры секретов AWS у жертв.
После подтверждения доступа и определения структуры, злоумышленники использовали различные методы для дальнейшего осуществления своей схемы, выполняя дополнительный код и получая доступ к другим частям среды жертвы.
Хакеры использовали рабочие процессы GitHub для выполнения кода в средах жертв, а также функцию ECS Exec для выполнения команд Bash и скриптов Python непосредственно в контейнерах, работающих в средах AWS.
Злоумышленники похищали исходный код, файлы конфигурации и встроенные секреты из репозиториев GitHub, а также получали доступ к хранилищам S3, Secrets Manager и базам данных для массовой кражи данных из сред AWS.
После взлома TeamPCP фокусирвяоалась на компрометации дополнительных секретных данных и извлечении огромных объемов данных из репозиториев кода и облачных ресурсов.
Извлеченные данные и скомпрометированные секреты потенциально передавались другим группам для осуществления целого ряда операций.
В частности, TeamPCP, вероятно, сотрудничает в рамках реализации монетизации доступа к скомпрометированным средам, с Lapsus$ и Vect Ransomware.
Как уже отмечали в Socket, Lapsus$ хвастались будущими операциями TeamPCP, как будто обладали инсайдерской информацией, а Vect прямо заявила на известном хакерском форуме о партнерстве с TeamPCP. Продолжаем следить.
Как сообщает Wiz, злоумышленник, стоящий за масштабной мартовской кампанией, направленной на разработчиков ПО с открытым исходным кодом, использовал скомпрометированные учетные данные для доступа к средам AWS и кражи дополнительных данных.
TeamPCP (DeadCatx3, PCPcat и ShellForce) действует с 2024 года, первоначально сосредоточившись на облачных средах, в середине 2025 года группа переключилась на атаки на цепочки поставок, нацеленные на кражу учетных данных CI/CD в больших масштабах.
В последние две недели TeamPCP попала в заголовки новостных лент после взлома сканера уязвимостей Trivy от Aqua Security в рамках кампании, которая с тех пор распространилась на NPM, PyPI и OpenVSX.
По данным OpenSourceMalware, различные инциденты, приписываемые этой группе за последние недели, взаимосвязаны, поскольку все они были вызваны взломом Trivy, который, в свою очередь, произошел из-за неправильной смены учетных данных после взлома в феврале.
Вредоносное ПО, внедренное в пакеты Trivy и GitHub Actions, выполнялось при работе Trivy в нижестоящих конвейерах, что позволило TeamPCP скомпрометировать токены публикации разработчиков NPM, а также токен PyPI, принадлежащий гендиректору LiteLLM Крришу Дхолакии.
LiteLLM скачивают более 90 млн. раз в месяц, так что последствия его взлома были колоссальными. Среди прочего, был раскрыт токен Telnyx PyPI, что привело к внедрению вредоносного ПО в пакеты Telnyx PyPI.
По оценкам специалистов, в рамках этой кампании пострадали десятки тысяч репозиториев, поскольку вредоносное ПО TeamPCP было разработано для сбора учетных данных, токенов API, токенов SSH и других секретов из зараженных систем разработчиков.
Согласно отчету Wiz, хакерская группа не стала тратить время на проверку украденных учетных данных.
Они попросту задействовали инструмент с открытым исходным кодом TruffleHog, дабы убедиться, что украденные ключи доступа AWS, секреты приложений Azure и различные токены SaaS по-прежнему действительны и используются.
В течение 24 часов после подтверждения группа перешла к операциям по обнаружению уязвимостей в скомпрометированных средах AWS, перечисляя различные сервисы, уделяя особое внимание контейнерам, где хакеры составляли карты кластеров и определений задач. Она также атаковала менеджеры секретов AWS у жертв.
После подтверждения доступа и определения структуры, злоумышленники использовали различные методы для дальнейшего осуществления своей схемы, выполняя дополнительный код и получая доступ к другим частям среды жертвы.
Хакеры использовали рабочие процессы GitHub для выполнения кода в средах жертв, а также функцию ECS Exec для выполнения команд Bash и скриптов Python непосредственно в контейнерах, работающих в средах AWS.
Злоумышленники похищали исходный код, файлы конфигурации и встроенные секреты из репозиториев GitHub, а также получали доступ к хранилищам S3, Secrets Manager и базам данных для массовой кражи данных из сред AWS.
После взлома TeamPCP фокусирвяоалась на компрометации дополнительных секретных данных и извлечении огромных объемов данных из репозиториев кода и облачных ресурсов.
Извлеченные данные и скомпрометированные секреты потенциально передавались другим группам для осуществления целого ряда операций.
В частности, TeamPCP, вероятно, сотрудничает в рамках реализации монетизации доступа к скомпрометированным средам, с Lapsus$ и Vect Ransomware.
Как уже отмечали в Socket, Lapsus$ хвастались будущими операциями TeamPCP, как будто обладали инсайдерской информацией, а Vect прямо заявила на известном хакерском форуме о партнерстве с TeamPCP. Продолжаем следить.
Opensourcemalware
TeamPCP Supply Chain Campaign: A March 2026 Retrospective
TeamPCP executed a cascading multi-phase supply chain attack in March 2026, leveraging a single unrevoked credential stolen from Trivy's CI pipeline to compromise several ecosystems — Aqua Security, npm, LiteLLM/PyPI, Checkmarx, and Telnyx — harvesting CI/CD…
• Самый первый компьютерный баг.
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер обнаружила насекомое между точками на реле N70 панели F. После этого Грейс вклеила маленького диверсанта в свой технический отчет (на фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага).
• Кстати, журнал с записью в настоящее время проживает в Национальном музее американской истории. Но на всеобщее обозрение по неизвестным причинам не выставлен.
#Разное
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер обнаружила насекомое между точками на реле N70 панели F. После этого Грейс вклеила маленького диверсанта в свой технический отчет (на фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага).
• Кстати, журнал с записью в настоящее время проживает в Национальном музее американской истории. Но на всеобщее обозрение по неизвестным причинам не выставлен.
#Разное
• Очень интересная статья от ребят из Бастион, где представлен подробный разбор операции «Троянский щит», одной из самых изощренных цифровых ловушек ФБР в истории, основанный на докладах с DEF CON, внутренних документах и свидетельствах участников по обе стороны закона.
Наркоторговец из Южной Австралии Доменико Катанзарати был уверен, что провернул сделку века. Он использовал Anom — свой анонимный защищенный смартфон — для координации поставки кокаина, спрятанного внутри промышленного сварочного аппарата.
Катанзарати был спокоен. Anom считался «Роллс-Ройсом» в мире шифрованной связи, его рекомендовали влиятельные люди из криминального мира. Устройство работало на кастомной операционке, а сообщения шифровались так надежно, что, казалось, никакие спецслужбы не вскроют переписку. «Окей, давай заработаем миллионы», — беспечно писал Катанзарати своему подельнику в защищенном чате.
Когда пришло время забирать «сварочник» из порта, получателей ждал сюрприз: груза не было. Через несколько дней Доменико сообщили: «Ваш груз изъят пограничной службой Австралии». Подельники Катанзарати написали в тот же безопасный чат: «Pigs grabbed him» («Менты его взяли»).
Оказалось, каждое сообщение наркоторговца и его подельников читал специальный агент ФБР. «Безопасный» Anom был тщательно продуманной ловушкой, которую втайне создало и финансировало Федеральное бюро расследований.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Хорошая статья, которая содержит информацию о том, как сайты и провайдеры выявляют использование VPN по IP, DNS- и WebRTC-утечкам, геолокации и DPI, зачем это делают сервисы и банки. Думаю, что многим будет весьма интересно:
➡ Читать статью [7 min].
#Разное
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• А вы знали, что в 1999 году был обнаружен первый в мире макро-вирус для MS Word, который распространялся по электронной почте? Вирус был написал неким
• Для рассылки своих копий использовалась возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:
• К сообщению также прилагался файл
• Количество рассылаемых писем зависит от конфигурации адресной книги Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отсылает зараженное сообщение по 50 первым адресам из каждого списка.
• Кстати, вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре:
• Быстро распространившись, вирус Melissa нанес ущерб в размере $80 миллионов (около $155 млн. на данный момент). Такое не остается безнаказанным.
• Д. Смита удалось обнаружить и арестовать из-за интересной особенности в формате документов MS Word. Тогда она была известна весьма небольшому числу специалистов. Речь идет о том, что MS Word сохраняет в документе данные пользователя, на компьютере которого он был создан. Д. Смит разместил первые копии червя в одной группе новостей и во всех этих копиях были его данные. ФБР не составило никакого труда найти его. По итогу он был осужден к 10 годам заключения и штрафу в размере 5000 баксов.
#Разное
Kwyjibo (Дэвидом Смитом) и назывался "Melissa" (Дэвид назвал вирус в честь стриптизёрши). Сразу же после заражения системы вирус считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. За считаные часы вирус заразил более миллиона компьютеров по всему миру, парализовав их работу.• Для рассылки своих копий использовалась возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:
Тема: "Important Message From [UserName]" (UserName берется из базы адресов)
Тело письма: "Here is that document you asked for ... don't show anyone else ;-)"
• К сообщению также прилагался файл
LIST.DOC, который якобы содержит пароли для доступа к 80 платным сайтам для взрослых, но на самом деле, в теле документа содержался макрос, который запускался при открытии файла.• Количество рассылаемых писем зависит от конфигурации адресной книги Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отсылает зараженное сообщение по 50 первым адресам из каждого списка.
• Кстати, вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре:
HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "... by Kwyjibo". Если этот ключ не найден, то вирус посылает сообщения электронной почты с приложенными зараженными документами и создает этот ключ в реестре.• Быстро распространившись, вирус Melissa нанес ущерб в размере $80 миллионов (около $155 млн. на данный момент). Такое не остается безнаказанным.
• Д. Смита удалось обнаружить и арестовать из-за интересной особенности в формате документов MS Word. Тогда она была известна весьма небольшому числу специалистов. Речь идет о том, что MS Word сохраняет в документе данные пользователя, на компьютере которого он был создан. Д. Смит разместил первые копии червя в одной группе новостей и во всех этих копиях были его данные. ФБР не составило никакого труда найти его. По итогу он был осужден к 10 годам заключения и штрафу в размере 5000 баксов.
#Разное
• 1874 год, вся западная часть США представляет из себя множество фермерских хозяйств с огромными территориями, которые располагались друг от друга на расстоянии многих километров.
• Крупный рогатый скот, который пасся на территориях этих хозяйств, постоянно пытался уйти за территорию и погулять по пастбищам ближайших соседей. В то время для ограждения использовали обыкновенную проволоку и животные, зачастую, преодолевали этот барьер. Все изменилось, когда Джозеф Глидден получил патент на изготовление колючей проволоки.
• Новые технологии производства сделали колючую проволоку дешевой и доступной, что повлияло на ее стремительное распространение. Благодаря этому, уже к 1880 году на Старом Западе производилось и устанавливалось около миллиона километров ограждений из колючей проволоки в год.
• Спустя два года после того, как американские фермеры начали окутывать собственные земли колючим забором, изобретатель Александр Грэм Белл патентует собственное революционное изобретение – телефонный аппарат. Устройство произвело настоящий фурор и полностью перевернуло возможности общения людей на расстоянии. Если что, в то время единственным вариантом удалённой связи был телеграф, требующий наличия квалифицированного оператора, и не позволявший передавать такой объём информации, как телефон!
• Естественно, что телефонные сети стали расти бурными темпами. Но телефонные компании обращали свой взгляд лишь на крупные города, обходя вниманием малонаселенные районы американского Запада, поскольку не видели экономической выгоды в развёртывании сотен километров телефонного кабеля. В итоге, фермеры попросту не имели никакой возможности подключиться к современным, на тот момент, системам коммуникации.
• Однако телефонные компании явно недооценивали новаторский дух этих мужчин и женщин. Неизвестный гений обнаружил, что если подключить два телефонных аппарата к верхнему проводу на заграждении с колючей проволокой, то можно разговаривать так же легко, как между двумя «городскими» телефонами. Огромные сети колючей проволоки, растянувшиеся на многие километры вдоль фермерских хозяйств, вмиг стали отличным подспорьем для создания собственной сети связи. Телефонные аппараты с помощью куска обычной гладкой проволоки начали подключать к колючим ограждениям, используя последние в качестве магистральных линий связи.
• Технология была очень проста. Стальная проволока – неплохой проводник электрического тока, что позволяло проводить телефонный сигнал. Подключение к линии обходилось фермерам в 25 долларов. В комплект поставки входил телефонный аппарат с двумя сухими батареями, заземляющий стержень, фарфоровые набалдашники и трубки, плюс 3 метра провода для внутренней проводки и более 15 метров для соединения с линией за пределами помещения.
• В этой локальной сети не было регулярной абонентской платы, хотя члены кооператива платили несколько долларов в год за текущее обслуживание и замену сухих батарей (вместо которых они иногда применяли старые автомобильные аккумуляторы). И разумеется, никто не оплачивал никаких телефонных счетов.
• Телефонный аппарат обычной гладкой проволокой подключали к колючему ограждению и сигнал шел по всей длине колючей проволоки либо к коммутатору, либо к другим домам. В некоторых случаях в одну сеть объединялось до двадцати телефонов. При звонке одновременно срабатывали все телефонные аппараты, что создавало определенную путаницу. В итоге, фермерские общины согласовали между собой специальную систему кодов, чтобы распознавать для кого предназначен звонок.
• С помощью колючей проволоки фермеры активно осваивали и использовали телефонную связь с начала 1900-х до 1920-х годов. В свой расцвет эти телефонные сети обслуживали примерно 3 миллиона человек, то есть больше чем официальная телефонная система Белла. К 20-м годам многие сельские районы получили официальную телефонную связь, но, не смотря на это, старые сети на базе колючей проволоки в некоторых районах сохранялись до сороковых годов 19 века.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи VulnCheck сообщают об активной эксплуатации уязвимости с максимальным уровнем серьезности в Flowise, платформе ИИ с открытым исходным кодом, используемой рядом крупных корпораций.
Речь идет об уязвимости CVE-2025-59528 (CVSS: 10.0), которая представляет собой уязвимость внедрения кода, которая может привести к удалённому выполнению кода.
Узел CustomMCP позволяет пользователям вводить параметры конфигурации для подключения к внешнему серверу MCP, который анализирует предоставленную пользователем строку mcpServerConfig для построения конфигурации сервера.
Однако в процессе этого он выполняет код JavaScript без какой-либо проверки безопасности.
Flowise отметила, что успешная эксплуатация уязвимости может обеспечить доступ к опасным модулям, таким как child_process (выполнение команд) и fs (файловая система), поскольку он работает с полными привилегиями среды выполнения Node.js.
Иными словами, злоумышленник, использующий эту уязвимость, может выполнить произвольный код JavaScript на сервере Flowise, что приведет к полной компрометации системы, доступу к файловой системе, выполнению команд и утечке конфиденциальных данных.
Как отметили в Flowise, поскольку требуется только токен API, это представляет собой чрезвычайную угрозу для непрерывности бизнеса и данных клиентов. Компания выразила благодарность Ким Су Хён за уведомление об уязвимости. Проблема была устранена в версии 3.0.6 пакета npm.
Согласно данным VulnCheck, эксплуатация осуществлялась с одного IP-адреса Starlink.
CVE-2025-59528 - это уже третья уязвимость Flowise, эксплуатируемая в реальных условиях, после CVE-2025-8943 (CVSS: 9,8), позволяющей удаленно выполнять команды ОС, и CVE-2025-26319 (CVSS: 8,9), позволяющей произвольно загружать файлы.
Уязвимость была известна более шести месяцев, а это значит, что у пользователей было достаточно много времени, чтобы определить приоритетность и устранить ее.
К настоящему времени площадь уязвимой поверхности, доступной из интернета, составляет более 12 000 открытых экземпляров, что Flowise крайне востребованной целью для киберподполья, представители которого уже предпринимают попытки сканирования и эксплуатации.
Речь идет об уязвимости CVE-2025-59528 (CVSS: 10.0), которая представляет собой уязвимость внедрения кода, которая может привести к удалённому выполнению кода.
Узел CustomMCP позволяет пользователям вводить параметры конфигурации для подключения к внешнему серверу MCP, который анализирует предоставленную пользователем строку mcpServerConfig для построения конфигурации сервера.
Однако в процессе этого он выполняет код JavaScript без какой-либо проверки безопасности.
Flowise отметила, что успешная эксплуатация уязвимости может обеспечить доступ к опасным модулям, таким как child_process (выполнение команд) и fs (файловая система), поскольку он работает с полными привилегиями среды выполнения Node.js.
Иными словами, злоумышленник, использующий эту уязвимость, может выполнить произвольный код JavaScript на сервере Flowise, что приведет к полной компрометации системы, доступу к файловой системе, выполнению команд и утечке конфиденциальных данных.
Как отметили в Flowise, поскольку требуется только токен API, это представляет собой чрезвычайную угрозу для непрерывности бизнеса и данных клиентов. Компания выразила благодарность Ким Су Хён за уведомление об уязвимости. Проблема была устранена в версии 3.0.6 пакета npm.
Согласно данным VulnCheck, эксплуатация осуществлялась с одного IP-адреса Starlink.
CVE-2025-59528 - это уже третья уязвимость Flowise, эксплуатируемая в реальных условиях, после CVE-2025-8943 (CVSS: 9,8), позволяющей удаленно выполнять команды ОС, и CVE-2025-26319 (CVSS: 8,9), позволяющей произвольно загружать файлы.
Уязвимость была известна более шести месяцев, а это значит, что у пользователей было достаточно много времени, чтобы определить приоритетность и устранить ее.
К настоящему времени площадь уязвимой поверхности, доступной из интернета, составляет более 12 000 открытых экземпляров, что Flowise крайне востребованной целью для киберподполья, представители которого уже предпринимают попытки сканирования и эксплуатации.
GitHub
RCE in FlowiseAI/Flowise
## Description
### Cause of the Vulnerability
The `CustomMCP` node allows users to input configuration settings for connecting to an external MCP (Model Context Protocol) server. This node pa...
### Cause of the Vulnerability
The `CustomMCP` node allows users to input configuration settings for connecting to an external MCP (Model Context Protocol) server. This node pa...
Forwarded from SecAtor
Defiant предупреждает о начале массированных атак, нацеленных на критическую уязвимость в платном дополнении Ninja Forms File Uploads для WordPress, которая позволяет загружать произвольные файлы без аутентификации, что может привести к удаленному выполнению кода.
По данным компании, ее межсетевой экран Wordfence заблокировал более 3600 атак на CVE-2026-0740 за последние 24 часа.
Ninja Forms - популярный конструктор форм для WordPress с более чем 600 тыс. загрузками, который позволяет пользователям создавать формы без программирования, используя простой интерфейс перетаскивания. Расширение для загрузки файлов в том же пакете, обслуживает более 90 тыс. клиентов.
CVE-2026-0740 имеет критическую оценку CVSS 9,8 из 10 и затрагивает все версии Ninja Forms File Upload до 3.3.26 включительно.
По данным Wordfence, уязвимость вызвана отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для осуществления обхода пути.
В уязвимой версии функция не включает в себя проверку типа файла или расширения имени целевого файла перед операцией перемещения, что позволяет загружать не только безопасные файлы, но и файлы с расширением .php.
Поскольку проверка имен файлов не используется, вредоносный параметр также облегчает обход путей, позволяя переместить файл даже в корневой каталог веб-сервера.
Все это позволяет неавторизованным злоумышленникам загружать произвольный вредоносный PHP-код, а затем получать доступ к файлу для запуска удаленного выполнения кода на сервере.
Возможные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-оболочек и полный захват сайта.
Уязвимость была обнаружена исследователем Селимом Лануаром (whattheslime), который 8 января отправил по ней отчет в программу вознаграждения за обнаружение ошибок Wordfence.
После проверки Wordfence в тот же день предоставила поставщику полную информацию и внедрила временные меры защиты с помощью правил брандмауэра для своих клиентов.
После проверки патчей и частичного исправления 10 февраля, производитель выпустил полное исправление в версии 3.3.27, доступной с 19 марта.
Учитывая, что Wordfence теперь ежедневно фиксирует тысячи попыток взлома, пользователям Ninja Forms File Upload настоятельно рекомендуется обновиться до последней версии.
По данным компании, ее межсетевой экран Wordfence заблокировал более 3600 атак на CVE-2026-0740 за последние 24 часа.
Ninja Forms - популярный конструктор форм для WordPress с более чем 600 тыс. загрузками, который позволяет пользователям создавать формы без программирования, используя простой интерфейс перетаскивания. Расширение для загрузки файлов в том же пакете, обслуживает более 90 тыс. клиентов.
CVE-2026-0740 имеет критическую оценку CVSS 9,8 из 10 и затрагивает все версии Ninja Forms File Upload до 3.3.26 включительно.
По данным Wordfence, уязвимость вызвана отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для осуществления обхода пути.
В уязвимой версии функция не включает в себя проверку типа файла или расширения имени целевого файла перед операцией перемещения, что позволяет загружать не только безопасные файлы, но и файлы с расширением .php.
Поскольку проверка имен файлов не используется, вредоносный параметр также облегчает обход путей, позволяя переместить файл даже в корневой каталог веб-сервера.
Все это позволяет неавторизованным злоумышленникам загружать произвольный вредоносный PHP-код, а затем получать доступ к файлу для запуска удаленного выполнения кода на сервере.
Возможные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-оболочек и полный захват сайта.
Уязвимость была обнаружена исследователем Селимом Лануаром (whattheslime), который 8 января отправил по ней отчет в программу вознаграждения за обнаружение ошибок Wordfence.
После проверки Wordfence в тот же день предоставила поставщику полную информацию и внедрила временные меры защиты с помощью правил брандмауэра для своих клиентов.
После проверки патчей и частичного исправления 10 февраля, производитель выпустил полное исправление в версии 3.3.27, доступной с 19 марта.
Учитывая, что Wordfence теперь ежедневно фиксирует тысячи попыток взлома, пользователям Ninja Forms File Upload настоятельно рекомендуется обновиться до последней версии.
Wordfence
Ninja Forms - File Upload <= 3.3.26 - Unauthenticated Arbitrary File Upload — Wordfence Intelligence
• У разработчика Miner Search (тулза для поиска и уничтожения скрытых майнеров), есть интересный список инструментов, с помощью которых можно ручным подходом осуществить поиск вредоносов. Список следующий:
• Autoruns – бесплатный инструмент от Microsoft, чтобы выявить все возможные варианты автозапуска, что грузится вместе с виндой. Обязательно запускать от админа, чтобы видеть весь полный список.
➡ В первую очередь обращаем внимание на строки с неподписаными файлами (выделены красным).
➡ Если не знаем, что за софт и надо ли его отключать – гугл в помощь.
➡ Всё что выделено жёлтым означает, что запись осталась, а конечного файла что запускать уже нет. Можно удалять (кроме раздела KnownDlls и Services).
➡ Ну и пара слов про оптимизацию, отключаем всё несвязное с системой, что можно запускать самому (всякие стимы, дискорды, whatsapp, OneDrive и т.д.), обычно находится в разделе Run и Task Scheduler (Планировщик задач).
• System Informer – Мощный опенсорсный инструмент для мониторинга процессов, потоков и модулей. Показывает дерево процессов, что от чего запускается. Кто-то может возразить, мол есть process explorer, но это кому как удобнее.
• Everything – опенсорсный инструмент, мгновенный поиск по файловой системе, в разы быстрее штатного поиска, встроенного в проводник. Можно искать как по файлам, так и по содержимому для документов. Вообщем, вещь удобная.
#Tools #Malware
• Autoruns – бесплатный инструмент от Microsoft, чтобы выявить все возможные варианты автозапуска, что грузится вместе с виндой. Обязательно запускать от админа, чтобы видеть весь полный список.
• System Informer – Мощный опенсорсный инструмент для мониторинга процессов, потоков и модулей. Показывает дерево процессов, что от чего запускается. Кто-то может возразить, мол есть process explorer, но это кому как удобнее.
• Everything – опенсорсный инструмент, мгновенный поиск по файловой системе, в разы быстрее штатного поиска, встроенного в проводник. Можно искать как по файлам, так и по содержимому для документов. Вообщем, вещь удобная.
#Tools #Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from infosec
• Федеральное бюро расследований США смогли получить копии входящих сообщений Signal с iPhone пользователя, который удалил мессенжер со смартфона - копии содержимого переписки сохранились в архиве push-уведомлений устройства. Об этом сообщило издание 404 Media со ссылкой на несколько источников, которые присутствовали во время дачи показаний на судебном процессе.
• Дело касалось группы людей, которые в июле прошлого года запускали фейерверки и повредили имущество в центре содержания иммиграционной полиции ICE Prairieland в городе Альварадо, штат Техас. Один из обвиняемых ранил в шею полицейского.
• В Signal есть настройка, которая блокирует отображение содержимого сообщений в push-уведомлениях. Однако если настройки в Signal конкретно на iPhone позволяют отображать уведомления и превью сообщений на экране блокировки, то устройство сохраняет их во внутренней памяти, рассказал сторонник обвиняемых.
• В 404 Media считают, что эта уязвимость затрагивает любые мессенджеры, а не только Signal. Проблема заключается в том, как Apple обрабатывает push-уведомления.
➡️ https://www.404media.co/signal
#Новости
• Дело касалось группы людей, которые в июле прошлого года запускали фейерверки и повредили имущество в центре содержания иммиграционной полиции ICE Prairieland в городе Альварадо, штат Техас. Один из обвиняемых ранил в шею полицейского.
• В Signal есть настройка, которая блокирует отображение содержимого сообщений в push-уведомлениях. Однако если настройки в Signal конкретно на iPhone позволяют отображать уведомления и превью сообщений на экране блокировки, то устройство сохраняет их во внутренней памяти, рассказал сторонник обвиняемых.
• В 404 Media считают, что эта уязвимость затрагивает любые мессенджеры, а не только Signal. Проблема заключается в том, как Apple обрабатывает push-уведомления.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
• 26 января 2004 в России был зафиксирован первый случай заражения новой малварью, которую назвали MyDoom. Всего за неделю, распространяясь через электронную почту, MyDoom поразил до 500 тысяч компьютеров по всему миру. Этот червь стал настоящим рекордсменом по скорости распространения и даже умудрился частично парализовать работу поисковых систем (Google, Yahoo!, AltaVista и Lycos), а на пике активности исходящий от MyDoom спам снизил мировой интернет-трафик на 10 процентов. В то время MyDoom генерировал 16-25% от общего числа всех писем в мире.
• В 2011 году эксперты McAfee и вовсе признали MyDoom самой «дорогой» малварью в истории: убытки, связанные с потерей производительности и прекращением торговли в связи с заражением вирусом в результате крупных спам-кампаний, в конечном итоге составили 38 миллиардов долларов.
• MyDoom распространяется через электронные письма с вредоносными вложениями. На каждой новой зараженной машине малварь ищет новые email-адреса в различных файлах, а затем рассылает свои копии по всем обнаруженным адресам. При этом спам маскируется, к примеру, под уведомления о неудачной доставке сообщения, или тема письма может содержать случайные символы и слова «
hello», «hi» и так далее. Казалось бы, такие приманки можно отнести к числу самых примитивных, но они работают по сей день.• В период с 2015 по 2018 год порядка 1,1% всех электронных писем с вредоносными вложениями содержали червя именно MyDoom. Жертвами таких вредоносных рассылок становятся компании из самых разных отраслей, начиная от высоких технологий, оптовой и розничной торговли, до здравоохранения, образования и производства.
• В первой половине 2019 года MyDoom даже продемонстрировал небольшой рост количества образцов малвари, а также увеличение количества вредоносных писем, отправляемых и получаемых жертвами. Основными источниками такой корреспонденции являются США, Китай и Великобритания.
• Фактически MyDoom полностью самодостаточен и автономен. Червь может распространяться вечно, до тех пор, пока люди продолжают открывать почтовые вложения.
• Кстати, в самом начале своей активности MyDoom атаковал сайт Microsoft. Червь был слишком мало распространён и потому не нанёс ему серьёзного ущерба. Однако Microsoft назначила свои $250 000 «за голову» его создателя. Эти деньги не нашли получателя — мир так и не узнал, кто создал MyDoom.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM