Всё самое интересное из мира кибербезопасности /** с моими комментариями.
1) Минцифры предлагает запретить изменять IMEI мобильных устройств.
Пользователям запретят изменять идентификационные номера мобильных устройств (IMEI), привязанных к их номерам, — это следует из поправок к закону «О связи», разработанных Минцифры (с ними ознакомились «Известия»). Эти поправки — часть объемного законопроекта, направленного на борьбу с киберпреступностью, который сейчас прорабатывается в ведомстве. Кроме того, планируется создать единую базу мобильных устройств и ввести черные списки уникальных номеров.
Подмена IMEI — один из инструментов киберпреступников, который позволяет, например, скрыть устройство, послужившее инструментом мошенничества. Кроме того, меняют IMEI и владельцы СИМ-боксов, служащих для спам-обзвонов, рассылок и опять-таки применяющихся в мошеннических контакт-центрах. После этой процедуры устройство, с которого исходил подозрительный трафик, операторы и банки «видят» совершенно новый гаджет.
/** Пока есть вопросы к тому, как это будет работать. Ведь покупка нового телефона - это замена IMEI и это самый частый кейс, при этом - абсолютно легальный. Главное, чтобы в этом кейсе проблем не было. Пока все звучит так, как будто хотят запретить покупать людям новые телефоны. Я пока не понимаю, как государство хочет отличать смену IMEI на существующем устройстве и покупку пользователем нового устройства.
2) Microsoft заблокировала доступ к электронной почте главе международного уголовного суда, чье решение о привлечении Нетаньяху к уголовной ответственности не понравилось Трампу.
Примечательна история тем, что Харим Хан, глава МУС, является гражданином Великобритании, которого лишили доступа не только к сервисам Microsoft, но и к банковским счетам и другим благам человечества. И все по росчерку пера американского президента.
Европа на эту тему сильно напряглась и вновь начала задумываться о построение своего цифрового суверенитета. Microsoft приехал на днях в ЕС с целью убедить, что рисков для европейцев никаких, но если уж совсем припрет, то гигант из Редмонда готов строить локальные облака и локальные хранилища. Правда, они по-прежнему будут подчиняться американскому законодательству и новые санкции, если таковые будут, распространяться на них также, как и на расположенные в Северной Америке. Та же история и с Amazon.
/** Источник новости. Удивительно конечно как быстро политизировалось ИТ. Лет 10 назад подобные кейсы мне казались невозможными, особенно в части Европы. Любой иностранный продукт, любое решение, в том числе и в информационной безопасности может просто перестать работать, если вендора попросят это сделать определённые влиятельные люди.
3) Популярная тема для WordPress позволяет менять пароли пользователей.
Злоумышленники эксплуатируют критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.
Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце предупреждала о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.
/** Разработчики уже выпустили исправленную версию 5.6.68, но пользователи, как всегда, не торопятся обновляться. Если ваш сайт сделан на WordPress, то я рекомендую вам автоматизировать его проверки и обновления, чтобы это все проводилось хотя-бы раз в день.
4) Палата представителей США запретила WhatsApp на устройствах сотрудников из-за проблем безопасности.
Палата представителей США запретила установку и использование WhatsApp на правительственных устройствах, принадлежащих сотрудникам Конгресса, сославшись на обеспокоенность по поводу того, как приложение шифрует и защищает данные.
Сотрудники Конгресса по-прежнему могут свободно использовать WhatsApp на своих личных устройствах, что, согласно существующим правилам, запрещено в таких конфиденциальных зонах, как секретные брифинги или режимные объекты.
/** Вендор WhatsApp (не буду его упоминать) в ярости. Написали кучу опровержений, но факты и имидж - вещи упрямые. WhatsApp - шпионское ПО в пользу американцев.
5) Новая атака FileFix использует Проводник Windows для скрытых команд.
FileFix, разновидность атаки с применением социальной инженерии под названием ClickFix, позволяет злоумышленникам выполнять команды на системе жертвы через адресную строку проводника файлов в Windows.
Атаки ClickFix основаны на браузере и основаны на обмане пользователей, заставляющих их нажать кнопку на веб-сайте, которая копирует команду в буфер обмена Windows. Затем пользователям предлагается вставить команду в PowerShell или другую командную строку, чтобы исправить проблему.
Подобные атаки обычно маскируются под капчи или ошибки, которые не позволяют пользователю использовать сайт без предварительного «исправления» проблемы.
Исследователь mr.d0x нашел способ достичь той же цели, но заставив цель вставить команду в более привычный пользовательский интерфейс Проводника Windows.
/** Вообще рекомендую каждому прочитать эту статью. Имхо - тот концепт, который показан на видео в статье, это очень опасная тема. Будьте внимательны и не нажимайте никакие кнопки на неизвестных или подозрительных сайтах. К слову, атаки clickfix выросли за год на 517% по аналитике Eset. Filefix явно будет гораздо больше.
6) Сотни серверов MCP подвергают модели ИИ риску злоупотребления, RCE.
Хотя MCP появились только в ноябре 2024, исследователи из Backslash Security подсчитали, что сегодня в мире их уже более 15 000. И «то, что мы видим у наших клиентов, это то, что они даже более широко распространены, чем организации могут себе представить», — объясняет Йосси Пик, главный технический директор Backslash Security. Пользователи ИИ все чаще взаимодействуют с MCP с каждым днем, и сотни из них неправильно настроены таким образом, что допускают утечку конфиденциальных данных и даже атаки удаленного выполнения кода (RCE).
Первая проблема, которую обнаружили исследователи, заключалась в том, сколько MCP открыто в Интернете: около 7000, примерно половина от общего числа. Из 7000 проанализированных, пара сотен или около того оказались широко открытыми для подключений — любое устройство в той же локальной сети могло подключиться без какой-либо аутентификации. Сам по себе риск так называемого «neighborjacking» не является концом света. Но когда neighborjacking сочетается с другими неправильными конфигурациями, все становится хуже.
Около 70 просканированных MCP имели серьезные уязвимости кибербезопасности, такие как проблемы обхода пути, отсутствие очистки входных данных и т. д.
/** Также рекомендую прочитать всю статью. Я приведу рекомендации которые дают в ней при разработке внутреннего MCP:
Предпочитайте stdio транспорт для локальных инструментов MCP вместо Server-Sent Events (SSE). Если SSE требуется локально, ограничьте доступ только 127.0.0.1;
Проверяйте и очищайте все внешние входные данные, особенно данные, используемые при построении подсказок, путях к файлам, сетевых запросах и выполнении оболочек/команд;
Ограничьте доступ к файловой системе: только операции чтения/записи к предопределенным каталогам;
Избегайте утечки внутренних данных (например, секретов, токенов или внутренних журналов) в ответах инструментов или подсказках LLM;
Реализуйте четкий контроль доступа к API и функциям инструментов, чтобы гарантировать, что разрешены только авторизованные вызовы;
Проверьте источник данных, которые получает ваш агент LLM, чтобы избежать потенциального заражения источника данных.
7) Миллионы принтеров Brother пострадали от критической, неустранимой ошибки.
Ошибка существует в функции генерации паролей по умолчанию Brother, которая создает пароль на основе серийного номера устройства. Таким образом, если злоумышленник знает серийный номер устройства (который он может раскрыть через другие уязвимости), он может сгенерировать пароль администратора по умолчанию для целевого устройства.
Исследователь сообщил, что в общей сложности этой уязвимости подвержены 695 моделей устройств, отметив: «Brother указал, что эта уязвимость не может быть полностью устранена в прошивке, и потребовал внести изменения в процесс производства всех затронутых моделей».
/** Жесть, как она есть. В сети куча отчётов по пентесту, где входной точкой в корп. сеть послужил принтер. Теперь таких отчётов станет ещё больше. Я, кстати, всегда любил читать название этого бренда на русский манер и, видимо, не зря. )
8) Обзор основных инцидентов в области промышленной кибербезопасности за первый квартал 2025 г. от Kaspersky.
Специалисты Kaspersky ICS CERT сообщают, что в первом квартале 2025 года жертвами было публично подтверждено 118 инцидентов.
Атаки привели к утрате конфиденциальных данных, сбоям в работе ИТ-сервисов и ключевых операционных процессов, в том числе в производстве и поставке продукции.
Громкой историей стала атака на аэропорт Куала-Лумпура, в результате которой на 10 часов были выведены из строя многие информационные системы: табло вылета и прилета, терминалы регистрации и системы обработки багажа.
/** Полезно читать подобные отчёты для вдохновения расширения кругозора.
Безопасной вам недели!
Больше новостей в моём Telegram. Подписывайтесь!
Предыдущая неделя <-- weekSecNews
