Всем привет! Подводим итоги месяца дайджестом ключевых ИБ-новостей. Декабрь удался на славу: его открыла React2Shell, встряхнувшая сеть, а закрывает MongoBleed, подпортившая многим праздничный сезон.
Декабрь принёс и другие горячие новости: у Spotify случился незапланированный децентрализованный бэкап, а у подрядчика PornHub утекла история просмотров премиальных юзеров. “Лаборатория Касперского” делает оптимистичные выводы о конце киберпреступной вольницы в Telegram, китайские умельцы выпустили опенсорсную модель для геолокации, а расшаренные чаты с ИИ-моделями используют в качестве вектора атаки. Об этом и других интересных новостях последнего месяца года читайте под катом!
Праздник к нам приходит. В лице React2Shell
Очень жарким декабрь выдался для React и Next.js: в React Server Components была исправлена выбившая десяточку по CVSS критическая уязвимость. Под произвольный код без аутентификации, а как иначе? А название-то какое интересное: React2Shell…
CVE-2025-55182 раскрыли 2 декабря, и всё ожидаемо встало на уши. Cloudflare выпустила костыли для своих клиентов, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные.
CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; как сообщил разработчик, эксплойт возможен в приложениях, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация была неизбежна, анализ патчей шёл полным ходом, и на React и его фреймворках выстроена половина сети.
Ожидаемо сразу же пошёл и эксплойт. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. И 3 декабря начали появляться валидные PoC, которые уже не представляли собой бесполезный ИИ-слоп.
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы и стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации вскоре присоединились все желающие. За декабрь пострадали десятки компаний, в том числе и российские, были уже и инциденты с рансомварью.
Масштабы не такие дикие, как были у Log4Shell — нет той универсальности, древних легаси-систем и прочего встроенного на годы вперёд, плюс есть гораздо более прозрачная экосистема, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость, если вдруг кто всё пропустил (надеюсь, что нет).
Рождественский подарок в виде MongoBleed
Ещё один подарок от Гринча случился в разгар праздничного сезона на Западе: в MongoDB идёт активный эксплойт уязвимости, получившей название MongoBleed со всем из этого, так сказать, вытекающим. А утекают у нас чувствительные данные из памяти.
CVE-2025-14847 — 8.7 по CVSS, чтение неинициализированной памяти кучи без аутентификации. В паре ИБ-фирм нашлись уникумы, опубликовавшие проверки концепции прямиком в Рождество — кто-то явно проводит праздничные дни в компании эксплойтов. Чему, конечно, не очень рады более социально адаптированные ИБшники из числа публичных, доступных в интернете. И о чём в очень мягких выражениях намекают своим одичалым коллегам.
В сети у MongoDB под 200 тысяч инстансов, затронуты все версии за ~10 лет, и PoC достаточно скормить айпи инстанса, чтобы из памяти начали утекать секреты. В общем, с наступающим и запоминайте, как делать не надо, чтобы не раскрыть всему миру свой запущенный аутизм. Урок №193: не публиковать эксплойты в праздничные дни. Они для салатиков, салютов и прочего незатейливого.
Незапланированный децентрализованный бэкап Spotify
В декабре пираты-хактивисты из пресловутого Anna’s Archive наскрапили весь Spotify. Библиотеку платформы на 86 миллионов файлов стянули и планируют выложить в открытый доступ. Spotify скрапинг подтвердил.
В блог-посте авторы заявили о “бэкапе Spotify”. Метаданных в нём на 256 миллионов треков, их сразу выложили. Остальное запланировали з��релизить торрент-файлами. Размеры архива солидные: почти 300 терабайт, пускай всё и в 160kb/s — ограничения бесплатных аккаунтов, с которых тянули файлы. По итогам получается крупнейшая коллекция такого плана по многим параметрам — владельцы ИИ-моделей уже довольно урчат и раскочегаривают свои инфернальные машины, чтобы скормить им архивы.
Новость, конечно, взрывает западные интернеты, не знакомые с такими достижениями пиратской мысли, как Рутрекер и десятки местечковых сайтов с музыкальными релизами на любой вкус. Но в целом занятно. Повеяло старыми-добрыми временами, когда активничали на цифровом Западе с огоньком.
Опенсорсный геолокатор GeoVista
В прошлом месяце исследователи из Китая представили ИИ-модель GeoVista для определения геолокации. В отличие от коммерческих аналогов она опенсорсная. И если судить по бенчмарку [от разрабов], по точности модель близка к проприетарным.
В отличие от других моделей, в GeoVista вшита интеграция с веб-поиском, и она подтягивает данные с десятка платформ вроде Tripadvisor, Pinterest и Wiki. По бенчмарку у Gemini 2.5 Pro точность 78,98% по городу и 97,20% по стране; у GeoVista 72,68% и 92,64%, соответственно. Сам кастомный бенчмарк тоже зарелизили для сомневающихся. Подробнее о том, как тренировали модельку, и её репозиторий здесь.
Ещё в начале года шёл релиз закрытых инструментов по инвайтам, а теперь у нас опенсорс. П��следствия на себе почувствуют и красноглазые мастера тайных знаний геолокации, и обыватели с инстаграмчиком. Последних не жалко, а вот нердам-осинтерам соболезнуем — приходит и по их нишевое хобби безжалостная ИИ-машина.
Ночной кошмар любителей погорячее
В декабре у нас был и абсолютный победитель в категории “Самый пикантный взлом года”. Скажем прямо: взломали PornHub. Точнее, его стороннего подрядчика. И стянули историю поиска и просмотров премиальных юзеров. Ситуация, одним словом, щекотливая.
Вымогательством у платформы заняты ShinyHunters — инцидент связан со взломом поставщика аналитики данных Mixpanel. И если стянутое сольют в сеть, заняться аналитикой вкусов подписчиков премиалки смогут все желающие. В утечке ~200 миллионов записей, включая почты, локацию, название видео и ссылки на них, историю просмотров и скачиваний. В общем, совсем не то, что хочется видеть в открытом доступе — особенно с учётом того, что это всё часто висит на основных имейлах, и люди даже не задумываются о возможных последствиях.
PornHub c Mixpanel перекладывают ответственность друг на друга, но пользователям от этого не легче. Ну что, премиальный юзер, готов явить миру свою историю просмотров? Сколько там открытий чудных…
Конец киберпреступной вольницы в Telegram
У “Лаборатории Касперского” вышел небольшой отчёт (PDF) об экосистеме киберпреступных каналов в Telegram. Вывод однозначный, хоть и, возможно, немного преждевременный: гаечки прикрутили, вольница закончилась, и безопасной платформой для киберпреступников мессенджер больше не является.
Из интересного, в Telegram в основном хостят кардинг и прочее мошенничество: 27,3% сообщений в сравнении с форумными 10,6%. Вещи вроде начального доступа и эксплойтов практически не встречаются. Кроме того, пик блокировок пришёлся на 2022-й: авторы связывают это с долбёжкой банхаммером по хактивистам и прочим политозабоченным.
В 2023-м и 2024-м живучесть теневых каналов повысилась: большинство держались больше 9 месяцев. Но теперь и блокируют их чаще (с сентября 2024-го). Так что в этом году наметилась миграция крупных сообществ с платформы, в том числе уходят MaaS’ы, переключаясь на другие варианты в качестве приоритетных по коммуникации.
Иными словами, пока репутационные издержки Франции от взятия Дурова перекрывает заработавшая модерация. Как мы и писали раньше, убеждённый либертарианец до первого привода.
Чаты с ИИ-модельками как вектор доставки малвари
К оригинальным векторам доставки малвари. Злоумышленники используют расшаренные чаты с ИИ-моделями для создания вредоносных инструкций, которые затем попадают в выдачу Гугла по безобидным запросам. Например “Освободить место на жёстком в MacOS”.
Расшаренные чаты в топе выдачи, в них на вид инструкции по запросу юзера — пример на скрине. Только вместо легитимной, сюрприз-сюрприз, ClickFix-атака. Глазами среднего юзера это выглядит максимально убедительно: как же не довериться Гуглу и кремниевому другу — они точно не подведут. В чате с Grok’ом хотя бы есть плашка с уведомлением о кастомных инструкциях, но юзеру это, опять же, ни о чём не говорит и подозрений не вызывает.
Отравленную выдачу получили по нескольким запросам, так что это не изолированный инцидент, а спланированная кампания. Скрипт подтягивает инфостилер AMOS. Иными словами, ClickFix продолжает обрастать впечатляющими примерами атак. Всё это, конечно, интересно, но обычного пользователя жалко — к такому его жизнь явно не готовила.
Худшая утечка в истории Южной Кореи привела к уволенному сотруднику
И наконец, Южную Корею в декабре сотрясало расследование утечки данных граждан, которую уже успели окрестить худшей в истории страны. Из Coupang, местного Ozon, утекли данные двух третей граждан. А ответственен за неё бывший сотрудник.
Об утечке стало известно в середине ноября — слиты записи на 33,7 миллионов клиентов. На фоне этого в Южной Корее и самой компании начался сущий кошмар. CEO принёс публичные извинения и подал в отставку, Coupang сотрудничала с властями, но всё равно получила [очень сдержанное] маски-шоу — полиция всю прошлую неделю сидит в офисах и проводит собственное расследование. Ну а привело оно к работнику, которому забыли отключить доступ к системам после увольнения. Классика.
Полиция сразу оговорилась, что Coupang пока в деле жертва, но если найдут что-нибудь этакое, будет а-та-та. А забытый доступ как раз тянет на что-нибудь этакое. В итоге компания под конец года объявила о выплате царских размеров компенсации пользователям — ~1,17 миллиардов долларов всем пользователям, чтобы никто не ушёл обиженным. В общем, расследование задалось, но явно не в их пользу. Хорошая новогодняя страшилка для наших компаний, к слову. Ну что, хотите как в Южной Корее?
