Сегодня в ТОП-5 — VoidLink — скрытая облачная платформа для создания вредоносного ПО под Linux, новый способ атаки ConsentFix, критическая уязвимость Node.js может вызывать сбои серверов, критическая уязвимость в FortiSIEM позволяет захватить контроль над системой без пароля, Palo Alto закрыла уязвимость в межсетевых экранах.
VoidLink — скрытая облачная платформа для создания вредоносного ПО под Linux
В декабре 2025 года компания Check Point Research выявила группу ранее неизвестных образцов вредоносного ПО VoidLink для Linux. Фреймворк состоит из загрузчиков, написанного на Zig импланта, руткитов и десятков плагинов, доступных по умолчанию и привязанных к кастомному API. Гибкая и модульная архитектура позволяет злоумышленникам по мере необходимости расширять и изменять функциональность инструментов. Рекомендуется заблаговременно обеспечивать безопасность сред Linux, облачных сервисов и контейнеров для защиты от сложных угроз, таких как VoidLink.
Новый способ атаки ConsentFix
В декабре исследовательская группа Push Security обнаружила новую технику атаки ConsentFix, направленную на получение токенов OAuth, необходимых для аутентификации пользователей Microsoft. Злоумышленник создаёт фишинговую страницу, на которой после ввода учётных данных пользователь перенаправляется на страницу проверки подлинности Microsoft, при этом взаимодействие инициируется с фишингового сайта. При входе пользователь получает код авторизации OAuth, который злоумышленник перехватывает и вводит в целевое приложение на своём устройстве, чтобы завершить процедуру авторизации и захватить учётную запись. Для борьбы с подобными браузерными атаками рекомендуется выявлять признаки вредоносной активности и блокировать атаки в режиме реального времени.
Критическая уязвимость Node.js может вызывать сбои серверов
Node.js выпустил январское обновление для снижения вероятности воспроизведения ошибки переполнения стека, на которую фреймворки стали полагаться для обеспечения доступности сервисов. Уязвимость заключается в зависимости экосистемы от неопределённого поведения в языках программирования, что приводит к переполнению стека (категория уязвимостей CWE-758). Ошибка возможна только при включённом модуле async_hooks, который завершает работу с кодом 7, если рекурсия в пользовательском коде исчерпывает пространство стека. Рекомендуется обновление до актуальной версии и ограничение глубины рекурсии.
Критическая уязвимость в FortiSIEM позволяет захватить контроль над системой без пароля
Специалисты компании Horizon3 представили анализ критической уязвимости CVE-2025-64155 (CVSS: 9.8) в FortiSIEM. Уязвимость позволяет злоумышленнику удалённо выполнить произвольный код на сервере FortiSIEM без авторизации и получить права суперпользователя. В основе атаки — опция --next в curl, которая даёт возможность объединять запросы в одну команду и записывать произвольные файлы с правами admin. Исследователи использовали её для модификации файла phLicenseTool и внедрения своего кода. Администраторам систем FortiSIEM рекомендуется установить последние обновления безопасности и проверить phoenix.log на наличие записей PHL_ERROR с аномальными URL и путями.
Palo Alto закрыла уязвимость в межсетевых экранах
Palo Alto Networks закрыла опасную уязвимость в своих межсетевых экранах, которая позволяла атакующим без аутентификации выводить защиту из строя. Уязвимость получила идентификатор CVE-2026-0227 (CVSS: 7.7) и затрагивала межсетевые экраны нового поколения под управлением PAN-OS версии 10.1 и выше, а также облачный сервис Prisma Access, если в конфигурации включены портал или шлюз GlobalProtect. Суть проблемы заключалась в ошибке, из-за которой устройство переводилось в режим обслуживания. В таком состоянии функции фильтрации трафика отключались. Рекомендуется установить последние обновления для PAN-OS, а если используется неподдерживаемая версия, обновить устройство до актуального релиза, в котором уязвимость устранена.
