Fsecurity | HH

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🚨Обнаружены 4 Критические RCE уязвимости в модулях для CMS Bitrix стороннего разработчика "Сотбит". Снова у нас небезопасная десериализация. Уязвимости плагинов связаны с недостаточной проверкой входных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удаленно, выполнить произвольный код. Эксплоит уже существует и активно используется. Разработчик рекомендует обновиться до последней версии или применить патч. Список уязвимых плагинов: ⚫️Сотбит: Оригами (решение удалено, версии 14.1.0 и старее) ⚫️Сотбит: Расширенные отзывы (версии 1.4.1 и старее) ⚫️Сотбит: Быстрая загрузка картинок в визуальном редакторе ⚫️Сотбит: Мультирегиональность ⚫️Сотбит: Парсер контента Критичность - 8,8/10 CVSS 3.0 Идентификаторы BDU: https://bdu.fstec.ru/vul/2025-06581 https://bdu.fstec.ru/vul/2025-06612 https://bdu.fstec.ru/vul/2025-06613 https://bdu.fstec.ru/vul/2025-06614 Расположение файлов решений "Сотбит" (по умолчанию): /bitrix/components/sotbit* /bitrix/modules/sotbit* /bitrix/tools/sotbit* /bitrix/wizards/sotbit* /bitrix/gadgets/sotbit* /bitrix/blocks/sotbit* /local/components/sotbit* /local/modules/sotbit* /local/tools/sotbit* /local/wizards/sotbit* /local/gadgets/sotbit* /local/blocks/sotbit*

FileFix (Part 2) Last week I released the FileFix attack blog post which is an alternative to the traditional ClickFix attack. This blog post demonstrated another variation of FileFix that utilizes social engineering to run a .hta file.

🔗Ссылка: https://habr.com/ru/articles/922896/

💻 Active Directory Kill Chain Attack & Defense Большая подборка материалов по AD 💻 Repo #windows #ad #pentest #redteam ✈️ Whitehat Lab 💬Chat

Кому там не хватает сэмплов и телеметрии? 🤯 💣 На ohmymalware.com исследователь James Spiteri запускает реальные образцы вредоносных программ в контролируемой лаборатории под Elastic Security. Elastic Agent с включённой интеграцией Elastic Defend. 🎓 Отличный ресурс для: - изучения поведенческих индикаторов - понимания работы Elastic Defend - охотников за угрозами и начинающих аналитиков - если у вас нет такой телеметрии и вы не видели реальных кейсов

На данный момент проэмулированы: EP1 — Sofacy / Fancy Bear (APT28) 🎯 Windows | Malware | Phishing 👉 Образец от известной APT-группы Fancy Bear. 📅 16 января 2023 EP2 — REvil / Sodinokibi (GOLD SOUTHFIELD) 🎯 Windows | Ransomware | Supply Chain 👉 Детонация вымогателя, использовавшегося в supply chain-атаках. 📅 21 января 2023 EP3 — Emotet 🎯 Windows | Malware | Phishing 👉 Модульный троян, активно применяемый с 2014 года. 📅 30 января 2023 EP4 — QBot (Qakbot) 🎯 Windows | Malware | Phishing 👉 Версия, доставленная через вредоносный файл OneNote. 📅 7 февраля 2023 EP5 — BPFDoor 🎯 Linux | Malware | Persistence 👉 Незаметный бэкдор для Linux-хостов, использующий raw socket. 📅 5 марта 2023 EP6 — Bumblebee Loader 🎯 Windows | Malware | Phishing 👉 Образец, маскирующийся под установщик ChatGPT. 📅 30 марта 2023 EP7 — OilRig 🎯 Windows | DNS Exfiltration | Phishing 👉 Образец от иранской APT-группы OilRig с DNS-эксфильтрацией. 📅 1 апреля 2023 EP8 — AMOS (Atomic macOS Stealer) 🎯 macOS | Malware | Stealer 👉 Крадёт пароли, файлы и данные из браузеров. 📅 19 июня 2023 EP9 — XMR + Umbral (SupremeBot) 🎯 Windows | Malware | Miner 👉 Маскируется под установщик Super Mario, включает XMR и Umbral майнеры. 📅 Coming Soon

🔗https://ohmymalware.com/ 🦔THF

🔐 RCE уязвимость в MCP Inspector - не дайте LLM захватить вашу машину Не секрет, что AI (LLM) сегодня активно внедряется в рабочие процессы компаний - для автоматизации задач, генерации кода, DevOps и не только. Но с быстрыми экспериментами часто приходит и большой риск. 🧠 Если вы интегрируете LLM (например, ChatGPT, Claude, Capilot и тп) с локальными инструментами через MCP-протокол, будьте крайне осторожны с отладочным веб-интерфейсом - MCP Inspector. Это веб-интерфейс, через который можно отправлять команды от имени LLM на исполнение в вашей системе: curl, python3, ls и т.д. По умолчанию он работает на 127.0.0.1:6274 и требует токен. Но: некоторые забывают, что переменная DANGEROUSLY_OMIT_AUTH=true полностью отключает авторизацию, порты могут случайно оказаться проброшены наружу (через Docker, nginx, ngrok и др.); В таком случае любой, кто найдёт интерфейс - получает удалённое выполнение команд (RCE). 🎯 В скупе с например CVE-2025-49596 Auth Bypass и другими еще не открытыми злоумышленник может: Выгрузить чувствительные файлы (/etc/passwd, .ssh/id_rsa, .env), установить майнер или бэкдор и пробросить обратную оболочку (reverse shell) и использовать машину как точку входа в инфраструктуру. 🛡️ Как защититься? 1. Никогда не отключайте авторизацию (`DANGEROUSLY_OMIT_AUTH=true`) - даже на локалхосте. 2. MCP Inspector должен быть доступен только локально, и только по мере необходимости. 3. Убедитесь, что порт 6274 не проброшен наружу (особенно при использовании Docker). 4. Изолируйте среду с интеграцией в DMZ без прямых доступов к основной инфраструктуре. 🧊 Мы все ходим по тонкому льду: инструменты вроде MCP развиваются стремительно, и не всегда проходят должную проверку безопасности. Учитывайте это - особенно при работе с LLM, которые могут исполнять произвольные команды внутри вашей системы.

🔗Ссылка: https://www.securitylab.ru/news/560841.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/922666/

🔗Ссылка: https://www.securitylab.ru/news/560852.php

🔗Ссылка: https://habr.com/ru/companies/flant/articles/913548/

Llama Firewall или как проверить логику и безопасность вашего AI агента #llama #ollama #llm #ai #аи #ллм #agent AI-агенты перестали быть экспериментом — они уже читают ваши документы, пишут код и выполняют команды в терминале. Но чем больше автономии мы им даем, тем актуальнее становится вопрос: а что если агент сделает не то, что нужно? Llama Firewall — попытка решить эту дилемму через многослойную систему проверок. Ссылка на оригинальную статью Поскольку использование моделек от Llama напрямую из HF- задача не всегда тривиальная, а именно их предлагается использовать в фреймворке, мы сделаем фокус на результатах, которые были получены во время создания фреймворка и посмотрим что он умеет. По сути данная статья является небольшим анализом статьи по Llama Firewall. 🔗Читать далее 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🔗Ссылка: https://habr.com/ru/articles/917226/

🔗Ссылка: https://www.securitylab.ru/news/560843.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Arbitrary File Read in pfSense 2.8.0 (authenticated user) CVE ID: CVE-2025-53392 https://github.com/skraft9/pfsense-security-research

Что делать при утечке персональных данных согласно 152-ФЗ: полный алгоритм действий Утечка персональных данных — это не просто технический сбой, а серьёзный риск для бизнеса. Однако компании, которые подготовлены заранее и грамотно действуют в критической ситуации, могут минимизировать ущерб и сохранить доверие своих клиентов. Приятного прочтения

🔗 Ссылка: https://habr.com/ru/companies/ruvds/articles/917044/

🔗Ссылка: https://habr.com/ru/articles/922786/