🔓 JWT-дыра в Cisco: токен «notfound» открывает двери суперпользователя
Horizon3 разобрал одну из самых опасных уязвимостей года — CVE-2025-20188 в контроллерах Cisco Catalyst на IOS XE. Баг позволяет загружать файлы на устройство и запускать команды с правами root без авторизации. Проблема в том, что при отсутствии ключа валидации JWT сервер сам подставляет значение "notfound" — и любая самодельная подпись становится валидной.
Уязвимый код — это Lua-скрипты, работающие в связке с Nginx через OpenResty. Доступ к API на порту 8443 возможен даже без админки: загрузка файла вне разрешённой директории открывает путь к подмене конфигураций. Особый интерес представляет штатный скрипт pvp.sh, который можно заставить выполнять произвольный код при изменении файлов.
Ситуацию усугубляет отсутствие дополнительной криптографической защиты в OpenResty: вся логика авторизации на стороне Lua, а значит — уязвима на уровне бизнес-логики. Обновление до 17.12.04 критично. Иначе любой скрипт с HS256 и ключом "notfound" может стать билетом в инфраструктуру.
#Cisco #CVE202520188 #JWT
@SecLabNews
Horizon3 разобрал одну из самых опасных уязвимостей года — CVE-2025-20188 в контроллерах Cisco Catalyst на IOS XE. Баг позволяет загружать файлы на устройство и запускать команды с правами root без авторизации. Проблема в том, что при отсутствии ключа валидации JWT сервер сам подставляет значение "notfound" — и любая самодельная подпись становится валидной.
Уязвимый код — это Lua-скрипты, работающие в связке с Nginx через OpenResty. Доступ к API на порту 8443 возможен даже без админки: загрузка файла вне разрешённой директории открывает путь к подмене конфигураций. Особый интерес представляет штатный скрипт pvp.sh, который можно заставить выполнять произвольный код при изменении файлов.
Ситуацию усугубляет отсутствие дополнительной криптографической защиты в OpenResty: вся логика авторизации на стороне Lua, а значит — уязвима на уровне бизнес-логики. Обновление до 17.12.04 критично. Иначе любой скрипт с HS256 и ключом "notfound" может стать билетом в инфраструктуру.
#Cisco #CVE202520188 #JWT
@SecLabNews
SecurityLab.ru
Контроллеры Cisco на линии огня — эксплойт уже в сети, до атаки всего пара шагов
Просто введите «notfound», и вы властелин чужого Wi-Fi.
🚫 Цифровая перегородка: власть меняет каналы связи с населением
С первого июня государство окончательно отказывается от WhatsApp и прочих зарубежных платформ в официальном общении с гражданами. Закон № 41-ФЗ превращает это из рекомендации в императив для всей вертикали власти.
Под запрет попадают не только министерства и ведомства, но и госкомпании, банки, операторы связи, крупные соцсети и площадки объявлений. Фактически вся экосистема государственно-частного партнёрства должна перейти на отечественные решения для массовых уведомлений.
Техническая реализация потребует серьёзной перестройки систем оповещения и может создать разрыв в привычных каналах получения важной информации. Граждан призывают игнорировать официальные сообщения через запрещённые платформы.
#мессенджеры #запрет
@SecLabNews
С первого июня государство окончательно отказывается от WhatsApp и прочих зарубежных платформ в официальном общении с гражданами. Закон № 41-ФЗ превращает это из рекомендации в императив для всей вертикали власти.
Под запрет попадают не только министерства и ведомства, но и госкомпании, банки, операторы связи, крупные соцсети и площадки объявлений. Фактически вся экосистема государственно-частного партнёрства должна перейти на отечественные решения для массовых уведомлений.
Техническая реализация потребует серьёзной перестройки систем оповещения и может создать разрыв в привычных каналах получения важной информации. Граждан призывают игнорировать официальные сообщения через запрещённые платформы.
#мессенджеры #запрет
@SecLabNews
SecurityLab.ru
Госорганы замолчали в WhatsApp: тишина с 1 июня
Закон вступил в силу.
Просто купить новую SIM-карту — недостаточно
В статье для Positive Research рассказываем, что может случиться, если вы потеряете доступ к номеру мобильного.
🔴 Чем опасны сервисы с авторизацией по номеру телефона
🔴 Можно ли доверять продавцам SIM-карт
🔴 Что делать, чтобы ваш номер не попал в руки мошенников
📖 Positive Research — говорим о том, как строить реальную безопасность.
#PositiveResearch
В статье для Positive Research рассказываем, что может случиться, если вы потеряете доступ к номеру мобильного.
🔴 Чем опасны сервисы с авторизацией по номеру телефона
🔴 Можно ли доверять продавцам SIM-карт
🔴 Что делать, чтобы ваш номер не попал в руки мошенников
📖 Positive Research — говорим о том, как строить реальную безопасность.
#PositiveResearch
Fplus показали "почти консоль"
Российская компания Fplus на ЦИПР-2025 представила developer kit портативной игровой консоли — по сути, отладочную плату для разработчиков. Три форм-фактора, российские операционки Alt OS, Аврора и Uncom OS, и обещания запускать современные игры. Звучит амбициозно, но дьявол, как всегда, в деталях.
Уровень готовности TRL 5 означает "работает на стенде в лаборатории" — далеко от серийного производства. Планы по импортозамещению 20-40% компонентов выглядят скромно на фоне реалий: основные чипы всё равно будут зарубежными. А три разные операционки на одном устройстве намекают на отсутствие единой архитектурной концепции — каждая система тянет в свою сторону, создавая головную боль разработчикам игр.
Главная проблема не в железе, а в экосистеме: нет игр, нет магазина, нет сообщества. Без контента даже самая мощная консоль превращается в дорогую игрушку. Пятилетняя дорожная карта выглядит оптимистично, но рынок игровых консолей жесток к опоздавшим — спросите у создателей Ouya или Stadia.
#Fplus #консоль #импортозамещение
@SecLabNews
Российская компания Fplus на ЦИПР-2025 представила developer kit портативной игровой консоли — по сути, отладочную плату для разработчиков. Три форм-фактора, российские операционки Alt OS, Аврора и Uncom OS, и обещания запускать современные игры. Звучит амбициозно, но дьявол, как всегда, в деталях.
Уровень готовности TRL 5 означает "работает на стенде в лаборатории" — далеко от серийного производства. Планы по импортозамещению 20-40% компонентов выглядят скромно на фоне реалий: основные чипы всё равно будут зарубежными. А три разные операционки на одном устройстве намекают на отсутствие единой архитектурной концепции — каждая система тянет в свою сторону, создавая головную боль разработчикам игр.
Главная проблема не в железе, а в экосистеме: нет игр, нет магазина, нет сообщества. Без контента даже самая мощная консоль превращается в дорогую игрушку. Пятилетняя дорожная карта выглядит оптимистично, но рынок игровых консолей жесток к опоздавшим — спросите у создателей Ouya или Stadia.
#Fplus #консоль #импортозамещение
@SecLabNews
SecurityLab.ru
Российская игровая консоль? Уже можно пощупать
Fplus показал, что бывает без PlayStation.
Количество преступлений по 272-й статье УК РФ за год выросло почти втрое — с 36 до 104 тысяч. Но куда интереснее структура: по данным МВД, около 90% из них связаны с получением доступа к аккаунтам на «Госуслугах». Цифры говорят сами за себя — массовый интерес к этому ресурсу проявляют не только пользователи, но и преступники.
Механизмы взлома несложны: сброс пароля через штатную функцию, массовая авторизация на сайтах-партнёрах, получение одноразовых кодов через методы социальной инженерии. Иногда достаточно просто купить «брошенный» номер, к которому всё ещё привязана учётка. Всё это — стандартный инструментарий для мошеннических схем с МФО.
Раскрыто всего 2167 дел — менее 3%. При таком проценте успешных расследований взлом аккаунта становится статистически безопаснее, чем переход дороги в неположенном месте.
#272УК #госуслуги #доступ
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Уголовка по подписке: статья 272 почти полностью ушла в «Госуслуги»
МВД фиксирует троекратный рост взломов.
Forwarded from Positive Hack Days Media
У нас есть три новеньких мини-проектора Zeemr D1 Pro, и мы хотим отдать их вам!
Чтобы вы могли с кайфом смотреть записи PHDays Fest этим летом 🍿
Стартуем новый розыгрыш с тремя победителями. Как обычно, условия простые:
• подписаться на Positive Hack Days Media
• подписаться на SecurityLab.ru
• подписаться на Positive Technologies
И нажать кнопку «Участвую!» под этим постом.
Итоги подведем уже в пятницу, 6 июня, в 20:00. Бот случайным образом выберет троих счастливчиков (но если вы бустите каналы, это будет бонусом).
🎁 Доставка — за наш счет, только по России.
Удачи!
@PHDays
Чтобы вы могли с кайфом смотреть записи PHDays Fest этим летом 🍿
Стартуем новый розыгрыш с тремя победителями. Как обычно, условия простые:
• подписаться на Positive Hack Days Media
• подписаться на SecurityLab.ru
• подписаться на Positive Technologies
И нажать кнопку «Участвую!» под этим постом.
Итоги подведем уже в пятницу, 6 июня, в 20:00. Бот случайным образом выберет троих счастливчиков (но если вы бустите каналы, это будет бонусом).
🎁 Доставка — за наш счет, только по России.
Удачи!
@PHDays
🧩 Russian Market вышел из тени: $2 за доступ в чужую жизнь
Пока одни закрываются, другие занимают их место — после ликвидации Genesis Market даркнет-рынок логов получил нового лидера. Russian Market, ранее остававшийся в тени, вышел на передовую: миллионы инфостилер-логов, 85% из которых перепроданы повторно, продаются здесь за пару долларов, и спрос только растёт.
За наполняемость площадки в ответе Lumma Stealer и его молодой конкурент Acreed. Первый — долгое время был почти монополистом, но попал под масштабную зачистку: тысячи доменов заблокированы, инфраструктура в руинах. Второй — подхватил знамя, заражая системы через фишинг и фальшивые обновления, и уже на старте генерирует тысячи логов в неделю.
Опасность в том, что 61% логов дают доступ к корпоративным облакам, а 77% — к учёткам с обходом 2FA. Когда доступ к таким данным стоит $2, цена ошибки становится неприлично низкой.
#инфостилеры #RussianMarket #логитрафик
@SecLabNews
Пока одни закрываются, другие занимают их место — после ликвидации Genesis Market даркнет-рынок логов получил нового лидера. Russian Market, ранее остававшийся в тени, вышел на передовую: миллионы инфостилер-логов, 85% из которых перепроданы повторно, продаются здесь за пару долларов, и спрос только растёт.
За наполняемость площадки в ответе Lumma Stealer и его молодой конкурент Acreed. Первый — долгое время был почти монополистом, но попал под масштабную зачистку: тысячи доменов заблокированы, инфраструктура в руинах. Второй — подхватил знамя, заражая системы через фишинг и фальшивые обновления, и уже на старте генерирует тысячи логов в неделю.
Опасность в том, что 61% логов дают доступ к корпоративным облакам, а 77% — к учёткам с обходом 2FA. Когда доступ к таким данным стоит $2, цена ошибки становится неприлично низкой.
#инфостилеры #RussianMarket #логитрафик
@SecLabNews
SecurityLab.ru
$2 — и системы компании в твоих руках. Russian Market входит в игру
Почему лог за $2 может разрушить целую корпорацию?
Устали от ручного мониторинга филиалов и перегруженного SOC?
PT NAD 12.3 обновит вашу кибербезопасность.
Совсем скоро, 5 июня, на онлайн-презентации мы покажем:
Хотите упростить работу SOC?
Регистрируйтесь!
Please open Telegram to view this post
VIEW IN TELEGRAM
На ЦИПР-2025 премьер-министр Мишустин подчеркнул: государственные закупки должны делать ставку на те IT-решения, которые разработаны с нуля и не зависят от зарубежных компонентов — даже если они находятся в открытом доступе. Такие «нативные» продукты теперь будут маркироваться отдельно в реестре российского ПО.
Речь идёт не об исключении «смешанных» решений, а о выделении по происхождению: если продукт не тянет хвост импортных зависимостей — он должен идти первым в очередь на тендер. Подчёркивается независимость от любого международного кода, включая open source.
Также правительство намерено создавать условия для перехода операторов персональных данных на российские решения и поощрять использование отечественных аналогов облачных сервисов в крупном бизнесе. Ставка — на самостоятельность, а не адаптацию чужого.
#импортозамещение #госзакупки #отечественноепо
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Где родился, там и пригодился: с примесями импорта шансов на тендер всё меньше
Бизнесу придётся выбирать “своих”.
Forwarded from Изобретая будущее
Безопасность квантовой криптографии часто воспринимается как нечто безусловное — её якобы гарантируют сами законы физики. Но новое исследование Александра Миллера показывает: даже самые совершенные теории могут споткнуться о реальность. В центре внимания — китайский спутник Micius, долго считавшийся эталоном защищённой связи.
Оказалось, что лазеры Micius генерируют фотоны с микроскопическими задержками в сотни пикосекунд. Эти временные сдвиги, незаметные для электроники, позволяют отличить реальные сигналы от «приманок» в 98,7% случаев. А значит, можно обойти ключевой механизм защиты — не ломая криптографию, а слушая, как щёлкает замок.
Это не конец квантовой связи, но тревожный звоночек: инженерная точность важна не меньше теории. Вопрос в стандартах: пока физика не подвела, подвело железо. И теперь от сообщества зависит, останется ли QKD игрушкой физиков или станет реально защищённой связью будущего.
@SciTechQuantumAI
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Спутник Micius обещал Китаю абсолютную защиту. Но перепутал время и выдал все секреты врагам
Запинки на 300 пикосекунд хватило, чтобы разрушить квантовую мечту.
Номер телефона давно превратился из средства связи в универсальный ключ к личности. Мошенники научились использовать их в схемах социальной инженерии, подмене личности и финансовом мошенничестве. WhatsApp годами игнорировал эту проблему, заставляя пользователей светить номерами направо и налево.
Теперь мессенджер внедряет систему никнеймов — уникальных хэндлов, которые можно использовать вместо номера. Жёсткие правила не позволят маскироваться под домены или клонировать чужое имя. Ник всегда один на всех и сопровождается уведомлением при смене — защита от подмен встроена изначально.
Это не революция, а исправление базового пробела. Meta* фактически признаёт: номер телефона — больше не надёжный идентификатор. Приватность в WhatsApp становится чуть ближе к Telegram и Signal, но по-прежнему требует осторожности со стороны пользователя.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
#WhatsApp #приватность #мошенничество
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Только через 15 лет WhatsApp додумался до того, что есть в Telegram
Пользователи умоляли, Meta тянула время… И вот наконец это произошло.
Знания - лучшая защита в цифровом мире!
Киберугрозы становятся более изощренными, а атаки - масштабными. Как оставаться в безопасности? Постоянно учиться и быть на шаг впереди!
Secure-T представляет свою инновационную платформу для обучения кибербезопасности. Здесь вы найдёте курсы, которые помогут вам расти и оставаться на шаг впереди любых угроз!
Компания Secure-T в своей работе руководствуется принципами прозрачности и открытости. Поэтому они решили не скрывать свою ключевую разработку, а показать её вам в новом видео! Специально для вас СЕО Secure-T Никишкин Харитон лично рассказывает о возможностях платформы и её уникальных функциях.
🔥Бонус для зрителей: возможность принять участие в розыгрыше фирменной куртки Secure-T! Условия в видео.
Присоединяйтесь к Secure-T и прокачайте свои знания в кибербезопасности!
#SecureT
#Кибербезопасность
Киберугрозы становятся более изощренными, а атаки - масштабными. Как оставаться в безопасности? Постоянно учиться и быть на шаг впереди!
Secure-T представляет свою инновационную платформу для обучения кибербезопасности. Здесь вы найдёте курсы, которые помогут вам расти и оставаться на шаг впереди любых угроз!
Компания Secure-T в своей работе руководствуется принципами прозрачности и открытости. Поэтому они решили не скрывать свою ключевую разработку, а показать её вам в новом видео! Специально для вас СЕО Secure-T Никишкин Харитон лично рассказывает о возможностях платформы и её уникальных функциях.
🔥Бонус для зрителей: возможность принять участие в розыгрыше фирменной куртки Secure-T! Условия в видео.
Присоединяйтесь к Secure-T и прокачайте свои знания в кибербезопасности!
#SecureT
#Кибербезопасность
Свобода слова — не про этот смартфон. Тайно вывезенное устройство показало: каждый экран тут — как окно в допросную. Интерфейс — как у Huawei, но с духом Пхеньяна. Приветствие — флаг партии, функции — строго по инструкции ЦК.
Автозамена «оппа» на «товарищ», подмена Южной Кореи на «марионеток», встроенное предупреждение за «не те» слова — всё это не сбои, а запрограммированная идеология. Скриншот каждые 5 минут, сохранённый в тайную папку, недоступную пользователю — уже не просто контроль, а цифровая слежка с партийным лицом.
Даже в офлайн-режиме система держит пользователя на коротком поводке. Здесь каждое нажатие клавиши — повод для отчёта, а любое отклонение от линии — личное дело в досье.
#КНДР #цензура #цифровоепорабощение
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
В КНДР смартфон не твой, а партийный: фиксирует всё, хранит втайне, доложит по команде
Партия говорит: «Скрин раз в 5 минут». Телефон послушно выполняет.
Российский мессенджер от VK — это не просто альтернатива WhatsApp. Это попытка превратить повседневную переписку в канал государственно-правового взаимодействия. Цифровые документы, электронные подписи, «Госключ», школьные чаты, чат-ассистенты — всё завёрнуто в формат «удобного общения».
На выходе — сервис, который начинает как инфраструктура, а заканчивает как механизм контроля. Под предлогом цифровизации быта закладывается вертикаль: все данные — в одном месте, все действия — через один интерфейс, вся жизнь — в одном приложении. Это больше, чем цифровая трансформация — это цифровая централизация.
Когда всё — и паспорт, и учёба, и договор аренды — живёт в одном приложении, остаётся только надеяться, что оно не решит жить отдельно от вас. Удобство съедает выбор быстрее, чем кажется. Но не превращаем ли мы свою свободу в опцию, которую легко выключить в настройках?
#мессенджер #госуслуги #VK
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Мессенджер на госуровне: VK объединяет чаты, школы и юристов. Путин — за
VK превратил мессенджер в мини-госаппарат.
На ЦИПР-2025 управляющий партнёр Fplus Алексей Мельников предложил ввести правило: все ноутбуки, поступающие в розницу — от DNS до Ozon и Wildberries — должны иметь хотя бы одну российскую ОС. В списке — Astra Linux, Red OS и «Альт». Windows — можно, но не вместо, а в дополнение.
Шадаев идею поддержал, но с оговоркой: только ноутбуки. Смартфоны — под вопросом из-за рисков для импорта. Тем временем «Группа Астра» и «Ред софт» рапортуют о готовности к массовым поставкам, а Wildberries уже торгует устройствами на «Авроре».
Пока доля российских ОС в ритейле — 2–3%. Даже с принудительной установкой без экосистемы и нормальной поддержки пользователь, скорее всего, выберет знакомое. Протекционизм — инструмент, но без удобства и доверия он не взлетит.
#российскиеОС #ноутбуки #Минцифра
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Windows отдыхает: Минцифры хочет родную ОС в каждый ноут
Российская ОС будет ждать тебя ещё до первого включения.
SAST + cWAF: почему два инструмента делают бизнес устойчивым на «пятёрку» и как сделать это без больших затрат
Согласно отраслевым данным, связка SAST + cWAF позволяет снизить риск утечек данных до 70 %, минимизировать простои и сократить расходы на расследование инцидентов.
Статический анализ кода и облачная фильтрация трафика решают разные задачи, но в связке дают максимальный эффект. Один находит уязвимости до релиза, другой — блокирует атаки на проде. Это снижает риски утечек, сокращает время реагирования и упрощает отчётность для регуляторов.
Техническая реализация не требует капитальных затрат: инструменты доступны как сервис с готовой интеграцией в CI/CD, поддержкой современных языков и отчётами по отраслевым стандартам.
Написали для вас пошаговый план внедрения: от идеи до работающего «щитмеча». Читайте подробнее в нашей статье.
+ Приятный бонус от Linx Cloud: тестовый период — 30 дней. Дополнительно начисляется 10 000 ₽ на баланс для работы в продуктивной среде.
Записаться на консультацию
Согласно отраслевым данным, связка SAST + cWAF позволяет снизить риск утечек данных до 70 %, минимизировать простои и сократить расходы на расследование инцидентов.
Статический анализ кода и облачная фильтрация трафика решают разные задачи, но в связке дают максимальный эффект. Один находит уязвимости до релиза, другой — блокирует атаки на проде. Это снижает риски утечек, сокращает время реагирования и упрощает отчётность для регуляторов.
Техническая реализация не требует капитальных затрат: инструменты доступны как сервис с готовой интеграцией в CI/CD, поддержкой современных языков и отчётами по отраслевым стандартам.
Написали для вас пошаговый план внедрения: от идеи до работающего «щитмеча». Читайте подробнее в нашей статье.
+ Приятный бонус от Linx Cloud: тестовый период — 30 дней. Дополнительно начисляется 10 000 ₽ на баланс для работы в продуктивной среде.
Записаться на консультацию
Подать заявление о мошенничестве не вставая с дивана — звучит как цифровая утопия, но власти всерьёз рассматривают этот сценарий. Во «втором пакете» антифрод-мер обсуждается возможность обращения в полицию напрямую через портал «Госуслуги».
Технически реализация выглядит правдоподобно: платформа уже умеет валидацию личности, интеграцию с ведомствами и доставку юридически значимых сообщений. Но одно дело — форма на сайте, другое — бэк-офис МВД, который может захлебнуться в потоке жалоб.
Параллельно обсуждаются радикальные меры: блокировка звонков с иностранных SIM, уголовная ответственность за использование ИИ в преступлениях, жёсткий контроль за SIM-картами и картами. Если предложения пройдут согласование, стартуем с 1 марта 2026 года. Пока — в разработке.
#Госуслуги #Кибермошенничество #ИИ
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Сел, кликнул — и ты уже в полиции: «Госуслуги» учат жаловаться по-новому, но не факт, что услышат
Кнопка «накатать заяву» уже рядом.
Второй пакет антимошеннических мер фактически национализирует авторизацию: владельцы российских сайтов смогут принимать для входа только адреса в национальной доменной зоне.
Если инициативу примут, Gmail, Outlook и прочие зарубежные почтовые сервисы могут попасть под запрет при авторизации. Бизнесу придётся доработать формы, добавив обязательные поля для российских ящиков.
Последствия двойственны. Мошенникам с анонимными адресами станет сложнее, но миллионы пользователей вынуждены будут менять привычки и создавать дублирующие аккаунты. Цифровой суверенитет требует жертв.
#кибербезопасность #импортозамещение #цифровойсуверенитет
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Войди, если .ru: Gmail-у могут закрыть дверь в российский интернет
Власти обсуждают такой поворот.