Подкатил первый в этом году Patch Tuesday от Microsoft с исправлениями для 114 уязвимостей, в том числе одной активно используемой и двух публично раскрытых 0-day.

Patch Tuesday устраняет восемь критических уязвимостей, 6 из которых представляют собой RCE, а 2 - EoP.

Общее распределение по категориям выглядит следующим образом: 57 - EoP, 3 - обоход функции безопасности, 22 - RCE, 22 - раскрытие информации, 2 - DoS, 5 - подмена данных.

Активно эксплуатируемая 0-day, исправленная в январском Patch Tuesday, отслеживается как CVE-2026-20805 и затрагивает диспетчер окон рабочего стола, приводя к раскрытию информации.

Как поясняет Microsoft, раскрытие конфиденциальной информации неавторизованному пользователю в Desktop Windows Manager позволяет авторизованному злоумышленнику получить доступ к информации локально.

Компания заявляет, что успешная эксплуатация этой уязвимости позволяет злоумышленникам считывать адреса памяти, связанные с удаленным портом ALPC.

В случае успешной реализации этой уязвимости злоумышленником может быть раскрыта информация, представляющая собой адрес участка удаленного порта ALPC, то есть памяти пользовательского режима.

Она была выявлена Центром анализа угроз Microsoft (MSTIC) и Центром реагирования на угрозы безопасности Microsoft (MSRC), однако подробности ее исправления в реальных условиях не сообщаются.

Среди публично раскрытых 0-day - CVE-2026-21265 и CVE-2023-31096.

Первая представляет собой уязвимость обхода функции безопасности, связанной с истечением срока действия сертификата безопасной загрузки.

Microsoft предупреждает, что срок действия сертификатов Windows Secure Boot, выданных в 2011 году, подходит к концу, и системы, которые не были обновлены, подвержены повышенному риску обхода безопасной загрузки злоумышленниками.

Исправления обновляют затронутые сертификаты для сохранения цепочки доверия безопасной загрузки и позволяют продолжать проверку компонентов загрузки.

Компания ранее сообщала об этой уязвимости в июньском уведомлении по сертификатам Windows Secure Boot и обновлениям центра сертификации.

Другая 0-day (CVE-2023-31096) связана с повышением привилегий в драйвере программного модема Windows Agere.

Ранее в октябрьском патче пользователей предупреждали об активно используемых уязвимостях в стороннем драйвере модема Agere, поставляемом с поддерживаемыми версиями Windows, и отмечалось, что они будут устранены в будущем обновлении.

Уязвимости были использованы для получения административных привилегий в скомпрометированных системах. В рамках январских обновлений Microsoft удалила уязвимые драйверы agrsm64.sys и agrsm.sys из Windows.

Полное описание каждой уязвимости и затронутых систем - здесь.

Trust Wallet полагает, что взлом ее расширения для браузера, в результате которого было украдено около 8,5 млн. долларов из более чем 2500 криптокошельков, вероятно, связан с ноябрской атакой Sha1-Hulud.

Как ранее мы сообщали, в результате инцидента 24 декабря были украдены миллионы долларов в криптовалюте из взломанных кошельков пользователей Trust Wallet.

Это случилось после того, как злоумышленники добавили вредоносный JavaScript-файл в версию 2.68.0 расширения Trust Wallet для Chrome, который позволил злоумышленникам похитить конфиденциальные данные кошелька и совершить несанкционированные транзакции.

В результате атаки были раскрыты секретные данные разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к исходному коду расширения для браузера и ключу API Chrome Web Store (CWS).

Злоумышленник получил полный доступ к API CWS через утёкший ключ, что позволило загружать сборки напрямую, минуя стандартный процесс выпуска Trust Wallet, требующий внутреннего утверждения/ручной проверки.

Как пояснили в Trust Wallet, на следующем этапе атаки злоумышленник зарегистрировал домен metrics-trustwallet.com и поддомен api.metrics-trustwallet.com для размещения вредоносного кода, который впоследствии был задействован в троянизированной версии расширения.

Модифицированная версия была создана с использованием исходного кода, полученного через раскрытые секреты разработчиков GitHub, что позволило злоумышленнику внедрить вредоносный код для сбора конфиденциальных данных без использования традиционных методов внедрения кода.

Используя утекший ключ CWS, злоумышленник опубликовал версию 2.68 в Chrome Web Store, которая была автоматически выпущена после прохождения проверки со стороны Trust Wallet.

В ответ на инцидент Trust Wallet отозвала все API для выпуска новых версий для блокировки попыток их распространения, а также сообщила о вредоносных доменах регистратору NiceNIC, который незамедлительно заблокировал их.

Trust Wallet также начала возмещать убытки жертвам инцидента, предупреждая о том, что злоумышленники в настоящее время выдают себя за службу поддержки, распространяя фейковые формы для получения компенсации и реализуют мошеннические схемы через рекламу в телеге.

Стоит напомнить, что Sha1-Hulud (Shai-Hulud 2.0) - это атака на цепочку поставок, нацеленная на реестр программного обеспечения npm, в котором зарегистрировано более 2 миллионов пакетов.

В результате первоначальной вспышки в начале сентября злоумышленники скомпрометировали более 180 пакетов npm, используя самораспространяющуюся полезную нагрузку, применив ее для кражи секретов разработчиков и ключей API с помощью инструмента TruffleHog.

Shai-Hulud 2.0 разросся в геометрической прогрессии и затронул уже более 800 пакетов, добавив в репозиторий npm более 27 000 вредоносных пакетов, которые использовали вредоносный код для сбора секретов разработчиков и CI/CD и публикации их на GitHub.

В общей сложности Sha1-Hulud раскрыл около 400 000 необработанных секретов и опубликовал украденные данные в более чем 30 000 репозиториях GitHub, при этом более 60% утекших токенов NPM оставались действительными по состоянию на 1 декабря.

Как полагают исследователи Wiz, злоумышленники продолжают совершенствовать свои операции по сбору учетных данных, используя экосистему npm и GitHub, а учитывая растущую изощренность и достигнутые успехи, прогнозируется продолжение атак, в том числе с применением накопленного к настоящему моменту массива учетных данных.

Почти 60 000 экземпляров n8n в сети остаются незащищенными от уязвимости максимальной степени серьезности, получившей название Ni8mare.

n8n представляет собой платформу автоматизации рабочих процессов с открытым исходным кодом, которая позволяет подключать различные приложения и сервисы с помощью готовых коннекторов и визуального интерфейса на основе узлов без написания кода.

Платформа широко используется в разработке ИИ для автоматизации сбора данных, создания ИИ-агентов и конвейеров RAG, имеет более 100 млн. загрузок на Docker Hub и более 50 000 еженедельных скачиваний на npm.

Поскольку n8n служит центральным узлом автоматизации, она часто хранит ключи API, токены OAuth, учетные данные баз данных, доступ к облачному хранилищу, секреты CI/CD и бизнес-данные, что делает его привлекательной целью для злоумышленников.

Упомянутая уязвимость отслеживается как CVE-2026-21858 и связана с некорректной проверкой входных данных, позволяя удаленным неаутентифицированным злоумышленникам получить контроль над локально развернутыми экземплярами n8n после получения доступа к файлам на базовом сервере.

Уязвимый рабочий процесс может предоставить доступ неавторизованному удаленному злоумышленнику, что потенциально может привести к утечке информации в системе и способствовать дальнейшей компрометации в зависимости от конфигурации развертывания и использования рабочего процесса.

Экземпляр n8n потенциально уязвим, если в нем активен рабочий процесс с триггером отправки формы, принимающим элемент файла, и узлом завершения формы, возвращающим бинарный файл.

Обнаружившие Ni8mare в начале ноября исследователи Cyera отмечают, что уязвимость заключается в путанице типов содержимого при анализе данных в n8n, что может быть использовано для раскрытия секретов, хранящихся на экземпляре, подделки сессионных cookie для обхода аутентификации, внедрения конфиденциальных файлов в рабочие процессы или даже выполнения произвольных команд.

В свою очередь, Shadowserver задетектировала 105 753 незащищенных экземпляра в открытом доступе, при этом 59 558 оставались незащищенными по состоянию на воскресенье. Из них более 28 000 IP относились к США и более 21 000 располагались в Европе.

Для предотвращения потенциальных атак администраторам рекомендуется как можно скорее обновить свои экземпляры n8n до версии 1.121.0 или более поздней.

Несмотря на то, что разработчики n8n заявляют об отсутствии обходного пути для Ni8mare, администраторы могут блокировать потенциальные атаки, ограничивая или отключая общедоступные конечные точки веб-перехватчиков и форм.

Разработчики n8n также представили шаблон для сканирования экземпляров на наличие потенциально уязвимых рабочих процессов.

Позитивы завершают подведение киберитогов 2025 года отчетом про уязвимости в железе и программном обеспечении.

Из основного:

- Белый хакинг: ключевые цифры и новые базы уязвимостей:

В прошлом году исследователи Positive Technologies обнаружили около 450 0-day (большая часть устранена) в оборудовании и ПО отечественных и зарубежных поставщиков, включая глобальных мировых лидеров, что вчетверо превышает показатель 2024 года (114 недостатков).

Такой разрыв объясняется не только ростом числа уязвимостей, но и смещением исследовательского фокуса на еще более активный поиск уязвимостей. При этом отношение вендоров к вопросам устранения уязвимостей продолжает меняться в лучшую сторону.

Скорость реагирования разработчиков на уведомление об уязвимости увеличилась на 10%, а число уязвимостей, которые были полностью исправлены в течение 30 дней, увеличилось на 15%, а доля тех, для устранения которых требовалось до 60 дней, сократилась на 20%.

Десятая часть (9%) найденных Positive Technologies дефектов защиты имела критически высокий уровень опасности. При этом прослеживается любопытная тенденция: две трети из них (67%) содержались в промышленных системах и устройствах (АСУ ТП).

Количество брешей в российских решениях выросло почти втрое по сравнению с прошлым годом, составив примерно 30% от общей суммы зафиксированных.

На следующий год Позитивы прогнозируют дальнейший рост количества уязвимостей в отечественном ПО, связывая это с тем, что рынок продолжает переходить на российские продукты, а в коммуникации с зарубежными вендорами по‑прежнему есть некоторые трудности.

- 2025–2026: какие уязвимости были и будут в тренде:

В уходящем году эксперты Positive Technologies отнесли к трендовым 63 уязвимости в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.

Для 47 из 63 трендовых уязвимостей были зафиксированы признаки эксплуатации в атаках, для 12 - публичные эксплойты, но без признаков эксплуатации.

Большинство трендовых уязвимостей было связано с выполнением произвольного кода (30) и с повышением привилегий (19).

Microsoft остается стабильным «поставщиком» трендовых уязвимостей. В этом году продукты вендора содержали 30 таких брешей, что составило 47% от общего количества.

В прошлом году Позитивы прогнозировали увеличение количества трендовых уязвимостей в отечественных продуктах. Их оказалось четыре: RCE в CommuniGate Pro (PT-2024-41 036) и цепочка уязвимостей в TrueConf Server (PT-2025-36 231 - PT-2025-36 233).

В 2026 году ожидается увеличение доли трендовых уязвимостей в отечественных продуктах и преобладающего объема таких уязвимостей в продуктах Microsoft.

- Исследование микроэлектроники и встраиваемых систем: итоги года и прогнозы:

Прошлый год показал рост числа подключенных устройств, а также отмечен выпуском нескольких отечественных микроконтроллеров на архитектуре RISC‑V.

В 2026-м, вероятно, появятся как устройства на их основе, так и новые отечественные микроконтроллеры и даже процессоры. Однако ускорение разработки не должно достигаться за счет снижения уровня защищенности продукта.

Единственный вариант избежать этого - при разработке новых чипов сразу применять подход secure by design. Это приведет к тому, что технологии защиты на уровне железа, такие как аппаратные корни доверия, будут распространяться во все более младшие модели чипов.

В прошлом году мы упоминали про майскую прошлогоднюю операцию спецслужб Финляндии, Нидерландов и США, которым удалось нейтрализовать инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.

Сервис функционировал более десяти лет и позволял разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.

Тогда под арест попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.

Последние два также управлялись администраторами AVCheck.

В своем ТГ-канале администраторы AVCheck заявляли, что сервисы были отключены «из-за непредвиденных обстоятельств», а голландской полиции незадолго до операции удалось запустить фейковую страницу авторизации AVCheck.

Как оказалось, их усилия оказались не напрасными.

На днях силовики Нидерландов арестовали администратора AVCheck, которым оказался 33-летний гражданин Нидерландов, который выехал из страны после названных событий и осел в Объединенных Арабских Эмиратах.

Однако по приезду на родину ему скрутили ласты.

Согласно официальному заявлению THTC, расследование деятельности AVCheck продолжается и, вероятно, будет нацелено на клиентов и других пособников сервиса.

Опубликованы полные технические подробности и PoC для критической уязвимости, затрагивающей Fortinet SIEM, которая может быть использована удаленным неавторизованным злоумышленником для выполнения команд или кода.

Уязвимость отслеживается как CVE-2025-25256 и представляет собой комбинацию двух проблем, позволяющих осуществлять произвольную запись с правами администратора и повышать привилегии до уровня root.

Исследователи Horizon3 сообщили об этой проблеме в середине августа 2025 года, а в начале ноября Fortinet устранила ее в четырех из пяти веток разработки продукта и на этой неделе объявила, что все уязвимые версии были исправлены.

Fortinet описывет CVE-2025-25256 как «неправильную нейтрализацию специальных элементов, используемых в командах ОС FortiSIEM, которая позволяет неавторизованному злоумышленнику выполнить несанкционированный код или команды посредством специально сформированных TCP-запросов.

В свою очередь, Horizon3 опубликовала подробное описание уязвимости, согласно которому ее первопричина заключается в доступности десятков обработчиков команд в сервисе phMonitor, которые можно вызывать удаленно без аутентификации.

Исследователи полагают, что этот сервис на протяжении нескольких лет являлся точкой входа для многочисленных уязвимостей FortiSIEM, включая CVE-2023-34992 и CVE-2024-23108, подчеркивая, что банды вымогателей (в частности, Black Basta) ранее проявляли особый интерес к таким недостаткам.

Наряду с техническими подробностями CVE-2025-25256, исследователи также опубликовали PoC-эксплойт после того, как поставщик выпустил исправления и опубликовал уведомление по безопасности.

Уязвимость затрагивает версии FortiSIEM от 6.7 до 7.5, и исправления были выпущены для: 7.4.1, 7.3.5, 7.2.7 и 7.1.9 (и выше).

Уязвимости CVE-2025-25256 также подвержены FortiSIEM 7.0 и 6.7.0, но их поддержка прекращена, поэтому они не получат исправления.

При этом FortiSIEM 7.5 и FortiSIEM Cloud на не затрагиваются.

Единственное обходное решение, предложенное поставщиком для тех, кто не может немедленно установить обновление безопасности, - это ограничить доступ к порту phMonitor (7900).

Исследователи Horizon3 также поделились индикаторами компрометации, которые могут помочь обнаружить скомпрометированные системы.

При просмотре логов сообщений, полученных phMonitor (/opt/phoenix/log/phoenix.logs), строка с PHL_ERROR должна содержать URL-адрес полезной нагрузки и файл, в который она была записана.

Node.js выпустила исправления критической CVE-2025-59466 (CVSS: 7,5), затрагивающей «практически каждое» работающее приложение Node.js, которая в случае успешной эксплуатации может привести к DoS.

Недостаток обусловлен тем, что Node.js завершает работу с кодом 7 (обозначающим ошибку обработки внутренних исключений во время выполнения), вместо того чтобы корректно обрабатывать исключение при переполнении стека в пользовательском коде, когда включен async_hooks.

Async_hooks - это низкоуровневый API Node.js, который позволяет разработчикам отслеживать жизненный цикл асинхронных ресурсов, таких как запросы к базе данных, таймеры или HTTP-запросы.

По словам разработчиков Node.js, проблема затрагивает несколько фреймворков и инструментов мониторинга производительности приложений (APM), включая React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM и OpenTelemetry.

Причина в использовании AsyncLocalStorage - компонента на основе модуля async_hooks, который позволяет хранить данные на протяжении всего времени выполнения асинхронной операции.

Проблема была решена в следующих версиях: Node.js 20.20.0 (LTS), 22.22.0 (LTS), 24.13.0 (LTS) и 25.3.0 (текущая версия), затрагивает все версии Node.js, начиная с 8.x, первой версии с async_hooks, и заканчивая 18.x.

При этом EoL-версии останутся без исправлений.

Реализованное исправление обнаруживает ошибки переполнения стека и повторно генерирует исключение в пользовательском коде вместо того, чтобы рассматривать их как фатальные.

Несмотря на значительное практическое влияние, Node.js заявила, что рассматривает исправление лишь как меру по смягчению последствий по нескольким причинам.

Дело в том, что исчерпание пространства стека не является частью спецификации ECMAScript. Движок JavaScript V8 не рассматривает это как проблему безопасности.

И, наконец, следует также учитывать ограничения обработчика uncaughtException, который предназначен для использования в качестве механизма обработки исключений в крайнем случае.

Ввиду серьезности уязвимости пользователям рекомендуется как можно скорее обновиться, а разработчикам - применять более надежные меры защиты для предотвращения исчерпания пространства стека и обеспечения доступности сервиса.

Помимо CVE-2025-59466, Node.js выпустила исправления для других серьезных CVE-2025-55131, CVE-2025-55130 и CVE-2025-59465, которые могли быть использованы для утечки или повреждения данных, чтения конфиденциальных файлов с использованием специально созданных относительных символических ссылок (symlink) и запуска удаленной атаки типа DoS соответственно.

Palo Alto Networks устранила серьезную уязвимость, которая позволяет неавторизованным злоумышленникам отключать защиту межсетевого экрана при проведении DoS-атак.

CVE-2026-0227 (CVSS: 7,7) затрагивает NGWV (работающие под управлением PAN-OS 10.1 или более поздней версии) и конфигурации Prisma Access от Palo Alto Networks при включенном шлюзе или портале GlobalProtect, но не затрагивает NGFW в облаке.

При этом большинство облачных экземпляров Prisma Access уже обновлены, а оставшиеся, требующие защиты, запланированы к обновлению.

Как отмечают в Palo Alto Networks, уязвимость PAN-OS’а позволяет неавторизованному злоумышленнику вызвать DoS межсетевого экрана, а многократно используя ее, злоумышленник может принудительно перевести устройство в режим обслуживания.

В свою очередь, Shadowserver сообщает об обнаружении около 6000 межсетевых экранов Palo Alto Networks в открытом доступе в сети, однако точная информация о том, сколько из них имеют уязвимые конфигурации или уже были исправлены, пока нет.

Собственно, как и каких-либо доказательств задействования CVE-2026-0227 в реальных атаках.

Обновления доступны для всех затронутых версий, администраторам рекомендуется накатить их как можно скорее, дабы защитить свои системы от потенциальных атак. Тем более, что PoC-эксплойт для нее уже доступен.

Новое исследование по Predator показывает, что шпионское ПО оказалось гораздо сложнее и опаснее, чем считалось ранее.

Predator, первоначально разработанный компанией Cytrox, - как известно, сложное коммерческое spyware.

В 2018 году Cytrox приобрел Таль Дилян, бывший офицер израильской военной разведки, а через год основал Intellexa с прицелом на разработку и продвижение различных инструментов кибершпионажа, включая Predator, ставший флагманским продуктом компании.

В настоящее время многие исследователи считают его более продвинутым и опциональным, нежели распиаренный продукт NSO Group - Pegasus. Не зря, и Cytrox, и Intellexa получили одобрение правительства США.

В декабре 2024 года исследователи Google Threat Intelligence Group выкатили исследование кода Predator, а вслед за ними свое исследование представила Jamf, в котором подробно описала ранее не задокументированные механизмы, демонстрирующие сложность Predator.

Отчет показывает, что Predator - это не просто шпионское ПО, а также и инструмент самодиагностики, предоставляющий разработчикам информацию о причинах провала той или иной атаки.

Он способен учиться на ошибках, улучшая будущие версий и повышая их скрытность.

Как отмечают в Jamf, примечательность архитектуры CSWatcherSpawner заключается не только в широком спектре проверок, но и в механизме отчетности, который предоставляет операторам точную диагностическую информацию в случае сбоя развертывания. 

Исследователи обнаружили таксономию кодов ошибок, активируемых элементом защиты от анализа шпионского ПО.

Они обеспечивают отправку информации о причине прерывания атаки (например, запущенные инструменты безопасности/анализа, настроенный HTTP-прокси и т.д.) в инфраструктуру C2 до того, как вредоносное ПО завершит работу и покинет систему.

При этом коды ошибок отображаются последовательно, однако в нумерации были выявлены пробелы.

Это навело на предположение о том, что отсутствующие коды могут быть зарезервированы для будущих версий Predator, могут быть специфичными для конкретной версии или функциями, удаленными из более ранних версий, или же являться частью центральной таксономии, используемой в нескольких инструментах Intellexa.

Какова бы ни была реальная причина, использование таксономии и пробелы в ней демонстрируют адаптивный характер продукта.

Тем не менее, не все обнаруженные ошибки остались неизвестными.

Например, Google отмечала, что Predator обнаруживает режим разработчика Apple, но Jamf более подробно объяснила, как работает это обнаружение.

Режим разработчика был представлен в iOS 16 специально для исследователей и разработчиков.

Обнаруживая его, Predator фактически интерпретирует это как: «если вы включили функции разработчика, вы, вероятно, не являетесь обычной целью».

Google также отметила, что Predator избегает запуска в США и Израиле. В свою очередь, Jamf объясняет, как это делается.

Исключение из списка сайтов, распространяемых в США, вероятно, связано с американскими санкциями и желанием избежать более тщательной проверки со стороны американских спецслужб.

А исключение Израиля объяснить сложнее, но это может быть связано с осведомленностью Диляна по части возможностей израильских спецслужб в киберсфере.

В ходе анализа Jamf нашлось и новое направление противодействия криминалистическому анализу, связанное с отчетами о сбоях.

Когда происходит сбой, который может выявить присутствие Predator, вредоносная ПО обрабатывает или удаляет журнал сбоев цели до того, как его можно будет синхронизировать или изучить.

В целом, аналитика Jamf указывает на то, что Predator, и особенно его возможности противодействия анализу, гораздо сложнее, чем считалось ранее.

Почему новой критической уязвимости нет в КЕV? Потому что эту уязвимость эксплуатирует NSA.

Когда CISA добавляет эту уязвимость в KEV? Когда NSA перестало ее эксплуатировать в связи с принятием на вооружение более новой критической уязвимости.

Современные системы для защиты голосов пользователей от клонирования, остаются по-прежнему малоэффективными: их можно обойти с помощью специализированных инструментов.

Подобные системы реализуют внесение рандомного шума в голосовые аудиозаписи, предотвращая копирование голоса пользователя технологиями клонирования на основе ИИ.

Атаки с использованием клонирования голоса все еще возможны, но они приводят к получению низкокачественного результата, который легко обнаружить как вручную, так и автоматизированными сервисами.

Однако исследователи из Техасского университета в Сан-Антонио полагают, что такие системы имеют ряд недостатков и могут нивелироваться, если злоумышленники смогут отработать этот дополнительный шум.

Исследовательская группа разработала инструмент под названием VocalBridge, который способен «чистить» треки с добавленным шумом и восстанавливать оригинальные голоса.

Разработанная атака объединяет результаты работы других исследователей по шумоподавлению с помощью определенных алгоритмов и создает модель, способную учитывать различные типы шума и колебаний для повышения эффективности и производительности.

Согласно тестам, проведенным с использованием пяти инструментов для подавления искажений/шума в речи (AntiFake, SafeSpeech, POP, GAN-ADV и Attack-VC), VocalBridge смог восстановить оригинальные голоса в достаточной степени, чтобы обойти средства защиты от клонирования голоса.

Показатель успешности восстановления аутентификации (ARR), определяющий, удалось ли голосу обойти защиту от клонирования голоса, составлял от 23% до 45%.

Результаты исследования подтверждают более ранние предупреждения о нестабильности и скрытой опасности аутентификации по «голосовому отпечатку», которую многие банки и интернет-провайдеры по всему миру.

С бурным развитием ИИ некоторые осознали свою ошибку и отказались от первоначальных внедрений.

Голосовые отпечатки были понижены до второстепенного фактора, но все еще остаются сервисы, где они являются ключевым фактором при взаимодействии с пользователями по телефону, например, каналы технической поддержки и обслуживания клиентов.

Тем не менее, обход голосового отпечатка в качестве второй проверки многофакторной аутентификации по-прежнему остается заветной целью для многих злоумышленников, даже при, казалось бы, низкой вероятности успеха в 20-40%, если конечная цель достаточно привлекательна.

Cisco наконец-то устранила 0-day в AsyncOS максимальной степени серьезности, которая задействовалась в реальных атаках на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM), как минимум с ноября 2025 года.

Как пояснила Cisco еще в декабре в ходе раскрытия CVE-2025-20393, она затрагивает только устройства Cisco SEG и Cisco SEWM с нестандартными конфигурациями, когда функция карантина спама включена и доступна в интернете.

Уязвимость некорректной проверки входных данных в устройствах Cisco Secure Email Gateway, Secure Email, AsyncOS Software и Web Manager позволяет выполнять произвольные команды с правами root в базовой операционной системе затронутого устройства.

Исследовательская группа Cisco Talos полагает, что за атаками, использующими уязвимость для выполнения произвольных команд с правами root, вероятно, стоит китайская хакерская группа UAT-9686.

В ходе расследования Cisco Talos обнаружила, что злоумышленники использовали бэкдоры AquaShell, вредоносные ПО для создания обратных SSH-туннелей AquaTunnel и Chisel, а также инструмент очистки журналов AquaPurge для сокрытия следов своей деятельности.

AquaTunnel и другие вредоносные инструменты, используемые в наблюдаемой кампании, ранее также фигурировали в работе других APT, включая APT41 и UNC5174.

Как заявили в Cisco Talos, с умеренной степенью уверенности актор, которого удалось отследить как UAT-9686, является китайской APT, чьи используемые инструменты и инфраструктура коррелируют с другими китайскими группами, занимающимися кибершпионажем.

Подробные инструкции по обновлению уязвимых устройств до исправленной версии ПО доступны в уведомлении по безопасности.

Киберподполье взяло на вооружение уязвимость максимальной степени серьезности в плагине Modular DS для WordPress с более чем 40 000 установок, которая позволяет удаленно обходить аутентификацию и получать доступ к уязвимым сайтам с правами администратора.

Плагин позволяет владельцам, разработчикам или хостинг-провайдерам удаленно отслеживать сайты, выполнять обновления, управлять пользователями, получать доступ к информации о сервере, запускать задачи по техническому обслуживанию и входить в систему.

Уязвимость отслеживается как CVE-2026-23550 и затрагивает версии 2.5.1 и более ранние версии Modular DS, плагина управления, позволяющего фактически управлять несколькими сайтами WordPress из единого интерфейса.

По данным исследователей Patchstack, CVE-2026-23550 в настоящее время активно используется злоумышленниками, первые атаки были зафиксированы 13 января около 02:00 UTC.

Patchstack подтвердила наличие уязвимости и связалась с поставщиком на следующий день.

В свою очередь, Modular DS выпустила исправление в рамках версии 2.5.2 всего через несколько часов.

Уязвимость вызвана рядом недостатков в проектировании и реализации, включая принятие запросов как доверенных при активации режима «прямого запроса» без криптографической проверки их происхождения.

Такое поведение раскрывает доступ к нескольким конфиденциальным маршрутам и активирует механизм автоматического резервного входа в систему администратора.

Если в теле запроса не указан конкретный идентификатор пользователя, плагин получает данные существующего администратора или суперадминистратора, а затем автоматически входит в систему под этой учетной записью.

Как поясняет Patchstack, в методе getLogin(SiteRequest $modularRequest) контроллера src/app/Http/Controllers/AuthController.php предпринимается попытка прочитать идентификатор пользователя из тела запроса $modularRequest. 

Поскольку этот код может быть доступен неавторизованным пользователям из-за ранее описанной уязвимости, это позволяет быстро повысить привилегии.

В версии Modular DS 2.5.2 реализован патч, удаляющий сопоставление маршрутов на основе URL-адресов.

Теперь полностью внедрена проверенная логика фильтрации, добавлен маршрут 404 по умолчанию, распознаются только значения type для привязки маршрута, и включен безопасный режим обработки нераспознанных запросов.

Пользователям Modular DS рекомендуется как можно скорее обновиться до версии 2.5.2 или более поздней.

В бюллетене поставщик рекомендует проверять журналы доступа к серверу на наличие подозрительных запросов, а также администраторов на наличие несанкционированных дополнений.

Также следует перегенерировать все «соли» WordPress после обновления до последней версии.

Исследователи Лёвенского университета обнаружили критическую уязвимость в протоколе Google Fast Pair, которая позволяет злоумышленникам захватывать Bluetooth-аудиоустройства, отслеживать пользователей и прослушивать их разговоры.

CVE-2025-36911 получила название WhisperPair и затрагивает сотни миллионов беспроводных аудиоустройств от разных производителей, поддерживающих функцию Fast Pair от Google.

Она влияет независимо от операционной системы смартфона, поскольку уязвимость находится в самих аксессуарах, а это значит, что пользователи iPhone с уязвимыми устройствами Bluetooth находятся в равной степени под угрозой.

Исследователи, обнаружившие эту уязвимость, объясняют, что она вызвана некорректной реализацией протокола Fast Pair во многих флагманских аудиоаксессуарах.

В соответствии со спецификацией Fast Pair, что устройства Bluetooth должны игнорировать запросы на сопряжение, когда они не находятся в режиме сопряжения, многие производители не внедрили такую проверку.

Для запуска процедуры быстрого сопряжения устройство Seeker (телефон) отправляет сообщение устройству Provider (аксессуару), указывая на выполнение сопряжения.

И если устройство не находится в режиме сопряжения, оно должно игнорировать такие сообщения.

Однако на практике многие устройства не обеспечивают эту проверку, что позволяет неавторизованным устройствам начать процесс сопряжения без согласия или ведома пользователя.

После получения ответа от уязвимого устройства злоумышленник может завершить процедуру быстрого сопряжения, установив обычное Bluetooth-сопряжение.

Злоумышленники могут реализовать WhisperPair, применяя любое устройство с поддержкой Bluetooth (например, ноутбук, Raspberry Pi или даже телефон), чтобы принудительно подключиться к уязвимым аксессуарам от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi на расстоянии до 14 метров за считанные секунды и без участия пользователя или физического доступа.

После сопряжения они могут получить полный контроль над аудиоустройством, что позволяет им воспроизводить звук на высокой громкости или подслушивать разговоры пользователей через микрофон устройства.

CVE-2025-36911 также позволяет злоумышленникам отслеживать местоположение своих жертв с помощью сети Google Find Hub, если устройство никогда не было сопряжено с устройством Android, добавив его в свою учетную запись Google.

Жертва может увидеть нежелательное уведомление о слежке через несколько часов или дней, но это уведомление будет отображать данные с её собственного устройства. Так что скорее всего проигнорируют предупреждение как ошибку.

Google выплатила исследователям максимально возможное вознаграждение в размере 15 000 долларов и совместно с производителями выпустила обновления безопасности в течение 150-дневного периода раскрытия информации.

Однако они отметили, что обновления безопасности, устраняющие эту уязвимость, могут быть еще недоступны для всех уязвимых устройств.

Единственная защита от злоумышленников, пытающихся взломать уязвимые Bluetooth-устройства с поддержкой Fast Pair, заключается в установке обновлений прошивки от производителей устройств.

При этом отключение Fast Pair на телефонах Android не предотвращает атаку, поскольку эту функцию нельзя отключить на самих устройствах.

Недавно упоминали про критическую CVE-2025-64155 в Fortinet FortiSIEM с общедоступным PoC, который в совокупности с техническим описанием выкатили исследователи Horizon3.

И на днях Defused сообщила, что злоумышленники приступили к активной целенаправленной эксплуатации уязвимости в реальных условиях, которую им удалось задетектить в своих ловушках.

Напомним, что CVE-2025-64155 - это комбинация двух проблем, позволяющих произвольно записывать данные с правами администратора и повышать привилегии до уровня root посредством специально сформированных TCP-запросов.

Horizon3 также выкатила IoC, которые могут помочь в выявлении уже скомпрометированных систем.

Администраторы также могут найти артефакты злонамеренных действий, проверив журналы сообщений phMonitor по адресу /opt/phoenix/log/phoenix.logs на наличие URL-адресов полезной нагрузки в строках, содержащих записи PHL_ERROR.

В свою очередь, Fortinet еще не обновила свой бюллетень по безопасности и не указала об использовании CVE-2025-64155 в атаках, и вообще пока никак не комментирует ситуацию.

Так что, будем следить.

Исследователи немецкого Центра информационной безопасности им. Гельмгольца CISPA выкатили технические подробности новой атаки на процессоры AMD, которая позволяет удаленно выполнять код внутри виртуальных машин.

Выявленная проблема, получившая название StackWarp, затрагивает процессоры AMD Zen 1–Zen 5 и позволяет злоумышленнику взламывать виртуальные машины CVM.

Исследователи описали StackWarp как программную архитектурную атаку, в основе которой используется сбой синхронизации в механизме стека, управляющем обновлениями указателей стека на стороне ЦП.

Реализация этой CVE-2025-29943 позволяет злонамеренному хосту виртуальной машины манипулировать указателем стека гостевой виртуальной машины для перехвата потоков управления и данных, что обеспечивает RCE и EoP внутри виртуальных машин.

Исследователи CISPA продемонстрировали влияние атаки в нескольких сценариях, включая восстановление закрытого ключа RSA-2048, обход аутентификации по паролю OpenSSH, обход запроса пароля Sudo и выполнение кода в режиме ядра в виртуальной машине.

Для проведения подобных атак обычно требуется привилегированный контроль над хост-сервером, на котором работают CVM.

Вместе с тем, атаки могут быть инициированы недобросовестными сотрудниками облачного провайдера или опытными злоумышленниками, получившими доступ к системам провайдера.

Правда, вероятность проведения подобной атаки в реальных условиях невелика, но StackWarp показывает, что алгоритм шифрования памяти виртуальных машин AMD SEV-SNP, предназначенный для защиты CVM даже от облачного провайдера, может быть взломан.

Конфиденциальные ключи и пароли могут быть украдены, злоумышленники могут выдавать себя за законных пользователей или получать постоянный контроль над системой, а изоляция между гостевыми виртуальными машинами и хостом или другими виртуальными машинами больше не может быть гарантирована.

AMD была проинформирована об уязвимости и опубликовала свое уведомление, присвоив этой уязвимости низкий уровень серьезности.

Исправления для затронутых серверных продуктов EPYC будут доступны с июля 2025 года. 

В свою очередь, исследователи разработали специализированный сайт для StackWarp, а также опубликовали отчет с полными техническими подробностями. Доступны также и видеоролики с демонстрацией атаки в действии.

Исследователям CyberArk удалось расчехлить достаточно популярный в киберподполье MaaS-сервис StealC благодаря обнаруженной XSS-уязвимости в веб-панели управления, которая позволила им отследить активные сессии и собрать техническую информацию о злоумышленниках.

StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.

Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.

С того времени разработчики StealC внесли множество улучшений в работу сервиса.

С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.

Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.

Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.

Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.

В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.

В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).

Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.

Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.

При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.

CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.

Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.

Но, как обычно, будем посмотреть.