Всё самое важное из мира кибербезопасности за неделю — без воды, только мясо.
Это издание подготовлено командой ONSEC — экспертов в области пентестов и охотников за настоящими уязвимостями. Мы отсеиваем шум и приносим вам только то, что имеет значение.
🔥 Актуальные эксплойты
- Эксплойт нулевого дня в Chrome (CVE‑2025‑6558) — активно используется в реальных атаках.
Google устранил уязвимость высокой степени серьезности в движке ANGLE/GPU браузера Chrome, позволявшую обойти песочницу и потенциально полностью скомпрометировать систему через вредоносные HTML‑страницы. Команда Google TAG обнаружила активные атаки с использованием этой уязвимости (сообщено 23 июня), что делает её пятой уязвимостью нулевого дня в Chrome в этом году. Пользователям рекомендуется немедленно обновиться до версии 138.0.7204.157.
Источник: The Hacker News - Citrix NetScaler “Bleed 2” (CVE‑2025‑5777) — критическая уязвимость в ADC/Gateway под атакой.
CISA добавила эту уязвимость с рейтингом CVSS 9.3 в список активно эксплуатируемых 10 июля после подтверждения её использования злоумышленниками. Уязвимость представляет собой ошибку проверки входных данных (чтение за пределами памяти), позволяющую обойти аутентификацию на NetScaler Gateway, похитить VPN-токены сессии и получить доступ к внутренним приложениям. Эксплуатация началась в середине июня; Citrix выпустила патчи 17 июня, а государственным агентствам США было предписано устранить проблему до 11 июля.
Источник: The Hacker News - Уязвимость нулевого дня в Fortinet FortiWeb (CVE‑2025‑25257) — взлом WAF через SQL-инъекцию.
Критическая неаутентифицированная SQL‑инъекция в модуле Fabric Connector WAF FortiWeb была устранена 8 июля, однако уже к 11 июля началась активная эксплуатация, приведшая к взлому десятков устройств. Shadowserver зафиксировал около 85 скомпрометированных устройств FortiWeb (снижение до 49 после мер по исправлению). Fortinet настоятельно рекомендует администраторам немедленно обновиться или отключить уязвимый HTTP/S‑интерфейс управления.
Источник: Cybersecurity Dive - Удалённое выполнение кода в Wing FTP Server (CVE‑2025‑47812) — эксплойт опубликован и используется.
Злоумышленники используют критическую уязвимость в Wing FTP Server (неправильная обработка null‑байтов) для удалённого выполнения кода от имени root/SYSTEM. Исследователи показали, что с помощью внедрения вредоносного Lua‑кода в сессионные файлы можно запускать произвольные команды ОС. Технические детали были опубликованы 30 июня, а уже 1 июля подтверждена эксплуатация в дикой среде. CISA добавила эту уязвимость в каталог KEV 16 июля. Рекомендуется немедленное обновление до версии 7.4.4 или новее.
Источник: SecurityAffairs - Взлом TeleMessage (CVE‑2025‑48927) — дамп памяти раскрывает учётные данные.
Аналитики GreyNoise сообщают об активном сканировании и попытках эксплуатации уязвимости в приложении защищённой переписки TeleMessage. Уязвимость позволяет без аутентификации скачать дамп памяти объёмом 150 МБ, содержащий учётные данные и сообщения в открытом виде. В атаке в мае с её помощью были скомпрометированы пользователи из числа сотрудников правительства США менее чем за 20 минут. CISA включила уязвимость в список эксплуатируемых 1 июля и установила крайний срок для устранения — 22 июля.
Источник: BleepingComputer
🛡️ Уязвимости и обновления
- VMware ESXi — устранены четыре уязвимости нулевого дня (CVE‑2025‑41236/37/38)
17 июля VMware выпустила патчи для четырёх критических уязвимостей типа «побег из гостевой машины» в продуктах ESXi, Workstation и Fusion. Уязвимости были обнаружены на соревновании Pwn2Own в Берлине и позволяют злоумышленнику, находящемуся внутри виртуальной машины, выполнять произвольный код на хост-системе. Это представляет серьёзную угрозу для виртуализированных и облачных сред.
Источник: BleepingComputer - Cisco Identity Services Engine — удалённое выполнение кода без аутентификации через загрузку файлов (CVE‑2025‑20337)
17 июля Cisco выпустила предупреждение об уязвимости с максимальным рейтингом CVSS 10.0 в системе ISE. Она позволяет неаутентифицированным злоумышленникам загружать вредоносные файлы через специально сформированные API‑запросы и добиваться выполнения кода с правами root. Обновление до ISE 3.3 Patch 7 или 3.4 Patch 2 является обязательным.
Источник: BleepingComputer - Oracle — июльский патч 2025 года устраняет 309 уязвимостей, включая 127 RCE
В рамках критического обновления безопасности от 16 июля Oracle устранила 309 уязвимостей в ключевых продуктах, таких как Java, WebLogic и MySQL. Из них 127 можно эксплуатировать удалённо без аутентификации. Многие уязвимости имеют рейтинг CVSS выше 9.0, что делает обновление крайне важным для корпоративных систем.
Источник: Oracle Security Advisory - Уязвимость “NVIDIAScape” в контейнерах (CVE‑2025‑23266) — патч доступен
Исследователи обнаружили критическую уязвимость побега из контейнера в NVIDIA GPU Container Toolkit (широко используется в облачных AI-сервисах), получившую рейтинг CVSS 9.0. С помощью всего трёх строк в Dockerfile злоумышленник может воспользоваться неправильной конфигурацией OCI hook и получить root-доступ к хосту, что потенциально позволяет получить доступ к данным других клиентов на общих GPU-серверах. NVIDIA выпустила исправления в Toolkit v1.17.8 и GPU Operator v25.3.1 18 июля.
Источник: The Hacker News - Ivanti Neurons for ITSM — обход аутентификации (CVE‑2025‑31102)
12 июля Ivanti устранила критическую уязвимость обхода аутентификации в своей облачной платформе Neurons for ITSM. Уязвимость могла позволить злоумышленникам повысить привилегии и получить доступ к чувствительным данным службы поддержки. Подтверждённых взломов пока нет, но зафиксирована активная проверка уязвимости в интернете.
Источник: SecurityWeek
🎧 Лучшие подкасты недели по кибербезопасности
- Critical Thinking – подкаст Bug Bounty: “Эпизод 131: Рождество в июле (SL Cyber, Metastrategy и др.)”
Ведущие Джастин «Rhynorater» Гарднер и Джозеф «Rez0» Такер представляют спецвыпуск “Рождество в июле” с подборкой свежих хакерских исследований. Обсуждаются интересные статьи от Searchlight Cyber, утечка данных соискателей McDonald’s, и “Oops‑коммиты” на GitHub, случайно раскрывающие секреты. Также затрагиваются продвинутые стратегии охоты за уязвимостями — креативные инструменты разведки и «метастратегии» для баг‑баунти-хантеров.
Источник: Apple Podcasts - The Weekly Breach Breakdown (ITRC): “Анализ утечек данных за 1 полугодие 2025 — ключевые выводы”
Президент ITRC Джеймс Э. Ли делится анализом тенденций утечек за первую половину 2025 года: зафиксировано 1 732 инцидента и раскрыто 165,7 млн записей (примерно на 5 % больше, чем в 1 полугодии 2024). Однако отсутствие мегаутичек, как в прошлом году, позволило сохранить меньшее общее число жертв. Особое внимание уделено инцидентам с уже скомпрометированными данными — например, в июне была обнаружена облачная база, содержащая 16 млрд учётных записей. Почти половина пострадавших — результат атак на цепочку поставок.
Источник: ITRC Weekly Breach Breakdown - Smashing Security #426: “Choo Choo Choose to Ignore the Vulnerability”
Ведущие Грэм Клюли и Кэрол Террио с юмором обсуждают последние провалы в сфере кибербезопасности. Грэм рассказывает, как энтузиаст смог дистанционно перехватить тормоза поезда с 240 км с помощью $500 радиокомплекта, благодаря уязвимостям в системе управления. Кэрол исследует ситуацию с ИИ-чатботом Илона Маска “Grok”, который начал генерировать оскорбительный контент, несмотря на это получил контракт с Минобороны США. Обсуждаются риски игнорирования уязвимостей в критической инфраструктуре и юридическая ответственность за поведение ИИ.
Источник: Smashing Security - SANS Stormcast — “Понедельник, 14 июля 2025: Логи веб‑ловушек, вредоносные расширения браузера, форензика RDP”
Короткий, но насыщенный 6‑минутный выпуск с анализом роста активности веб‑ловушек (honeypot), новой волны вредоносных расширений для браузеров и форензики удалённого рабочего стола (RDP), которая указывает на ранние признаки угроз наблюдения в корпоративной среде.
Источник: SANS Internet Stormcenter Daily Cyber Security Podcast
🧠 Финальное слово
На этой неделе в кибермире было жарко: уязвимости с максимальным CVSS, баги в AI‑инфраструктуре, и очередные провалы в безопасности критических систем — от поездов до чат-ботов. Эксплойты становятся умнее, атаки — тоньше, а защита требует не просто патчей, а мышления на опережение.
Будьте внимательны. Обновляйтесь вовремя. Читайте между строк.
А мы снова вернёмся через неделю — с фактами, уязвимостями и главными сигналами из мира безопасности. Только суть. Без шума.
ONSEC — там, где безопасность встречает реальность. 💻🛡️
web-nash-hleb.com 
Leave a comment