13.07.2025 06:57
Chumikov 0 510 Источник

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

1) Критическая комбинация двух элементарных уязвимостей на рекрутинговой платформе McHire, используемой 90% франчайзи McDonald's, привела к раскрытию персональных данных более 64 миллионов соискателей.

Исследователи безопасности Ян Кэрролл и Сэм Карри получили доступ к системе, эксплуатируя учётную запись с логином и паролем «123456», а затем используя уязвимость типа IDOR (Insecure Direct Object Reference) в одном из внутренних API. Данный инцидент демонстрирует системные риски, связанные с внедрением ИИ решений от сторонних поставщиков, без проведения должного аудита базовой кибербезопасности. Раскрытая информация включала полные имена, адреса электронной почты, номера телефонов, адреса проживания и всю историю взаимодействия с чат ботом «Оливия», включая ответы на вопросы и статусы заявки.

При трудоустройстве в McDonald's более 90% франшиз используют «Оливию» — чат-бота на базе искусственного интеллекта. Мы обнаружили уязвимость, которая позволяла злоумышленнику получить доступ к более чем 64 миллионам записей чата, используя пароль «123456» — пишет bug bounty hunter Сэм Карри

/** ММММ.... i'm lovin it (подобные истории)! Не стоит жить в парадигме того, что если вы используете ресурсы крупных (мировых) компаний, то эти ресурсы безусловно очень сильно защищены. Я, кстати, предполагаю, что многие исследователи безопасности именно по этой причине не исследуют подобные ресурсы. Небезопасно и точка!

2) Госдума отклонила законопроект о легализации «белых» хакеров.

Как пишет РБК, депутаты Госдумы отклонили проект о легализации «белых» хакеров, так как он не учитывает нормы о гостайне и безопасности критических систем.

Самый примечательный аргумент Комитета Госдумы по государственному строительству и законодательству в пользу отклонения законопроекта касается опасности раскрытия информации об уязвимостях вендорам из недружественных стран.

Дословно он звучит так:

«Кроме того, передача информации о выявленных недостатках программ для ЭВМ и (или) базы данных правообладателям, находящимся под юрисдикцией государств, совершающих недружественные действия в отношении Российской Федерации, не отвечает интересам обеспечения безопасности Российской Федерации».

Один из авторов отклоненного проекта, член IT-комитета Госдумы Антон Немкин рассказал РБК, что они планируют повторно внести инициативу в составе пакета законопроектов, касающихся правового статуса и правил деятельности пентестеров.

/** О том, что Совет Федерации обратился к Минцифры с инициативой, направленной на правовое оформление деятельности специалистов, занимающихся выявлением слабых мест в IT-системах (белых хакеров) я писал в дайджесте за неделю 31 марта - 6 апреля. И вот плачевный итог. Как вам приведённый аргумент Комитета Госдумы? Да, наверное не все депутаты понимают, что если вендор не узнает об уязвимости и не исправит её, то использовать эту уязвимость могут в т. ч. и против граждан России. Но подождём ещё, я думаю, что закон в итоге примут, просто надо поработать с текстами и умами.

3) Уязвимость в Call of Duty: WWII позволяла взламывать пользователей Windows.

В десктопной версии Call of Duty: WWII объявилась уязвимость удаленного выполнения кода, которую геймеры начали использовать для получения несанкционированного доступа к Windows-машинам соперников в ходе матчей в мультиплеерном режиме.

Ради забавы игроки взламывали по p2p-сети персональные компьютеры, открывали на них окно командной строки, отправляли провокационные сообщения через Notepad, подменяли обои рабочего стола порноконтентом, удаленно выключали машины соперников.

Во избежание еще больших бед команда Call of Duty отключила онлайн-доступ к игре. Данная RCE актуальна лишь для Windows-десктопов. По слухам, Activision уже работает над патчем, который будет включен в очередное обновление.

До выхода исправлений геймерам рекомендуется воздержаться от запуска Call of Duty: WWII на десктопах, в особенности версий, доступных в Microsoft Store и Game Pass.

/** Игры как-то незаслуженно ментально исключаются из анализа поверхности атаки, а как показал этот случай - совершенно зря! Я думаю, что теперь многие игры будут активно проверяться и изучаться на наличие чего-то аналогичного. Как говорил Русский хакер в фильме Железный человек 2: "И упадут капли крови в воду, и акулы придут".

4) Несмотря на шифрование корневого раздела, включённый Secure Boot и пароли на загрузчик, локальный злоумышленник может обойти все защитные меры и внедрить персистентное вредоносное ПО.

Исследователь из ERNW Александр Мох обнаружил серьёзную уязвимость в системе загрузки современных Linux-дистрибутивов, включая Ubuntu 25.04 и Fedora 42.

Проблема кроется в отладочной оболочке, которая автоматически активируется при нескольких ошибках ввода пароля на этапе расшифровки корневого раздела. Через эту оболочку можно получить доступ к initramfs — временной файловой системе, используемой ядром на раннем этапе загрузки. И именно здесь атакующий может внедрить вредоносный код, который выполнится при следующем старте системы.

На Ubuntu 25.04 злоумышленник может вызвать отладочную оболочку initramfs: достаточно прервать графический ввод пароля клавишей ESC, трижды нажать Ctrl+C, подождать 30 секунд, отклонить повторный запрос и затем шесть раз подряд нажать Ctrl+C. Через эту оболочку можно подключить внешний носитель с нужными утилитами и внести изменения в initramfs — без каких-либо предупреждений со стороны Secure Boot.

/** Мне всегда в подобных случаях интересно, так специально сделано или это стечение обстоятельств? Ничего не напоминает? 3 * CTRL+C --> sleep 30s --> 6 * CTRL+C --> FATALITY ) В источнике приведены советы исследователя по тому, что с этим делать.

5) Уязвимости PerfektBlue могут помочь получить доступ к критически важным компонентам в автомобилях Mercedes-Benz AG, Volkswagen и Skoda.

Четыре уязвимости, получившие общее название PerfektBlue, затрагивают Bluetooth-стек BlueSDK от OpenSynergy.

Пока исследователи не раскрывают всех технических деталей, но пишут, что атакующий, подключенный к уязвимому устройству, имеет возможность манипулировать системой, повышать привилегии и двигаться дальше — к другим компонентам.

При этом PerfektBlue представляет собой атаку «в один клик» (1-click RCE), потому что злоумышленнику потребуется лишь убедить пользователя принять запрос на сопряжение со своим устройством. Причем некоторые автопроизводители настраивают свои системы таким образом, что сопряжение возможно даже без подтверждения.

Подчеркивается, что после удаленного выполнения кода в контексте информационно-развлекательной системы автомобиля, злоумышленник может отслеживать координаты GPS, подслушивать разговоры в автомобиле, получить доступ к контактам в телефоне владельца, а также осуществить боковое перемещение и добраться до критически важных подсистем авто.

/** Благо Bluetooth работает на расстоянии до 10 метров, но вот честно, если у вас есть машина, напишите в комментах, сколько обновлений получало ПО вашей машины за всё время после её покупки? Моя машина - 0 и вообще автопроизводители как-то выбиваются из устоявшихся процессов фикса уязвимостей в ПО. Оно и понятно, ведь это затраты без доп. выручки. А взять пример с Tesla (обновления ПО в машинах Маска стоит денег) они либо не могут, либо не хотят.

6) GPUHammer: новый вариант атаки RowHammer ухудшает модели ИИ на графических процессорах NVIDIA.

Атаки, получившие название GPUHammer, представляют собой первый в истории эксплойт RowHammer, продемонстрированный против графических процессоров NVIDIA (например, графический процессор NVIDIA A6000 с памятью GDDR6), позволяющий злоумышленникам, использующим графические процессоры, вмешиваться в данные других пользователей, вызывая перевороты битов в памяти графического процессора.

Исследователи из Университета Торонто обнаружили, что наиболее тревожным последствием такого поведения является снижение точности модели искусственного интеллекта (ИИ) с 80% до менее 1%.

Чтобы снизить риск, связанный с GPUHammer, рекомендуется включить ECC с помощью команды «nvidia-smi -e 1». Новые графические процессоры NVIDIA, такие как H100 или RTX 5090, не подвержены этой уязвимости, поскольку в них реализована встроенная функция ECC, которая помогает обнаруживать и исправлять ошибки, возникающие из-за колебаний напряжения, связанных с более компактными и плотными микросхемами памяти.

/** Атаки, использующие физические процессы внутри железа - очень интересная тема. Процессоры и память так уже ломали, теперь пришёл черёд GPU. Интересно и то, что исправление используемых уязвимостей всегда приводит к общему замедлению работы системы. В данном случае, включение кодов коррекции ошибок (ECC) может привести к замедлению рабочих нагрузок вывода (машинного обучения) на графическом процессоре A6000 до 10%.

7) Ошибка eSIM в миллионах телефонов позволяет шпионить и перехватывать данные.

В 2019 году Адам Гоудиак, основатель и генеральный директор Security Explorations обнаружил уязвимость в Oracle «Java Card» — прикладной среде для чипов, работающих на устройствах с ограниченными ресурсами.

Проблема заключалась в «путанице типов», возникшей из-за отсутствия проверки байт-кода в реализации виртуальной машины (ВМ) Java Card, среды выполнения, которая позволяет запускать приложения — апплеты — на чипе. В то время Oracle посчитала эту проблему «неприменимой».

Недавно Гоудиак воспользовался этой неустранённой уязвимостью, чтобы проверить безопасность eSIM. Сначала для этого потребовался физический доступ к карте eUICC, чтобы украсть закрытый криптографический ключ, который аутентифицирует eSIM у оператора мобильной связи. Оттуда он смог загрузить произвольные профили eSIM от операторов мобильной связи в открытом виде, содержащие ключи, необходимые для установки апплетов на карту. Используя эти ключи — и благодаря отсутствию проверок в Java-карте — он смог устанавливать вредоносные апплеты по беспроводной сети (OTA), не вызывая никаких предупреждений безопасности.

/** Прочитайте статью целиком. Там даже приведены use cases, как уязвимость может использоваться. Я, кстати, почти уверен, что именно так как в статье написано, эти уязвимости и используются.

8) /** Ну и немного про обновления этой недели.

/** А вот такого на моей памяти ещё не было. Как говорится, всё в жизни когда-то происходит в первый раз:

  • Google Android июльский патч. Привожу скрин с их сайта. Как вам? ))) Всё, теперь Андройд надёжен, так как за целый месяц в нём ничего не нашли. Шучу конечно про надёжность.

Обновляемся!!!

Безопасной вам недели!

Больше новостей в моём Telegram. Подписывайтесь!

Предыдущая неделя <-- weekSecNews

Комментарии (0)