⚠️В Samba обнаружена уязвимость, позволяющая атакующему выполнить произвольные команды на сервере (CVE-2025-10230): unauth RCE

🚨CVSSv3.1: 10 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (максимальный риск)
Затронутые версии: все релизы начиная с 4.0

Суть проблемы: при включённой опции wins support и заданном параметре wins hook на контроллере домена, имена из WINS-запросов передаются в shell без проверки.
Не затронуты: Samba-серверы в роли member или standalone (используют другой WINS).

Срочно обновиться до безопасных версий: Samba 4.23.2, 4.22.5, 4.21.9
Если обновление невозможно - отключите WINS (wins support = no) или уберите параметр wins hook.

grep -E ‘wins support|wins hook’ /etc/samba/smb.conf

Подробности: официальный advisory

🧠 ИИ в руках хакеров: атаки нового поколения или новая реальность.

ИИ перестал быть игрушкой или помощником для разработчиков - теперь его используют APT в реальных атаках. Google Threat Intelligence зафиксировал первые кампании, где LLM встроен прямо в вредоносное ПО.

🌍 Что нашли аналитики:
• PROMPTFLUX - dropper, который переписывает себя через Gemini API.
• PROMPTSTEAL - ворует данные, генерируя команды через Hugging Face.
• QUIETVAULT - охотится за токенами GitHub/NPM и секретами в коде.
• COLDRIVER, VOLTZITE, NORTHSTAR - используют ИИ для фишинга, разведки и генерации payload'ов.

🛠️ 🎭 Соц. инженерия нового уровня:
Злоумышленники притворяются студентами, преподавателями и CTF-участниками, чтобы обмануть защиту моделей и получить доступ к запрещенным prompt'ам.

В даркнете уже продаются ИИ-сервисы «под ключ»: генерация фишинга, поиск уязвимостей, API-доступ.

Это значит, что ИИ становится частью криминальной экономики - доступен каждому, кто готов платить.
Атаки будут меняться на лету: код переписывается прямо во время выполнения.

❓ Что делать с этим всем?
1. Следить за тем, как ИИ используется в атаках - это новая плоскость угроз.
2. Усилить контроль над собственными prompt'ами и API-доступом, в тч MCP.
3. Проверять код и инфраструктуру на признаки «живого» переписывания.
4. С учетом постоянных репортов о байпасах разных моделей, использования IDOR и других CVE - данные выложенные в облачные модели однозначно потекут. Использовать OnDemand LLM.
5. Готовиться к тому, что фишинг и малварь будут выглядеть всё более «человечно» и атаки которые будет отследить все сложнее и сложнее классическому АВПО.

📎 Подробнее в статье

(ZDI-CAN-25373) - Непатченная уязвимость Windows в активной эксплуатации (PlugX)

Суть уязвимости:
Критическая уязвимость в обработке Windows LNK файлов (ярлыков). Позволяет скрывать вредоносные аргументы командной строки в поле Target через добавление пробелов, делая их невидимыми в стандартном UI Windows.

История эксплуатации:
Активно используется APT группами из КНДР, Ирана, России, Китая с 2017 года
Публично раскрыта Trend Micro ZDI в марте 2025

Текущая кампания (сентябрь-октябрь 2025):
Атрибуция: UNC6384
Цели: дипломатические структуры ЕС (Венгрия, Бельгия, Италия, Нидерланды) и авиационные департаменты правительства Сербии

Вектор атаки:
Spearphishing с встроенным URL,
Доставка вредоносных LNK файлов (темы: встречи Еврокомиссии, семинары НАТО),
Запуск обфусцированных PowerShell команд, Многоступенчатая цепочка заражения,
Развертывание PlugX RAT через DLL side-loading легитимных утилит Canon

Позиция Microsoft :-)
Уязвимость зарегистрирована ZDI в сентябре 2024, Microsoft отказалась выпускать патч, считая что не соответствует критериям обслуживания

Предлагаемая защита: Microsoft Defender + Smart App Control и возможно исправление в будущих feature релизах

Индикаторы компрометации:
LNK файлы с аномально длинным Target полем
DLL side-loading через cnmpaui.exe, cnmpauix.exe, cnmplog.dat
HTA файлы с загрузкой JS с CloudFront URL
Инфраструктура C2 на базе CloudFront

Рекомендации:
Блокировка LNK файлов на периметре
Мониторинг аномальных запусков PowerShell через LNK
Контроль DLL side-loading легитимных процессов
Анализ исходящих подключений к CloudFront CDN

https://github.com/advisories/GHSA-6rf6-f9qg-8v94

🔐 5 AI-инструментов для проверки безопасности сайта и кода

Хочешь проверить сайт или код на уязвимости без глубоких знаний в кибербезопасности?
Вот нейросервисы, которые помогут это сделать 👇

1️⃣ PentestGPT — нейросеть, которая проводит автоматический пентест сайта и выдает список найденных уязвимостей.
🔗 https://pentestgpt.ai

2️⃣ Astra Security AI — инструмент для сканирования сайтов, API и серверов на угрозы.
🔗 https://www.getastra.com

3️⃣ CodeQL by GitHub — AI-анализатор исходного кода. Помогает находить SQL-инъекции, XSS и другие уязвимости.
🔗 https://codeql.github.com

4️⃣ GuardRails AI — анализ кода прямо в GitHub, GitLab или Bitbucket с рекомендациями по исправлению.
🔗 https://www.guardrails.io

5️⃣ OWASP AI Security Testing Assistant — open-source помощник, использующий LLM для аудита приложений и обучения безопасной разработке.
🔗 https://owasp.org

---

💡 Подпишись на канал TechFix-НЕЙРО там я регулярно делюсь AI-инструментами.
👉 https://t.me/TechFix001

Новый, слабо детектящийся .NET Dropper/Loader Easy2ConvertUpdater.exe, загружает вредоносный код в память минуя антивирусы. Отправляет данные системы на hiko.lakienti.com, получает зашифрованную полезную нагрузку и выполняет ее через reflective loading (T1620).
Timestomping 2052 год, подписан подозрительным сертификатом bluetakin.

Что делает:
- Маскируется под обновление ПО Easy2Convert
- Читает файл u.txt с идентификаторами системы
- Отправляет данные на C2: hiko.lakienti.com
- Получает зашифрованную полезную нагрузку (AES)
- Загружает и выполняет вредоносный код напрямую в память (reflective loading, T1620)

Опасность:
- Загружает вторую стадию малвари без сохранения на диск
- Обход антивирусов через рефлексивную загрузку
- Может доставить любую полезную нагрузку: стиллеры, шифровальщики, RAT

Признаки:
- Timestomping (дата компиляции 2052 год)
- Сертификат bluetakin (фишинговая активность)
Коммуникация с lakienti.com

MITRE ATT&CK:
T1620 - Reflective Code Loading
T1083 - File and Directory Discovery

IOC:
URLs:

hiko.lakienti[.]com

bluetakin[.]com

barinoty[.]com

confetly[.]com

SHA256:

eb50b5d87e995f76ee66abf90bab7e718b507a69392582c0a97824c64ab9fbe9 (Easy2ConvertUpdater.exe)



7744b67501a840ba687c641b01e9924d40a034b02582e0f233174e11a85480d3 (ConvertMate.exe)

Разбор: https://medium.com/@rabbit_knight/the-update-that-wasnt-a-deep-dive-into-easy2convertupdater-exe-5d9f0407d870

🚨 Уязвимость в Squid Proxy Information Disclosure in Error handling(CVE-2025-62168 | GHSA-c8cc-phh7-xmxr)

При обработке ошибок прокси может раскрывать логины, пароли или токены. Это происходит потому, что данные аутентификации не всегда скрываются в ответах. В итоге злоумышленник может получить доступ к учётным данным даже без включённой HTTP‑авторизации.

Уязвимы все версии до 7.2.

🛡️ Что делать:
Обновиться до Squid 7.2+.
Если обновление пока невозможно:
В squid.conf добавить email_err_data off
Ограничить доступ к прокси только доверенными IP.

🔎 Чекер + PoC: github.com/monzaviman/CVE-2025-62168

📎 Подробнее: GitHub Advisory

🚨 Новая уязвимость URL Rewrite Bypass в Apache Tomcat (CVE-2025-55752)
CVSS 7.5

В свежих версиях Tomcat нашли проблему с обработкой адресов. Из‑за ошибки в механизме переписывания URL можно обойти защиту и получить доступ к служебным папкам (WEB-INF, META-INF).

Если на сервере разрешены PUT‑запросы, злоумышленник может загрузить свои файлы и в итоге выполнить произвольный код на сервере (RCE). Даже без PUT остается риск утечки конфиденциальных данных.

🔍 Затронутые версии:
• Tomcat 11.0.0-M1 → 11.0.10
• Tomcat 10.1.0-M1 → 10.1.44
• Tomcat 9.0.0.M11 → 9.0.108
• EOL: 8.5.6 → 8.5.100

📎 Подробнее: CVE-2025-55752

XSS Bypass Cloudflare Payload:

">

Linkedin сам себя сломал…

🚨 WSUS под угрозой: CVE-2025-59287 (CVSS 9.8)

Критическая RCE-уязвимость в WSUS: небезопасная десериализация cookie позволяет удалённому атакующему выполнить код с правами SYSTEM без аутентификации.

🔧 Срочно патчите!
Детали: https://hawktrace.com/blog/CVE-2025-59287
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

🚨 Уязвимость Path Traversal в Jira (CVE-2025-22167)

Баг позволяет записывать файлы в любую доступную JVM-папку. При комбинировании с другими эксплойтами возможен RCE.
CVSS 8.7
Подробности: atlassian.com

📌 Проверьте свои инстансы и обновитесь как можно скорее.