ТОП-5 ИБ-событий недели по версии Jet CSIRT

Найдены новые уязвимости в OpenSSH

Исследователи Qualys Threat Research Unit обнаружили две уязвимости в OpenSSH. Первая уязвимость с идентификатором CVE-2025-26465 (CVSS: 6.8) позволяет осуществлять атаку типа MITM на клиент OpenSSH при включенной опции VerifyHostKeyDNS. Эксплуатация уязвимости может привести к тому, что клиент примет ключ злоумышленника вместо ключа легитимного сервера. Это может нарушить целостность соединения SSH и позволить злоумышленникам перехватывать или изменять сеанс. Вторая уязвимость, CVE-2025-26466 (CVSS: 5.9), затрагивает как клиент, так и сервер OpenSSH и позволяет провести атаку на отказ в обслуживании. Уязвимости были устранены в версии OpenSSH 9.9p2, рекомендуется выполнить обновление.

Microsoft исправила уязвимость в Power Pages, приводящую к повышению привилегий

Компания Microsoft сообщила о критической уязвимости CVE-2025-24989 (CVSS: 8.2) в Power Pages, которая позволяла злоумышленникам обходить контроль регистрации и повышать привилегии в системе. Эта уязвимость уже использовалась в атаках. Компания устранила проблему на стороне сервиса и уведомила затронутых клиентов, предоставив им инструкции по проверке на предмет возможной компрометации. Power Pages — это облачная платформа для создания веб-сайтов, поэтому можно предположить, что атаки проводились удаленно. Microsoft не раскрывает подробностей эксплуатации уязвимости. Кроме того, компания исправила уязвимость CVE-2025-21355 (CVSS 8.6), связанную с удаленным выполнением кода в Bing, однако на данный момент нет данных о ее эксплуатации в реальных атаках. Несмотря на исправление, компания рекомендует проанализировать логи и списки пользователей с повышенными привилегиями, а также проверить недавние изменения в настройках безопасности.

Citrix выпускает исправление для уязвимости повышения привилегий в NetScaler

Специалисты Cloud Software Group выпустили исправления для уязвимости CVE-2024-12284 (CVSS: 8.8), связанной с недостаточным управлением привилегиями в NetScaler Console и NetScaler Console Agent. Проблема позволяет аутентифицированному пользователю выполнить команды с повышенными привилегиями без дополнительного разрешения. Эксплуатация возможна только при наличии учетных данных пользователя, так как злоумышленник должен быть уже аутентифицирован в системе, однако при успешной эксплуатации он может выполнить произвольные команды, обходя механизмы контроля доступа. Это создает риск компрометации конфигурации системы и выполнения вредоносных действий. Затронутые версии: с 14.1 по 14.1-38.53, а также с 13.1 по 13.1-56.18. Пользователям рекомендуется оперативно обновиться до версий 14.1-38.53 или 13.1-56.18.

Разбор атаки нового шифровальщика NailaoLocker

В 2024 году специалисты Orange Cyberdefense зафиксировали серию атак, в ходе которых использовались бэкдоры ShadowPad и PlugX, а также ранее неизвестный шифровальщик NailaoLocker. Первичный доступ осуществлялся через уязвимость CVE-2024-24919 (CVSS: 8.6) в Check Point VPN, позволяя атакующим извлекать хэши паролей и подключаться под легитимными учетными записями. Внутри сети злоумышленники проводили разведку и перемещались через RDP. ShadowPad использовался для закрепления в системе, скрытого доступа и управления зараженными устройствами. Затем злоумышленники распространяли NailaoLocker, шифровали данные с помощью алгоритма AES-256-CTR и требовали выкуп. Анализ инфраструктуры выявил C2-серверы, маскирующиеся под известные технологические компании. Уязвимые Check Point VPN остаются ключевой точкой входа, подчеркивая важность своевременного обновления ПО.

Новая версия Darcula-suite позволяет эффективнее клонировать сайты

Группировка Darcula представила новую версию своего сервиса — Darcula-suite, который значительно упрощает создание фишинговых сайтов. Теперь преступникам достаточно ввести URL целевого сайта, после чего инструмент автоматически его копирует и подменяет ключевые элементы. Встроенные методы защиты усложняют обнаружение фишинговых страниц. Darcula делает фишинг доступным даже для людей без технической подготовки, поэтому борьба с этой угрозой требует проактивных методов обнаружения. Эффективными мерами могут стать анализ динамически изменяемых фишинговых URL, мониторинг подозрительных доменов, а также своевременная организация обучения сотрудников по противодействию фишинговым атакам.