🎹 80% новых уязвимостей сопровождаются всплесками вредоносной активности до их раскрытия

Исследователи из GreyNoise выяснили: в 80% случаев перед появлением новых CVE наблюдаются всплески подозрительной сетевой активности — сканирование, подбор паролей, попытки пробить периметр. Причём эти пики происходят за 3–6 недель до официального раскрытия уязвимости.

GreyNoise проанализировали 216 подобных событий, исключив шум и дубли, и пришли к выводу — такие атаки не случайны, а повторяются по узнаваемым схемам. Особенно сильная корреляция обнаружена у продуктов Ivanti, SonicWall, Palo Alto, Fortinet, меньше — у MikroTik, Cisco и Citrix.

Чаще всего в атаках использовались старые эксплойты, но это не "спам по базам" — так злоумышленники ищут потенциальные цели и подготавливают почву для новых атак, когда свежая уязвимость будет известна (и, возможно, уже найдена ими).

Поведение атакующих — это сигнал, не фон. CVE может быть сюрпризом только для тех, кто не следит за трафиком.

Типичный 🥸 Сисадмин

Типичный понедельник в серверной.

Типичный 🥸 Сисадмин

💪 Google будет угадывать возраст пользователей, используя ИИ.

Google внедряет в США и ЕС новую систему на основе машинного обучения, которая будет оценивать возраст пользователей по их цифровому следу. Официальная цель классическая - "безопасность детей" (вроде UK Online Safety Act) и ограничение доступа к контенту.

Технически это работает так. ML-модель анализирует целый набор сигналов, поисковые запросы, историю просмотров на YouTube, возраст аккаунта и, возможно, кросс-сервисные данные 😶. Если модель решает, что пользователь, скорее всего, младше 18 лет, на его аккаунт автоматически накладываются ограничения. Пользователь получает уведомление и, если он не согласен, может пройти процедуру верификации, предоставив фото ID, селфи или иные данные по личности.

Получается, теперь Google будет не только знать, что вы ищете, но и решать, достаточно ли вы взрослый, чтобы это искать. А если вы не согласны, то добро пожаловать в цифровой паспортный стол.

Типичный 🥸 Сисадмин

Целая эпоха на одном скриншоте 😢

Типичный 🥸 Сисадмин

Когда попросили обеспечить Tier IV надежность для серверной стойки при бюджете в 500 рублей. В ход идут упсовые кабеля папа-мама, скруточки и, конечно же, эталонный кабель-менеджмент. Пожарный инспектор будет в восторге 🔥

Там можно запутаться в терминах, но идея в том, что службе АСКУЕ доверили САМИМ собрать шкаф
#предложка

Типичный 🥸 Сисадмин

😊 Kali Linux теперь запускается на macOS Sequoia

Apple сделала неожиданно тёплый жест в сторону Linux-сообщества: теперь на macOS Sequoia можно запускать Kali Linux — тот самый хакерский дистрибутив для пентестеров и специалистов по безопасности. Без виртуалок и двойной загрузки — всё работает через новый контейнерный фреймворк Container, а установка занимает пару команд в терминале.

Технология работает только на Apple Silicon (M1, M2 и дальше), и представляет собой аналог WSL2: внутри macOS запускается изолированная виртуальная среда с Linux. Всё на базе нативной виртуализации Apple, без сторонних гипервизоров. Kali тянется с DockerHub и поднимается как обычный контейнер: container run --rm -it kalilinux/kali-rolling.

🥸 godnoTECH - Новости IT

Типичный сон админа после тяжелого трудового дня. Ты наконец-то решил все проблемы, закрыл все тикеты и выглядываешь в окно, чтобы увидеть рассвет. А рассвет выглядит так.

Типичный 🛌 Сисадмин

🎹 Разработчик запустил свой код на сервере, имея лишь возможность изменения содержимого комментария в Python-скрипте

На UIUCTF 2025 один из участников выполнил удалённое выполнение кода, несмотря на то, что мог менять только содержимое комментария в Python-скрипте. Подробностями он поделился в блоге — и это отличная демонстрация, как знание особенностей интерпретатора может победить защиту.

В рамах этой задачи можно было отправить сетевой запрос к Python-скрипту, который создавал новый Python-скрипт cо случайными именем, добавлял поступившие от пользователя данные в текст комментария, вырезав символы "\n" и "\r", и запускал этот скрипт командой "python3 имя.py". Контролируя только содержимое комментария, участник должен был извлечь строку из файла "/home/ctfuser/flag".

Задание было сформировано по мотивам уязвимости в парсере CPython, который обрабатывал символ с нулевым кодом как окончание строки (уязвимость, например, можно было использовать для скрытия вредоносных действий в тексте комментария).

Подробнее о задаче и её решении:

В применяемом в конкурсе обработчике вырезались только символы «\n» и «\r», но при использовании уязвимой версии СPython участник мог использовать символ «\0» как разделитель. Тем не менее, этот трюк не сработал, так как в конкурсе использовалась уже исправленная версия CPython c расчётом, что в парсере могут оставаться ещё какие‑то похожие ошибки и участники смогут их выявить.

Разработчик не стал искать новые уязвимости в парсере, которые бы позволили разбить строку на части, а воспользовался особенностью выполнения в Python файлов по типу их содержимого. Например, вместо исходного кода в файл с расширением «.py» можно поместить прокэшированный байткод, сохраняемый в файлах с расширением «.pyc», и подобный файл будет выполнен. В рассматриваемом конкурсе участник мог контролировать только содержимое в середине файла, поэтому не мог добавить свой заголовок для искажения MIME‑типа.

Задачу удалось решить, воспользовавшись тем, что Python начиная с ветки 2.6 может исполнять содержимое ZIP‑архивов для поставки Python‑пакетов в сжатом виде. Как и в случае с кэшем байткода, наличие zip‑архива определяется по содержимому, а не по расширению файла, т. е. в «файл.py» можно поместить zip‑архив и при запуске командой «python файл.py» он будет обработан, как сжатый Python‑пакет. При этом ZIP‑архивы в Python индексируются не по заголовку в начале файла, а по секции EOCD (End of Central Directory Record) в конце файла. При наличии в архиве файла «main.py», этот файл запускается автоматически при прямом запуске архива командой «python архив».

Конкурсная задача была решена генерацией подобного ZIP‑архива и подстановкой его в текст комментария. Для сохранения корректности структуры файла в условиях наличия в конце исходного файла вызова 'print(«Thanks for playing!»)', было использовано наличие в EOCD‑секции области комментария, размещаемой в самом конце.

Типичный 🥸 Сисадмин

История одного инцидента 🚨

В одной крупной компании недавно внедрили UEBA-систему 🙂 (анализирует поведение пользователей и ищет аномалии). И вот, глубокой ночью, эта система начинает бить в набат.

Сработал алерт о крайне аномальной утечке данных с ноутбука одного из топ-менеджеров. Дашборд показывал страшную картину, где гигабайты зашифрованного трафика уходят на какой-то неизвестный IP-адрес. Уверенность системы в том, что это взлом, была почти стопроцентной.

Сердце, конечно, ушло в пятки. Утечка с ноута топа это лютый сценарий и весёлые перспективы. Тут же подняли по тревоге всю команду реагирования на инциденты, начали готовить отчеты для руководства и уже морально готовились к 🔞

А оказалось... руководитель просто вернулся из отпуска. Его корпоративный ноутбук, впервые за две недели подключившись к интернету, начал усердно синхронизировать гигабайты фотографий и видео с пляжа, и увеселительных заведений в его личное облако. UEBA-система, не имея истории такого поведения для этого пользователя и видя огромный объем трафика на неодобренный сервис, тут же решила, что это атака и кража корпоративных секретов.

По итогам инцидента правила допилили. С руководством проведена профилактическая беседа о том, что рабочий ноут не семейный фотоальбом... В памяти команды этот случай навсегда остался инцидентом с шашлыками.

Типичный 🥸 Сисадмин

Мы внедрили Agile и CI/CD, чтобы ускорить разработку! 😊

MemOps 😃

Изолированные контейнеры, работающие на одном ядре. Всё по учебнику.

Типичный 🐳 Сисадмин

Великий китайский файрвол дал сбой при попытке заблокировать QUIC

Исследователи из нескольких и группа активистов Great Firewall Report обнаружили, что недавняя попытка Китая обновить свой "Великий китайский файрвол" (GFW) для блокировки трафика по протоколу QUIC оказалась неудачной и создала новые уязвимости в самой системе цензуры.

QUIC — это современный транспортный протокол, работающий поверх UDP, который ускоряет соединение по сравнению с TCP. Его активно используют Google и Meta, поэтому для китайских цензоров блокировка QUIC логичный шаг. Однако, в отличие от TLS, где Server Name Indication (SNI) передается в открытом виде, в QUIC даже первый пакет зашифрован. Чтобы прочитать SNI и понять, куда идет пользователь, GFW приходится расшифровывать первый пакет каждого QUIC-соединения.

Именно здесь и начались проблемы. Оказалось, что GFW пытается блокировать QUIC даже для тех доменов, которые его не поддерживают, а его черный список для QUIC на 40% меньше, чем для DNS. Более того, файрвол пытается обрабатывать даже некорректные QUIC-пакеты, тратя на это ресурсы. Из-за высокой вычислительной нагрузки эффективность блокировок сильно зависит от времени суток, ночью, когда трафика мало, она достигает пика, а днем, в часы пик, - падает.

Но самое интересное, в том, что эту особенность можно использовать для атаки на сам GFW. Отправляя специально сформированные QUIC-пакеты, можно целенаправленно нагружать и деградировать инфраструктуру файрвола из-за пределов Китая 🎹

Кроме того, была найдена уязвимость для атаки на доступность (availability attack). Отправляя поддельные UDP-пакеты с определенными параметрами, можно заставить GFW заблокировать доступ ко всем открытым DNS-резолверам за пределами Китая, что приведет к массовым сбоям DNS по всей стране. Исследователи сообщили об этой уязвимости китайским властям, но те смогли исправить ее лишь частично.

В общем, в попытке закрутить гайки еще сильнее, Китай случайно создал инструмент, который может сломать их же интернет 🏥

Типичный 🥸 Сисадмин

Проект KDE выкатил первую публичную пре-альфа-версию своего нового дистрибутива — KDE Linux (ранее известного как "Project Banana"). Важно не путать его с KDE Neon. Если Neon по сути, свежий KDE поверх Ubuntu LTS для демонстрации новых фич, то KDE Linux совершенно другой проект.

В его основе лежит иммутабельная (immutable) архитектура, явно вдохновленная SteamOS 3. Это означает, что корневой раздел Btrfs находится в режиме только чтение, а обновления системы происходят атомарно, путем замены всего образа ОС, как на смартфонах. Для откатов используются снепшоты Btrfs, а сама система имеет два корневых раздела (A/B), которые обновляются поочередно. Это должно сделать систему пуленепробиваемой и защищенной от сбоев при обновлении.

Дистриб построен на базе Arch Linux, но это не совсем Arch. Из-за иммутабельности здесь нет пакетного менеджера, и пользователь не может устанавливать нативные пакеты, включая проприетарные драйверы Nvidia (поддерживаются только GPU с открытыми драйверами). Приложения устанавливаются в виде изолированных пакетов Flatpak (возможно, добавят и Snap) через магазин KDE Discover.

Пока что проект на очень ранней стадии. Текущая сборка весит более 5 ГБ, обновления - это скачивание полного нового образа (инкрементальные апдейты пока не поддерживаются), нет поддержки Secure Boot, а работает все это только на Wayland. При попытке запустить его в QEMU, рабочий стол падает сразу после логина 😁

Linux / Линукс 🥸

🔨 Уровень брака оставляет желать лучшего: выход процессоров Intel Panther Lake под угрозой

Intel столкнулась с серьёзными проблемами при внедрении своего передового производственного техпроцесса 18A, предназначенного для выпуска чипов нового поколения Panther Lake. Этот техпроцесс должен был вернуть компании лидерство на рынке, однако на практике всё оказалось сложнее: по данным источников, с конца прошлого года только около 5 % произведённых чипов соответствовали техническим требованиям, а к лету 2025 года этот показатель вырос лишь до примерно 10 %. Для нормальной рентабельности Intel, как правило, необходим уровень выхода годной продукции в районе 70–80 %.

Хотя компания официально не раскрывает цифры, её представители уверяют, что процесс улучшится к концу года. Тем не менее не исключено, что Intel придётся продавать чипы в убыток или отложить полноценный запуск.

Типичный 🥸 Сисадмин

Скоро будет опять актуально 😬

З.Ы. Физический маркетплейс Docker-образов.

Типичный 🥸 Сисадмин

Perplexity обвинили в игнорировании robots.txt и маскировке своих ботов

AI-поисковик Perplexity поймали на агрессивном парсинге сайтов в обход robots.txt и с использованием скрытых IP-адресов. По данным Cloudflare, боты Perplexity сначала представляются как PerplexityBot или Perplexity-User и пытаются сканировать сайт. Если их блокируют, они начинают действовать хитрее: меняют user-agent на обычный Google Chrome под macOS и запускают парсинг с IP-адресов, не входящих в их официальный пул, чтобы обойти блокировки по IP.

По данным компании TollBit, количество ботов, игнорирующих robots.txt, выросло с 3.3% до 12.9% всего за один квартал. А соотношение парсинга к реальным переходам людей на сайт просто поражает: у Bing — 11:1, у OpenAI — 179:1, а у Perplexity — 369:1. То есть на 369 запросов от бота приходится всего один переход живого человека.

Пока OpenAI, по данным Cloudflare, ведет себя прилично и даже подписывает свои запросы, другие игроки, похоже, решили, что правила для них не писаны. robots.txt из джентльменского соглашения превращается в бесполезный текстовый файл.

Похоже, скоро единственным надежным способом защититься от AI-парсеров будет не robots.txt, а хорошо настроенный fail2ban с агрессивными правилами.

🥸 godnoTECH - Новости IT

Критические уязвимости в чипах Broadcom на миллионах ПК Dell, позволяющие обойти биометрию любым пальцем 🤙

Исследователи из Cisco Talos опубликовали детальный разбор пяти критических уязвимостей в чипах Broadcom BCM5820X, которые используются в аппаратном анклаве безопасности Dell ControlVault3. Этот модуль установлен в десятках миллионов ноутбуков Dell серий Latitude и Precision и отвечает за безопасное хранение паролей и биометрических данных.

Уязвимости, получившие общее название ReVault, включают в себя чтение/запись за пределами буфера, переполнение буфера на стеке и небезопасную десериализацию (CVE-2025-24311, -25050, -25215, -24922, -24919). Вместе они позволяют реализовать два крайне опасных сценария атаки:

1. Пост-компрометация с персистентностью:

Локальный пользователь без прав администратора может через Windows API выполнить произвольный код в прошивке ControlVault. Это позволяет не только извлечь криптографические ключи, но и внедрить бэкдор, который переживет переустановку Windows и будет незаметен для большинства защитных средств.

2. Физическая атака:

Злоумышленник, получив физический доступ к ноутбуку, может вскрыть корпус и напрямую подключиться к USH-модулю через USB. Это позволяет обойти логин Windows и шифрование диска. Более того, можно модифицировать прошивку так, чтобы система принимала любой отпечаток пальца для разблокировки (в демонстрации Talos для этого использовали луковицу).

Dell выпустила исправления (DSA-2025-053).

Типичный 🎹 Сисадмин