Fsecurity | HH

⚠️ Включил отладку по Wi-Fi — получил Mamont В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя. Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi. Функция отладки по Wi-Fi является легитимной — она позволяет подключаться к мобильному устройству для установки, тестирования приложений и создания резервных копий (скриншот 1). Для использования этой функции необходимо осуществить сопряжение с ПК и подтвердить доверенные связи. CVE-2026-0073 дает возможность пропустить этап подтверждения связей и сразу взаимодействовать с устройством. 🧐 Мы решили изучить, как далеко может зайти злоумышленник при эксплуатации данной CVE. Схема заражения устройства: 1️⃣ Пользователь с включенной отладкой по Wi-Fi подключается к незащищенной Wi-Fi-сети. 2️⃣ Злоумышленник, находясь в этой же сети, сканирует ее на наличие адресов с открытыми портами для отладки по ADB (скриншот 2). 3️⃣ Проэксплуатировав CVE-2026-0073, злоумышленник получает доступ к командной строке мобильного устройства и может выполнять различные команды на устройстве (скриншот 3): ➖ получать доступ к спискам контактов, звонков, SMS-сообщений и установленных приложений; ➖ удалять и устанавливать приложения без ведома пользователя; ➖ повышать привилегии установленного приложения, выдав ему специальные разрешения на устройстве: специальные возможности (Accessibility Services) и доступ к уведомлениям (Notification Access). Получив необходимые данные, злоумышленник может удалить легитимное приложение на устройстве и заменить его на приложение с вредоносными функциями (скриншот 4). 4️⃣ Происходит кража пользовательских данных и их отправка на серверы злоумышленников. Почему так происходит? 1️⃣ Уязвимость находится в демоне Android Debug Bridge — adbd: в функции проверки TLS-сертификатов adbd_tls_verify_cert в auth.cpp. 2️⃣ Атака затрагивает режим Wireless Debugging / ADB-over-TCP, где подключение между ПК и устройством строится через mutual TLS: Android проверяет клиентский сертификат подключающегося хоста. 3️⃣ В нормальном режиме adbd сравнивает публичный ключ сертификата клиента с ранее доверенным ключом, сохраненным после ADB pairing. 4️⃣ Ошибка возникает из-за неправильной обработки результата функции EVP_PKEY_cmp: код считает любое ненулевое значение успешным совпадением ключа. 5️⃣ Злоумышленник подменяет TLS-сертификат, используя ключ другого типа (например, EC/Ed25519 вместо RSA). В таком случае EVP_PKEY_cmp возвращает -1 («разные типы ключей»), но уязвимый код воспринимает это как успешную проверку. 6️⃣ Происходит обход mutual TLS-аутентификации: adbd ошибочно считает атакующего доверенным ADB-хостом. 7️⃣ После обхода проверки атакующий получает удаленный доступ к ADB shell без взаимодействия с пользователем устройства. Для успешной эксплуатации уязвимости необходимо, чтобы устройство хотя бы раз подключалось к какому-либо хосту и в списке доверенных устройств хранился хотя бы один публичный ключ. 🛠 Как защитить ваши устройства: 1️⃣ Выключайте функцию отладки по Wi-Fi, когда она не используется. Ввиду особенности эксплуатации CVE-2026-0073 подвержены только устройства с включенной отладкой по Wi-Fi. Эта функция по умолчанию выключена, поэтому у обычных пользователей риск минимален. 2️⃣ Не включайте отладку по Wi-Fi в недоверенных сетях. 3️⃣ Устанавливайте обновления ОС на постоянной основе: патчи безопасности за май 2026 уже доступны на многих устройствах. 4️⃣ Настройте безопасность рабочей и личной Wi-Fi-сети: изолируйте клиентов и заблокируйте доступ по недоверенным портам. 5️⃣ Будьте внимательны к уведомлениям, которые приходят на ваше устройство. При подключении к отладке по Wi-Fi на экране устройства появляется уведомление о подключении стороннего устройства (скриншот 5). Внимание к деталям сделает ваши устройства безопаснее. #dfir #mobile #android #CVE @ptescalator

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

The Phishy GitHub Issue Case As I’m interested in initial access, and more specifically in phishing, I started looking for ways to target developers. What platform every developers uses today? You guessed it right (or just correctly read the title of this blog post) : GitHub. It is advertised as “a platform to create, store, manage and share code”. Every developer has a GitHub account and getting access to it mean getting access to their code. However, I was looking for lesser-know phishing technique, that doesn’t employ the usual Attacker-in-The-Middle approach. I stumbled upon several articles mentioning Fake Security Alerts using GitHub issues. Naturally, I decide to take a look at what it was. So let’s see how to setup this scenario for your next phishing campaign! MalGitApp A simple OAuth App designed to capture OAuth tokens when users authenticate through GitHub OAuth flow.

🔗Ссылка: https://github.com/vigolium/vigolium

CVE-2024-6678 | GitLab: Pipeline Schedule Arbitrary User Trigger В процессе написания нового ресерча, обнаружил, что для довольно интересной CVE под Gitlab - CVE-2024-6678 (9.9/10 CVSS) по какой-то причине всё ещё нет публичного PoC’a. Пришлось написать его самому 🤷‍♀️ Теперь делюсь с вами, вдруг кому пригодится. Суть уязвимости в том, что при определённых условиях злоумышленник может запускать пайплайны от имени любого пользователя. Это даёт возможность атакующему получить доступ к внутренним репозиториям и закрытым проектам, стащить креды и токены, и, как следствие - получить RCE. Уязвимость, кстати, не замечали целых десять лет (уязвимы версии CE/EE с 8.14 до 17.1.7, версии с 17.2 до 17.2.5 и версии с 17.3 до 17.3.2). Цепочка: ➡️Developer триггерит Pipeline Schedule, созданный Owner/Maintainer ➡️Пайплайн стартует с всеми переменными расписания (DB_PASSWORD, SSH_PRIVATE_KEY, API-токены и т.д.) ➡️Если у атакующего есть push-возможности (Developer обычно имеет), он подменяет .gitlab-ci.yml в незащищённой ветке (develop/staging) - добавляет туда отправку env на свой сервер или реверс-шелл ➡️GitLab Runner исполняет этот пайплайн с полным доступом к секретам и окружению ➡️PoC⬅️ 💫 @pentestnotes

🔗Ссылка: https://github.com/hahwul/dalfox

🔗Ссылка: https://github.com/ElliotKillick/Mido

🔗Ссылка: https://codeby.net/threads/audit-active-directory-bezopasnost-laps-llmnr-i-logirovaniya-za-odin-rabochii-den.92854/

Обновление Exim 4.99.4 с устранением уязвимости, приводящей к утечке памяти 🔗Ссылка: https://opennet.me/65575/

🔗Ссылка: https://habr.com/ru/articles/1041376/

CVE-2025-61622: PyFory Insecure Pickle Deserialization to Remote Code Execution 🔗Ссылка: https://core-jmp.org/2026/05/cve-2025-61622-pyfory-pickle-deserialization-rce/

Вузы и энергетику атакует неизвестная группа, активная минимум с 2024 года В сентябре 2025 года на GitHub вышел очередной фреймворк для тестирования на проникновение — Ravage, а уже в январе 2026-го злоумышленники начали его использовать. Мы обнаружили «пользователей» фреймворка среди атакующих, которые первоначально не слишком привлекали наше внимание. Другие их инструменты семейств PureRAT и RedLine не выделялись на общем фоне киберугроз и относились к сфере MaaS (вредоносное ПО как услуга, Malware-as-a-Service); по сути их брали в аренду все подряд. Группа, в арсенале которой засветился Ravage, атаковала российские организации и отличалась большими перерывами в своей активности. Как позже выяснилось, злоумышленники могли затаиться на 3–4 месяца, а затем провести 10 атак за месяц. Более половины атак за последний год пришлось на учебные заведения преимущественно морского и речного профиля. Помимо них среди жертв были энергетические и финансовые компании, а также дипломатические службы. 🔗Ссылка: https://securelist.ru/unknown-group-targets-maritime-universities/115765/

🔗Ссылка: https://github.com/stamparm/maltrail

🔗Ссылка: https://habr.com/ru/companies/infowatch/articles/1040578/

🔗Ссылка: https://habr.com/ru/companies/yandex_cloud_and_infra/articles/1040504/

🔗Ссылка: https://habr.com/ru/companies/vktech/articles/1029230/

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/1025864/

🔗Ссылка: https://habr.com/ru/companies/simpleone/articles/1039440/

🔗Ссылка: https://habr.com/ru/companies/solarsecurity/articles/1040192/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/1039170/