Ваш TP-Link роутер сливает весь трафик хакерам. Исправления нет 8 месяцев

TP-Link подтвердила наличие новой уязвимости нулевого дня, которая затрагивает сразу несколько моделей её маршрутизаторов. Обнаружил проблему независимый исследователь, выступающий под ником Mehrun (ByteRay). Он сообщил о ней ещё 11 мая 2024 года, однако до сих пор исправление выпущено не для всех устройств. В компании признали факт существования ошибки и заявили, что ведут работу над обновлениями. На данный момент устранение сбоя доступно лишь для европейских версий прошивок, а адаптация для США и других регионов пока продолжается без точных сроков выхода. Уязвимость пока не получила идентификатор CVE. Она представляет собой переполнение буфера в реализации протокола CWMP (CPE WAN Management Protocol), используемого для удалённого администрирования маршрутизаторов. Ошибка кроется в функции обработки SOAP-сообщений SetParameterValues: вызовы strncpy выполняются без проверки границ, что при размере входного буфера свыше 3072 байт приводит к возможности выполнения произвольного кода. Mehrun пояснил, что реальная атака может быть реализована через подмену CWMP-сервера и передачу специально созданного SOAP-запроса. Это может быть достигнуто как за счёт эксплуатации старых прошивок, так и через использование стандартных учётных данных, которые владельцы не меняли после покупки. При успешной эксплуатации злоумышленник получает возможность перенаправлять DNS-запросы на поддельные серверы, незаметно подслушивать или изменять нешифрованный трафик, а также внедрять вредоносные данные в сессии пользователей. Исследователь подтвердил подверженность моделей Archer AX10 и Archer AX1500, которые до сих пор находятся в продаже и пользуются широкой популярностью. Дополнительно под угрозой могут быть EX141, Archer VR400, TD-W9970 и ряд других устройств производителя. TP-Link уточнила, что специалисты компании сейчас анализируют степень риска и проверяют, включён ли CWMP по умолчанию. Пользователям до выхода исправлений рекомендовано изменить заводские пароли администратора, отключить CWMP, если он не используется, обновить прошивку до последней версии и по возможности изолировать маршрутизатор от критически важных сегментов сети.

Источник: https://www.securitylab.ru/news/563145.php

Ваши секреты в XChat под надежной защитой. Четырехзначного PIN-кода. И честного слова Илона Маска

Компания X, ранее известная как Twitter, начала поэтапно внедрять новый сервис зашифрованных сообщений под названием XChat. Формально он позиционируется как платформа с полноценным сквозным шифрованием : переписку могут прочитать только её участники, а сам сервис якобы не имеет доступа к содержимому. Однако криптографы уже указывают, что нынешняя реализация далека от надёжности и уступает признанным эталонам вроде Signal. Первое сомнение связано с тем, как XChat обращается с ключами . После активации пользователю предлагается придумать четырёхзначный PIN, с помощью которого шифруется приватный ключ. Этот ключ затем хранится на серверах X, а не на устройстве владельца. В случае Signal всё устроено иначе — секретный ключ всегда остаётся локально. Кроме того, не ясно, используются ли аппаратные модули безопасности (HSM) для защиты ключей. Без них оператор теоретически может подобрать PIN и получить доступ к переписке. Представитель X утверждал летом , что HSM всё же задействованы, но никаких подтверждений до сих пор не опубликовано, что заставляет экспертов говорить о «режиме полного доверия к словам компании». Второе слабое место XChat описано самой компанией на странице поддержки : переписка может быть скомпрометирована «злонамеренным инсайдером или X». Такая угроза известна как атака «противник посередине», когда сервис подменяет ключ и фактически получает возможность читать сообщения. При этом X выдаёт пользователю публичный ключ без возможности проверить, не был ли он подменён. В результате пользователи никак не могут удостовериться в подлинности защиты. Третья проблема связана с закрытостью кода. В отличие от Signal, который подробно задокументирован и открыт для аудита, XChat пока полностью проприетарен. Компания обещает в будущем опубликовать технический документ и открыть исходники, но точных сроков нет. Наконец, XChat не поддерживает режим так называемой совершенной прямой секретности (perfect forward secrecy), когда каждое сообщение шифруется отдельным ключом. Из-за этого компрометация одного приватного ключа даёт злоумышленнику доступ ко всей истории переписки, а не только к последним сообщениям. Известный исследователь Мэттью Гарретт отмечает, что даже если сейчас доверять разработчикам X, они в любой момент могут изменить правила и ослабить защиту, и доказать обратное пользователи не смогут. Его мнение разделяет профессор криптографии Джон Хопкинс университета Мэттью Грин, который советует не полагаться на новый сервис больше, чем на обычные незашифрованные личные сообщения. Несмотря на многократные запросы журналистов, пресс-служба X пока что не дала никаких ответов на уточняющие вопросы о безопасности XChat.

Источник: https://www.securitylab.ru/news/563215.php

53% компаний под атакой, триллион потерь и госсектор в прицеле. Сбербанк оценил масштабы кибервойны против российской экономики

Количество кибератак на российский бизнес за восемь месяцев 2025 года увеличилось втрое по сравнению с прошлым годом. По оценкам Сбербанка, при таком росте ситуация имеет тренд на ухудшение, а возможный ущерб экономике России за январь–август может составить около 1,5 трлн рублей. Об этом сообщил зампред правления банка Станислав Кузнецов на Восточном экономическом форуме. Он отметил, что число атак на Сбер возросло примерно в два раза. По словам Кузнецова, атаки чаще всего совершаются двумя способами. Первый связан с DDoS, когда деятельность компании, не имеющей защиты, останавливается. Второй — более сложный: злоумышленники из разных направлений пытаются внедрить в корпоративные системы вредоносное программное обеспечение. Сбербанк оценивает, что в 2025 году уже не менее 53% российских компаний подверглись кибератакам. Из них восемь из десяти столкнулись с серьезными последствиями. Четверть организаций признали, что понесли существенные репутационные риски. Столько же сообщили о серьезных финансовых потерях. Примерно половина (48%) отметила простои, когда бизнес-процессы и работа сайтов полностью останавливались. Среди главных целей злоумышленников оказались государственный сектор, министерства, ведомства, региональные администрации и другие госструктуры. По словам Кузнецова, это говорит не только об интересе к госсектору, но и о качестве уровня киберзащиты.

Источник: https://www.securitylab.ru/news/563211.php

Thermoptic: новое оружие против Cloudflare. Инструмент маскирует любые запросы под настоящий браузер Chrome

Исследователь безопасности Мэтью Брайант представил новый инструмент под названием Thermoptic. Это HTTP-прокси, которое маскирует сетевые запросы под трафик браузера Chrome и помогает обходить системы блокировок, основанные на анализе цифровых отпечатков соединений. Такие методы всё чаще применяются сервисами уровня Cloudflare для выявления «нечеловеческих» клиентов вроде curl или специализированных парсеров. Thermoptic позволяет использовать привычные утилиты командной строки, но выдавать их запросы за настоящие обращения браузера. Он синхронизирует сразу несколько уровней сетевых «подписей» — от TLS и HTTP до сертификатов X.509 и TCP-пакетов. В результате отпечатки, которые сервис видит со стороны, совпадают с теми, что формирует реальный Chrome. Работа инструмента строится на взаимодействии с настоящим экземпляром Chrome или Chromium через протокол отладки CDP. Thermoptic формирует нужный контекст — например, переход по ссылке или вызов fetch() — выполняет запрос в браузере и возвращает ответ клиенту. Благодаря этому совпадают все низкоуровневые детали, по которым обычно отличают ботов. Развернуть прокси можно через Docker всего одной командой. По умолчанию создаётся контейнер с проксированием трафика через локальный порт, но автор проекта рекомендует обязательно сменить стандартные логин и пароль и при необходимости установить корневой сертификат, чтобы избежать ошибок проверки HTTPS. Инструмент также поддерживает подключение «хуков» — небольших скриптов, которые позволяют автоматически проходить JavaScript-проверки или расставлять нужные cookies до выполнения запроса. По словам автора, главное отличие Thermoptic от других подходов в том, что он не имитирует поведение браузера, а использует сам браузер для выполнения запроса. Это снижает риск рассинхронизации между уровнями сети и делает инструмент менее уязвимым к изменениям в алгоритмах fingerprinting. Брайант отмечает, что создание Thermoptic связано с ростом интереса к технологиям отпечатков вроде JA4+, которые активно внедряются в современных WAF и антибот-системах. В то же время он подчеркивает: ответственность за применение инструмента полностью лежит на пользователях, а сам проект задуман как эксперимент в области открытых средств для исследователей и разработчиков.

Источник: https://www.securitylab.ru/news/563210.php

9,9 из 10 и финансовый шпионаж в SAP. Корпоративная ERP-система стала мишенью для хакеров по всему миру

В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках. Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО. SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча. Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга. SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.

Источник: https://www.securitylab.ru/news/563206.php