Fsecurity | HH

🔗Ссылка: https://habr.com/ru/companies/solarsecurity/articles/1040192/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/1039170/

Посетители японской учебной платформы KnowledgeDeliver получили Cobalt Strike вместо урока Все установки KnowledgeDeliver до 24 февраля 2026 года поставлялись с одинаковым файлом web.config, содержащим стандартные ключи ASP.NET machineKey. Зная эти ключи, злоумышленник мог сформировать вредоносный ViewState и выполнить произвольный код на любом доступном сервере платформы без аутентификации. После проникновения атакующие развернули веб-оболочку BLUEBEAM (Godzilla), работающую исключительно в памяти процесса IIS w3wp.exe. Это позволяло управлять сервером через зашифрованные HTTP POST-запросы, не оставляя следов на диске при стандартной проверке файлов. Затем злоумышленники внедрили вредоносный код в JavaScript-файл сайта и начали показывать посетителям поддельное предупреждение безопасности с предложением установить «модуль проверки подлинности». Поддельный установщик заражал рабочие станции загрузчиком Cobalt Strike BEACON, зашифрованным с использованием названия конкретной атакуемой организации. #knowledgedeliver #уязвимость #aspnet #кибербезопасность @ZerodayAlert

🔗Ссылка: https://github.com/PyCQA/bandit

🔗Ссылка: http://cybersecuritynews.com/russian-hacker-used-jailbroken-gemini/

В 7-Zip нашли уязвимость, из-за которой обычное открытие специально подготовленного образа могло закончиться не ошибкой распаковки, а выполнением вредоносного кода. Проблема затрагивает обработку NTFS-архивов и опасна тем, что расширение файла не играет решающей роли: вредоносный образ может выглядеть как архив другого формата или вовсе не иметь привычного окончания. Уязвимость получила идентификатор CVE-2026-48095 и оценку 8.8 по шкале CVSS 3.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H). Команда GitHub Security Lab сообщила о проблеме разработчикам 7-Zip 24 апреля 2026 года, а уже 27 апреля вышла версия 26.01 с исправлением. Ошибка подтверждена в 7-Zip 26.00, однако проблемный расчёт присутствовал с момента появления поддержки сжатых потоков NTFS, поэтому затронуты все версии вплоть до 26.00. 🔗Ссылка: https://www.securitylab.ru/news/573061.php

🔗Ссылка: https://github.com/iss4cf0ng/OpenPetya

Google случайно раскрыл детали неисправленной уязвимости в Chromium 🔗Ссылка: https://opennet.me/65491/

🔗Ссылка: https://github.com/S3N4T0R-0X0/Malicious-PixelCode

🔗Ссылка: https://habr.com/ru/companies/pt/articles/1037902/

🔗Ссылка: https://habr.com/ru/companies/selectel/articles/1038054/

🔗Ссылка: https://habr.com/ru/companies/solarsecurity/articles/1036814/

🔗Ссылка: https://github.com/CompassSecurity/EntraFalcon

🛰 OpenRecon v1.2.0 Обновил свой recon-toolkit. Теперь это не только сабдомены, порты, WHOIS и WAF/tech-фингерпринт, но и полноценный аудит почтовой безопасности домена за один запуск. 📖 Что нового в Mail Security: ✉️ SPF / DMARC / DKIM - параллельный брутфорс 130+ селекторов + словарь 🔐 MX с per-host проверкой STARTTLS (видно какой именно хост слабый и почему это плохо) 🛡 DNSSEC, MTA-STS, SMTP TLS-RPT, BIMI 📡 Open SMTP Relay - активная проверка по 25/tcp 📄 security.txt по RFC 9116 - Contact, Expires, HTTPS, проверка просрочки 📦 экспорт при -o: Все артефакты складываются в одну папку recon_<domain>_<дата>: сабдомены по источникам (crtsh, chaos, brute, alive), sub_ip_map, unique_ips, per-IP WHOIS через RDAP, target_networks, mail_security.{txt,json}, dkim_found, summary.{csv,json}. 🔧 Прочее: 🎨 Компактный 2-строчный баннер вместо 14-строчного ASCII-арт 🩹 WHOIS-fallback на системный whois когда python-whois падает (например на .kz с датой `2023-03-09 12:33:38 (GMT+0:00)`) ✓ Иконки ✓ ✕ ! • вместо больших эмодзи ⚙️ Флаг -t/--threads теперь реально работает 🔧 Установка / обновление:

pipx install --force git+https://github.com/cleverg0d/OpenRecon.git

🔗 https://github.com/cleverg0d/OpenRecon #tools #recon #pentest #bugbounty #osint #mailsecurity

🔗Ссылка: https://habr.com/ru/news/1038022/

🔗Ссылка: https://github.com/josephrw12/cortex-c2

🔗Ссылка: https://trustedsec.com/blog/abusing-chrome-remote-desktop-on-red-team-operations-a-practical-guide

🔗Ссылка: https://github.com/kiddo-pwn/ffffirefox

🔗 Ссылка: https://github.com/k1ng0fn0th1ng/CrystalForge

GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux В открытом доступе размещён эксплоит для седьмой уязвимости (1, 2-3, 4, 5, 6) в ядре Linux, позволяющей непривилегированному локальному пользователю получить права root, перезаписав данные в страничном кэше. CVE-идентификатор ещё не присвоен, кроме кода эксплоита информации о проблеме пока нет. Исправление доступно только в виде патча, который опубликован 20 мая и 21 мая был принят в основную ветку ядра Linux (корректирующие выпуски ядра ещё недоступны). Уязвимость присутствует в реализации технологии GRO (Generic Receive Offload), применяемой для ускорения обработки сегментированных пакетов. Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции skb_gro_receive(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. При установленном флаге SKBFL_MANAGED_FRAG_REFS пропускалось сохранение ссылки на освобождаемые страницы памяти в поле shinfo->frags, после чего данное поле присоединялось к другому skb без изменения счётчика ссылок, что приводило к обращению к памяти после её освобождения (use-after-free). Проблему удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на буфер io_uring. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0). Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root. Механизм эксплуатации сводится к тому, что атакующий добивается оседания базы пользователей в страничном кэше, после чего подставляет в кэш строку "hax::0:0::/root:/bin/sh". Следом запускается команда "su hax", которая получает не оригинальную базу пользователей с накопителя, а изменённую копию с подставным логином "hax", которому выставлены права root и пустой пароль. Работа эксплоита протестирована в Ubuntu 24.04. 🔗 Ссылка: https://opennet.me/65504/