Исследователи обращают внимание на масштабную волну сканирований, нацеленных на устройства Cisco, основной фокус которой направлена на межсетевые экраны ASA и VPN-шлюзы AnyConnect.

Причем это уже вторая подобная волна, зафиксированная за последние месяцы.

При том, что первая волна предшествовала обнаружению 0-day Cisco ASA.

Одновременно с этимют внимание на зафиксировала 500%-ный рост числа сканирований панелей авторизации Palo Alto Networks, что также обычно предшествует появлению активных эксплойтов.

Активность достигла пика 3 октября, когда в ней было задействовано более 1285 уникальных IP-адресов, ориентированных на профили GlobalProtect и PAN-OS.

Ранее ежедневно показатели сканирований не превышали 200 адресов.

Большинство наблюдаемых IP относились к США, меньшие кластеры базировались в Великобритании, Нидерландах, Канаде и России.

Исследователи утверждают, что один кластер активности сосредоточил свой трафик на целях в Соединенных Штатах, а другой - на Пакистане.

По данным GreyNoise, 91% IP-адресов были классифицированы как подозрительные. Ещё 7% были помечены как вредоносные.

Исследователи GreyNoise полагают, что эта активность носит целевой характер и может указывать на подготовку к будущим атакам с использованием новых эксплойтов для 0- или n-day, как это было уже с упомянутым Cisco ASA.

Тем не менее GreyNoise утверждает, что наблюдаемая корреляция все же слабее для наблюдаемых сканирований, сосредоточенных на продуктах Palo Alto Networks.

В Palo Alto пока также не обнаружили никаких признаков взлома. Но это только пока, все может измениться.

И, наконец, отмечен также рост числа попыток эксплуатации старой уязвимости обхода пути в Grafana, которая отслеживатемся как CVE-2021-43798 и использовалась в декабре 2021 года в ходе атак в качестве нуля.

GreyNoise зафиксировала 110 уникальных вредоносных IP-адресов, большинство из которых в Бангладеш, с которых осуществлялись атаки 28 сентября.

Цели в основном располагались в США, Словакии и на Тайване, причем соотношение пунктов назначения атак было одинаковым в зависимости от конкретного источника, что обычно указывает на автоматизацию.

Исправленная к настоящему времени уязвимость в Zimbra Collaboration использовалась в качестве 0-day в начале этого года в ходе кибератак, нацеленных на бразильских военных.

CVE-2025-27915 (CVSS: 5,4) представляет собой уязвимость XSS в классическом веб-клиенте, которая возникает в результате недостаточной очистки HTML-контента в файлах календаря ICS, также известных как файлы iCalendar, что приводит к выполнению произвольного кода.

iCalendar используются для хранения календарной информации и расписания (встреч, событий и задач) в виде простого текста, а также для обмена ею между различными приложениями-календарями.

Уязвимость возникает из-за недостаточной очистки HTML-контента в файлах ICS, что позволяет злоумышленникам выполнять произвольный JavaScript-код в сеансе жертвы.

Когда пользователь просматривает сообщение электронной почты, содержащее вредоносную запись ICS, встроенный в него JavaScript-код выполняется через событие ontggle внутри тега

идентифицировала и устранила 0-day в платформе E-Business Suite, которая эксплуатировалась в атаках Clop, нацеленных на кражу данных.

Кампания началась на прошлой неделе и была связана с бандой вымогателей Clop, а задействованная уязвимость отслеживается как CVE-2025-61882, о чем сообщил руководитель службы безопасности Oracle Роб Дюхарт.

Ошибка обнаружена в продукте Oracle Concurrent Processing из Oracle E-Business Suite (компонент: BI Publisher Integration) и имеет базовую оценку CVSS 9,8.

Она позволяет злоумышленникам выполнять неаутентифицированное удаленное выполнение кода и проста в эксплуатации.

Oracle подтвердила, что 0-day затрагивает Oracle E-Business Suite версий 12.2.3–12.2.14, и выпустила экстренное обновление для её устранения.

Компания отмечает, что клиентам необходимо сначала установить критическое обновление за октябрь 2023 года, прежде чем они смогут устанавливать новые обновления.

При этом компания явно не заявила, что это 0-day, но поделились IOCs, которые соответствуют эксплойту Oracle EBS, недавно распространенному злоумышленниками через Telegram.

В Mandiant также подтвердили, что именно эта уязвимость была использована бандой вымогателей Clop в ходе атак, которые произошли в августе 2025 года.

Clop воспользовались множественными уязвимостями в Oracle EBS, исправленными в обновлении за июль 2025 года и еще одной, исправленной на выходных - CVE-2025-61882, что позволило хакерам выкрасть большие объемы данных у нескольких жертв.

Сообщения об атаках Clop впервые появились на прошлой неделе, когда Mandiant и Google Threat Intelligence Group сообщили о попадании в поле зрения новой кампании, в рамках которой несколько компаний получили электронные письма, якобы отправленные злоумышленниками.

В них фигурировали требования выкупа и упоминание хакеров о том, что им удалось взломать приложение Oracle E-Business Suite жертвы и выкрасть данные из систем.

Позже сами Clop подтвердили, что именно они стояли за этими письмами, указав о задействовании нуля в Oracle для кражи данных.

Причем изначально Oracle связала кампанию Clop с уязвимостями, которые были исправлены в июле 2025 года, однако только позже разработчики смогли отыскать 0-day.

Кроме того, новость об этой уязвимости нулевого дня впервые пришла от Scattered Lapsus$ Hunters, которые в последнее время сами оказались в центре внимания из-за своих масштабных атак по краже данных у клиентов Salesforce.

Они опубликовали в Telegram два файла, которые, по их словам, связаны с атаками Clop. Один файл «GIFT_FROM_CL0P.7z» содержит исходный код Oracle, который, судя по именам файлов, связан с support.oracle.com.

И архив «ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip», который, судя по названию файла, был эксплойтом Oracle E-Business, который использовали Clop. Это тот же файл, который указан в индикаторах компрометации Oracle.

Все это наводит на вопросы о том, как злоумышленники из Scattered Lapsus$ Hunters получили доступ к эксплойту и сотрудничают ли они в каком-либо качестве с Clop.

Так что будем следить.

• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).

• Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)

S.E. ▪️ infosec.work ▪️ VT

Продолжаем знакомить с наиболее трендовыми уязвимостями и обусловленными ими угрозами. Новая подборка включает:

1. Исследователи PAN Unit42 обнаружили три новые уязвимости в маршрутизаторах TOTOLINK. Самая серьёзная из них связана с внедрением команды unauth.

2. DrayTek выпустила обновления для своих популярных моделей маршрутизаторов Vigor для исправления CVE-2025-10547.

Она позволяет злоумышленникам взломать маршрутизаторы Vigor, используя специально созданные HTTP- или HTTPS-запросы, отправляемые на веб-панель управления устройства. Для эксплуатации уязвимости не требуются действительные учётные данные.

3. Oracle связала продолжающуюся кампанию с вымогательством со стороны известной банды Clop с уязвимостями E-Business Suite (EBS), которые были исправлены в июле 2025 года.

При этом компания не указала конкретную задействовавшуюся уязвимость, но в рамках своего критического обновления тогда устранила девять ошибок в E-Business Suite, три из которых (CVE-2025-30745, CVE-2025-30746 и CVE-2025-50107) можно использовать удаленно, не требуя ввода учетных данных пользователя.

4. Устранены критические уязвимости в компонентах WebGPU и Video браузера Chrome, а также в компонентах Graphics и JavaScript Engine браузера Firefox.

Google перевела Chrome 141 в стабильную версию с 21 исправлением безопасности.

Две из них, CVE-2025-11205 и CVE-2025-11206, представляют собой серьезные проблемы с переполнением буфера кучи, влияющие на компоненты WebGPU и Video в Chrome.

Mozilla выпустила Firefox 143.0.3 с исправлениями двух серьезных дефектов в компонентах Graphics и JavaScript Engine.

Первая, CVE-2025-11152 - проблема целочисленного переполнения, может привести к выходу из песочницы, вторая CVE-2025-11153 - ошибка JIT-компиляции.

5. Исследователи Clutch Security раскрыли подробности серьезной уязвимости (CVE-2025-59363 с CVSS 7,7) в One Identity OneLogin Identity and Access Management (IAM).

Успешная эксплуатация уязвимости может позволить злоумышленнику с действительными учётными данными API OneLogin получить доступ к клиентским секретам всех приложений OIDC, настроенных в клиенте OneLogin.

Проблема связана с тем, что конечная точка списка приложений - /api/2/apps - была настроена на возврат большего объема данных, чем ожидалось, включая значения client_secret в ответе API, а также метаданные, связанные с приложениями в учетной записи OneLogin.

После раскрытия 18 июля 2025 уязвимость была устранена в OneLogin 2025.3.0, свидетельств эксплуатации в реальных условиях не получено.

6. Разработчики Red Hat выкатили бюллетень, анонсировав серьезная уязвимость в службе Red Hat OpenShift AI, которая позволяет злоумышленникам повысить привилегии и получить контроль над всей инфраструктурой при определенных условиях.

CVE-2025-10725 имеет оценку CVSS 9,9, тем не менее Red Hat классифицировала её как «важную», но не «критическую», поскольку для взлома среды требуется аутентификация удалённого злоумышленника.

Проблема затрагивает следующие версии: Red Hat OpenShift AI 2.19, Red Hat OpenShift AI 2.21 и Red Hat OpenShift AI (RHOAI).

Отраслевые эксперты также высказывают предположения, что недавний инцидент со взломом закрытых репозиториев GitLab компании может быть связан с CVE-2025-10725, однако в Red Hat категорически отвергают эти гипотезы.

Но будем посмотреть.