Уязвимости

Двама хакери публично злепоставиха Министерството на правителствената ефективност (DOGE) на Илон Мъск. Те успяха да получат достъп до уебсайта му и оставиха след себе си няколко подигравателни съобщения.

Нападателите разкриват, че използването на уязвимостите на сайта е било проста задача. Според тях всеки с основни умения за кодиране може да направи същото. Те произтичат от използването на база данни, известна като Cloudflare Pages – незащитена платформа, която всеки с достъп може да редактира. Този пропуск е позволил на хакерите да напишат каквото си искат в сайта.

Пробивът идва след амбициозното обещание на Мъск да внесе прозрачност в работата на правителството, като създаде DOGE. Оказва се обаче, че уебсайтът е бил разработен набързо, което в крайна сметка е довело до очевидния провал в сигурността.

Много анализатори акцентират върху по-широките последици от хакерската атака. Според тях тя хвърля сянка върху способността на правителството да управлява своята цифрова инфраструктура.

Само няколко дни преди пробива в DOGE новостартиралият правителствен сайт waste.gov също се сблъска с криза в сигурността. Тя наложи спешно блокиране на достъпа до него, след като беше установено, че е използван незавършен шаблон на WordPress.

В най-новата си актуализация на сигурността Microsoft пусна пачове за 63 уязвимости. Те засягат някои от основните системи и продукти на компанията, включително Microsoft Excel, Microsoft Office, Windows CoreMessaging и Windows Storage.

Повече от 2/3 от уязвимостите, обхванати от актуализацията, са с висока степен на опасност. Две от тях са от типа Zero day, като едната позволява повишаване на привилегиите в Windows Storage. По този начин тя излага на риск поверителните данни на организациите, които могат да бъдат откраднати или изтрити.

Като се има предвид повсеместното разпространение на операционните системи Windows, потенциално милиони бизнеси по света са застрашени.

Инсталирайте новите актуализации за сигурност на Microsoft възможно най-бързо!

Китайските хакери от групата Salt Typhoon продължават да атакуват телекомите по целия свят. Те са успели да проникнат в още американски доставчици на телекомуникационни услуги през уязвимости в мрежови устройства Cisco IOS XE.

Според Insikt Group те са две и позволяват повишаване на привилегиите и инжектиране на команди в уеб потребителския интерфейс.

Сред новите жертви са американски и италиански доставчици на интернет услуги, базирани в САЩ филиали на телекоми от Обединеното кралство и Южна Африка и др.  В периода декември 2024 – януари 2025 г. Salt Typhoon е атакувала над 1000 мрежови устройства на Cisco в различни региони.

Ако използвате Cisco IOS XE:

• приложете наличните пачове за сигурност възможно най-бързо;
• избягвайте свързването на административни интерфейси или несъществени услуги директно към интернет.

Новооткрита уязвимост позволява заобикаляне на механизма за удостоверяване в определени версии на приложението SonicOS SSLVPN. Тя засяга firewall-a на операционната система. През нея отдалечен нападател може да отвлече активни SSL VPN сесии и да получи неоторизиран достъп до мрежата на жертвата.

Доставчикът предупреди, че уязвимостта може да се използва активно от киберпрестъпници. Администраторите трябва да надградят фърмуера на защитните си стени на SonicOS, за да се справят с проблема.

Той засяга SonicOS версии 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, работещи в множество модели защитни стени от Gen 6 и Gen 7, както и устройства от серия SOHO.

Пачовете са публикувани в SonicOS версии 8.0.0-8037 и по-нови, 7.0.1-5165 и по-нови, 7.1.3-7015 и по-нови, и 6.5.5.1-6n и по-нови.

 

Netgear обяви, че е отстранила две критични уязвимости, засягащи няколко модела от нейните Wi-Fi рутери. Компанията призова потребителите да актуализират устройствата си до най-новия фърмуер възможно най-скоро.

Пропуските в сигурността засягат множество WiFi 6 точки за достъп (WAX206, WAX214v2 и WAX220) и моделите Nighthawk Pro Gaming рутери (XR1000, XR1000v2, XR500). Потенциални нападатели биха могли да ги използват за отдалечено изпълнение на код при атаки с ниска сложност, които не изискват взаимодействие с потребителя.

Ето списък с всички уязвими модели и версиите на фърмуера с пачове за сигурност:

Vulnerable Netgear router	Patched firmware version
XR1000	Firmware version 1.0.0.74
XR1000v2	Firmware version 1.1.0.22
XR500	Firmware version 2.3.2.134
WAX206	Firmware version 1.0.5.3
WAX220	Firmware version 1.0.5.3
WAX214v2	Firmware version 1.0.2.5

 

За да изтеглите и инсталирате най-новата версия на фърмуера за вашия рутер Netgear:

• посетете сайта за поддръжка на NETGEAR;
• започнете да въвеждате номера на модела си в полето за търсене, след което го изберете от падащото меню веднага щом то се появи;
• ако не виждате падащо меню, уверете се, че сте въвели правилно номера на модела си, или изберете продуктова категория, за да потърсите;
• щракнете върху Downloads.
• в раздела Current Versions изберете първата възможност, чието заглавие започва с Firmware Version;
• изберете Release Notes;
• следвайте инструкциите, за да изтеглите и инсталирате новия фърмуер.

Хакерите все по-често използват облачни платформи като Amazon Web Services (AWS) и Microsoft Azure, за да организират мащабни кибератаки.

Тези платформи, които приемат критична инфраструктура за бизнеси от цял свят, се компрометират чрез различни сложни методи.

Те включват:

• Infrastructure laundering: При него атакуващите използват откраднати или измамни акаунти, за да наемат IP адреси от AWS и Azure. Това дава възможност за провеждане на фишинг кампании, инвестиционни измами и операции по пране на пари.
• Кражба на API ключове: След като хакерите успеят да откраднат легитимни API ключове, те се изпозлват за заобикаляне на контрола за сигурност на организациите и генериране на вредно съдържание чрез официални услуги.
• Неправилни конфигурации на облака: Неправилно конфигурираните ресурси в облака продължават да бъдат значителна уязвимост. Нападателите използват публично достъпни бази данни или слаби политики за сигурност, за да получат достъп до чувствителна информация.
• Advanced Exploitation Techniques: Използвайки командата RunShellScript на Azure или публичните AMI (Amazon Machine Images) на AWS, нападателите получават отдалечен достъп до виртуални машини и извличат чувствителни метаданни или пълномощни.

За да се противопоставят на тези заплахи, организациите трябва да приемат надеждни мерки за сигурност в облака. Това включва:

• внедряване на усъвършенствани инструменти за наблюдение като GuardDuty за AWS или Microsoft Defender за Azure за откриване на подозрителни дейности в реално време;
• засилване на сигурността на API чрез редовна ротация на ключовете и ограничаване на използването им въз основа на IP или времеви периоди;
• редовни одити на конфигурацията на облачните ресурси за откриване на грешки и уязвимости;
• прилагане на Zero trust архитектура с MFA и политики за достъп с най-малки привилегии за допълнителна защита на средата.

Новооткрита уязвимост в браузъра Brave позволява на злонамерени уебсайтове да заблуждават потребителите, че си взаимодействат с надеждни източници. Тя засяга версиите за настолни компютри от 1.70.x до 1.73.x.

Проблемът се крие във функция, предназначена да повиши безопасността на потребителите. Тя осигурява визуален сигнал, потвърждаващ легитимността на сайта, при сваляне на файлове. При определени сценарии обаче тази важна информация не се извежда правилно.

Последиците от тази уязвимост могат да бъдат драстични. Потребителите могат да бъдат подмамени несъзнателно да изтеглят зловреден софтуер, да споделят чувствителна информация с киберизмамници или да станат жертва на сложни фишинг атаки.

За да се предпазите, актуализирайте Brave Desktop Browser до версия 1.74.48 или по-нова.

Kитайският AI стартъп DeepSeek, който нашумя с модела си R1, е оставил публично достъпни две бази данни с чувствителна потребителска и оперативна информация. В тях има над 1 млн. записа, съдържащи история на чата на потребителите в обикновен текст, API ключове, данни за бекенда и оперативни метаданни.

Откритието е направено от Wiz Research по време на оценка на сигурността на външната инфраструктура на DeepSeek. Изследователите са категорични, че това представлява критичен риск за платформата.

Потенциален атакуващ може да изтегли не само чувствителни логове и реални чат съобщения в обикновен текст, но и пароли за DeepSeek R1.

Компанията не е установила стабилни правила по отношение на сигурността. Затова и само седмица след официалното пускане на R1 Италия забрани модела.

Свободният достъп до промптовете на потребителите е нарушение на неприкосновеността на личния живот. Организациите трябва добре да обмислят за какво използват платформата и да не допускат участието ѝ в чувствителни бизнес операции. Излагането на данни за бекенда и API ключове може да даде на нападателите път към вътрешните мрежи на DeepSeek. Това би позволило нерегламентирано увеличаване на привилегиите и потенциално мащабни пробиви.

През изминалата година уязвимостите в API, свързани с изкуствен интелект (AI), са се увеличили с 1205%.

57% от задвижваните от AI API са достъпни отвън, а при 89% липсва сигурно удостоверяване. Едва 11% са приложили надеждни мерки за сигурност, сочат данните от 2025 API ThreatStats Report на Wallarm.

Пропуските в механизмите за автентикация остават критичен проблем – 89% от API, задвижвани от AI, са уязвими. Това важи както за наследените, така и за по-новите интерфейси. На този фон, нарушенията на API се утрояват през 2024 г.

А примерите от реалния свят дебело подчертават мащаба на рисковете. Пробивът в API на Dell например изложи на риск 49 милиона записа през май 2024 г. В сферата на здравеопазването Ascension Health се сблъска с опустошителен пробив в API, който засегна 5,6 милиона пациенти през декември.

Приложно-програмните интерфейси се превръщат в гръбнак на интеграцията на AI. И тъй като заплахите, свързани с API, продължават да се увеличават, бизнесите трябва да дадат приоритет на сигурността, за да защитят своите операции, данни и репутация.

 

Пробивите през SaaS платформи са се увеличили с 300% през 12-те месеца от септември 2023. Те са мотивирани основно от финансова печалба, шпионаж и прекъсване на дейността на таргетираната компания.

Според констатациите на Obsidian Security APT групите все по-често се фокусират върху SaaS приложенията, за да крадат чувствителни данни. Причината – бизнесите все повече разчитат на тях за критични операции.

Лошата новина е, че подобни атаки се оказват успешни дори срещу организации със стабилни мерки за сигурност. Все по-широкото използване на SaaS от предприятията означава, че съхранението на данни се премества от крайната точка към приложенията. Това прави акаунтите в SaaS платформите решаващи за защитата на тази информация.

Интегрираният характер на този вид софтуери означава, че една компрометирана идентичност позволява на нападателите лесно да проникнат в множество приложения.

Пробивите в SaaS обикновено започват именно чрез компрометирана идентичност (85%). Другите типове атаки включват:

• Adversary-in-the-middle – AiTM (39%);
• Self-service password reset – SSPR (24%);
• Brute-force атака (14%);
• Push fatigue (MFA fatigue) (13%).

В 84% от инцидентите, анализирани в доклада, MFA не е успяла да спре нападателите.

За да се защитите, трябва да:

• имате цялостен поглед върху всички използвани SaaS приложения и услуги, за да се идентифицират и управляват потенциални уязвимости;
• прилагате контрол на достъпа, базиран на най-малки привилегии. Това ще намали възможността на нападателите да се придвижват в други приложения, след като са получили първоначален достъп;
• създадете система за постоянно наблюдение на SaaS средите, за да се идентифицират бързо уязвимостите и заплахите и да се реагира на тях.