В службе репликации корпорации-производителя сетевых хранилищ и решений для управления данными Synology обнаружена критическая уязвимость CVE-2024-10442, получившая максимальный рейтинг опасности 10.0 по шкале CVSS. Киберэксперт, инженер-аналитик компании «Газинформсервис» Екатерина Едемская, предупреждает: это представляет серьёзную угрозу безопасности.

«Хотя ошибка off-by-one может показаться незначительной, на практике такие баги часто ведут к выходу за границы памяти и дают злоумышленнику возможность удалённого выполнения произвольного кода. Учитывая, что уязвимость затрагивает сетевой компонент, её можно эксплуатировать без физического доступа к устройству, что значительно расширяет вектор атаки», — уточнила эксперт.

Особую обеспокоенность вызывает тот факт, что уязвимость затрагивает несколько популярных версий Synology DSM и Unified Controller, которые активно применяются как в домашних сетях, так и в корпоративной среде. Едемская отметила: «Такие устройства часто размещаются в периметре сети или даже доступны из интернета через функции удалённого доступа и облачные сервисы Synology, что делает их привлекательной целью для массовых атак. А поскольку служба репликации работает с повышенными привилегиями, успешная атака может привести к компрометации всей системы с возможностью дальнейшего распространения в сети».

Эксперт подчеркнула, что Synology уже выпустила патчи, которые необходимо установить немедленно, особенно если устройство обрабатывает конфиденциальные данные или участвует в работе важной инфраструктуры. До установки обновления рекомендуется отключить службу репликации или ограничить к ней доступ через брандмауэр, разрешив подключения только из доверенных источников.

«Эксплоиты для таких уязвимостей появляются очень быстро, а при появлении публичного PoC-кода атаки могут начаться практически мгновенно», — добавляет Едемская. — «Именно поэтому крайне важно внедрить процессы мониторинга и оперативного реагирования на инциденты. Здесь на помощь приходит SIEM-система, например Ankey SIEM NG от компании "Газинформсервис". Она автоматически собирает и анализирует события с разных компонентов инфраструктуры, выявляет подозрительные действия и моментально отправляет уведомления о потенциальных инцидентах. Кроме того, SIEM упрощает анализ событий и аудит, позволяя точно установить, когда и как была предпринята попытка атаки, что важно для устранения последствий и предотвращения повторных инцидентов».

Исследователи компании Sygnia обнаружили новый вектор атак на инфраструктуру VMware, позволяющий злоумышленникам развёртывать программы-вымогатели.

Злоумышленники используют уязвимости (CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226) для выхода из виртуальных машин (VM), обхода средств безопасности и масштабного развёртывания программ-вымогателей. Атака начинается с компрометации веб-сервера, после чего злоумышленники повышают привилегии и получают доступ к гипервизору VMware ESXi, что позволяет им распространять вымогательское ПО по всей сети.

Киберэксперт, инженер L2 GSOC компании «Газинформсервис» Андрей Жданухин, объяснил, как компаниям действовать в подобных случаях:

«В таких ситуациях центр мониторинга и реагирования на инциденты информационной безопасности компании "Газинформсервис" (GSOC) играет ключевую роль. Специалисты GSOC обеспечивают постоянный мониторинг и анализ событий безопасности, оперативно выявляя подозрительную активность, связанную с эксплуатацией уязвимостей VMware. Кроме того, GSOC проводит регулярные оценки безопасности и тестирование на проникновение, что позволяет выявлять и устранять потенциальные уязвимости до того, как они будут использованы злоумышленниками. Таким образом, сотрудничество с GSOC помогает организациям своевременно обнаруживать и предотвращать сложные атаки, защищая критически важные системы и данные от компрометации».

Критическая уязвимость в популярном инструменте автоматизации GitHub Actions поставила под угрозу тысячи проектов. Злоумышленники, скомпрометировав действие reviewdog/action-setup через внедрение вредоносного кода в зависимость tj-actions/changed-files, получили доступ к конфиденциальной информации множества репозиториев. Это яркий пример опасности каскадных атак на цепочку поставок.

«В первую очередь, от подобных атак страдают DevOps-инженеры», — комментирует Михаил Спицын, эксперт по кибербезопасности компании «Газинформсервис». — «Если скомпрометирован Github Actions, что собирается через CI/CD-платформу, он оказывается под угрозой. Всё указывает на критическую уязвимость в цепочке поставок и подчёркивает необходимость более строгого управления зависимостями и секретами».

Спицын объясняет: внедрившись в один-единственный проект (reviewdog/action-setup), начиная с действия tj-actions/changed-files, злоумышленник использует уязвимость в цепочке поставок и, как следствие, получает доступ к тысячам других репозиториев и их конфиденциальной информации.

«Подобные атаки будут повторяться, если не усилить процесс аудита кода, не ужесточить контроль над токенами и не внедрить практики безопасности. На защиту бизнеса в таком случае приходит SafeERP, анализатор кода в котором имеет интеграцию с GIT, выгрузку и возможность встроиться в CI / CD. Помимо проверки зависимостей, минимизации привилегий, проверок исходного кода как превентивных мер, необходимо организовать меры митигации. Использование системы мониторинга логов, такой как Ankey SIEM NG, позволит проверять инфраструктуру на предмет подозрительных действий, таких как выполнение неизвестных команд или передача данных», — предупреждает эксперт.

Транснациональная компания Canon оказалась под прицелом хакеров. Злоумышленники утверждают, что получили root-доступ к брандмауэру компании и теперь предлагают этот доступ на продажу. Потенциальным покупателям обещают полный контроль над сетевым трафиком и механизмами фильтрации.

«Root-доступ к брандмауэру — это катастрофа для любой компании», — предупреждает Михаил Спицын, эксперт по кибербезопасности компании «Газинформсервис». — «Это открывает злоумышленнику контроль над всем сетевым трафиком и механизмами фильтрации. Получив такой уровень доступа, злоумышленник может нарушить работу средств защиты, перемещаться по внутренней сети, постепенно атакуя другие сегменты инфраструктуры. В конечном счёте весь операционный контур Canon может оказаться под ударом. Это огромный репутационный ущерб и угроза остановки бизнес-процессов», — поясняет Спицын.

Чтобы не допустить подобных инцидентов, эксперт рекомендует компаниям принять ряд превентивных мер. В первую очередь, это жёсткая парольная политика, особенно для доступа к критически важным системам, таким как шлюзы и файрволы. Также крайне важны регулярные обновления ПО и прошивка сетевых устройств, а также внедрение многофакторной аутентификации везде, где это возможно.

«В случае, если организация под ударом, следует немедленно сменить пароль. При малейшем подозрении менять пароли, токены, перевыпускать скомпрометированные ключи. Важнейшей мерой будет реализация централизованного мониторинга для отслеживания потенциально вредоносной нелегитимной активности. GSOC — корпоративный центр мониторинга, который обеспечивает непрерывный контроль состояний корпоративной сети и, благодаря платформе расширенной аналитики с встроенными поведенческими модулями, локализирует аномальную активность и оперативно реагирует на неё. Раннее выявление признаков взлома, таких как попытки эскалации привилегий, подозрительный трафик и другие аномалии, указывающих на компрометацию, увеличивает шансы минимизации последствий кибератаки и уменьшает возможное время простоя киберактивов», — отметил киберэксперт.

Решение компании «Газинформсервис» — СУБД Jatoba — выбрано в качестве системы управления базами данных в совместном проекте отечественного разработчика «ИТ-Контур» и Санкт-Петербургского научно-исследовательского института уха, горла, носа и речи Минздрава РФ в рамках разработки информационной системы «Эскулап КИ».

Проект направлен на практическое внедрение нейронных сетей для тонкой настройки кохлеарных имплантов — медицинских приборов, воздействующих на слуховой нерв и позволяющих компенсировать потерю слуха.

Ежегодно тысячи людей, в том числе дети, сталкиваются с потерей слуха. По статистике каждый тысячный ребёнок в РФ рождается глухим, ещё двое-трое теряют слух в первые годы жизни. Потеря слуха зачастую сопровождает контузии, полученные ветеранами СВО. Установка кохлеарных имплантов — один из эффективных методов решения этой проблемы. Ручная настройка таких имплантов — сложный и длительный процесс, требующий высокой квалификации специалистов.

Компанией «ИТ-Контур» на основе данных, предоставленных Институтом, разработано специализированное ПО «Эскулап КИ», предназначенное для экспертной настройки кохлеарных имплантов с помощью нейросетевых технологий. Проект «Эскулап КИ» — это прорыв в области медицинских технологий, использующий искусственный интеллект для автоматизации наиболее трудоёмких этапов этой процедуры, значительно повышающий её точность и доступность. Нейросеть позволяет существенно увеличить скорость и качество работы врача-специалиста. Это особенно актуально, если учитывать растущую потребность в эффективных методах реабилитации детей и взрослых с нарушениями слуха.

За инновационной технологией настройки стоит не менее важная задача — надёжное и безопасное хранение больших объёмов медицинских данных. Именно здесь на первый план выходит разработанная компанией «Газинформсервис» система управления базами данных Jatoba, которая будет использоваться для долговременного хранения важнейших данных: информации о пациентах, данных обследований пациентов, информации о расчётах, осуществлённых на основе обследований. Информация при этом хранится в анонимизированном виде, а файлы — в файловом хранилище. Jatoba защищена от сбоев и потерь данных, что критически важно для медицинского применения.

«Партнёрство с "ИТ-Контур" и использование СУБД Jatoba в целевой архитектуре информационной системы "Эскулап КИ" — это важный шаг на пути к долгосрочному сотрудничеству между нашими компаниями в работе над социально значимыми проектами в сфере медицины и здравоохранения», — отметил Алексей Белей, директор по продажам СУБД Jatoba ООО «Газинформсервис».

«Выбирая подходящую систему хранения данных в ходе разработки "Эскулапа", мы остановились на СУБД Jatoba», — поделился Павел Масалов, системный архитектор компании «ИТ-Контур». — «В процессе обучения нейронной сети требуется обрабатывать значительные объёмы данных с минимальными задержками; СУБД Jatoba нам это обеспечила. Это позволило нашим специалистам работать с НС фактически в реальном времени. Ещё важен момент с масштабируемостью Jatoba: это позволит Институту без проблем расширять базу данных пациентов, прошедших кохлеарную имплантацию».

«Помимо чисто медицинских и технических аспектов, для нас особо важное значение имеет анонимность и сохранность данных наших пациентов. В этом плане Jatoba подошла для проекта как нельзя лучше», — подчеркнул заведующий лабораторией электрофизиологии и искусственного интеллекта, к. м. н, доцент ФГБУ «СПб НИИ уха, горла, носа, и речи» Минздрава России Сергей Левин.

Эксперты по кибербезопасности из компании Pillar Security обнаружили новую угрозу в цепочке поставок программного обеспечения — атаку под названием Rules File Backdoor.

Атака затрагивает ИИ-инструменты для написания кода, такие как GitHub Copilot и Cursor, заставляя их генерировать вредоносные фрагменты программ.

За основу были взяты скрытые инструкции, внедряемые в конфигурационные файлы, которые используются этими инструментами для определения стандартов кодирования. Вредоносные команды внедряются с помощью невидимых символов Unicode и сложных методов обхода проверки безопасности, что позволяет злоумышленникам манипулировать ИИ и заставлять его включать уязвимости в генерируемый код.

Основная опасность атаки заключается в том, что заражённый код может распространяться незаметно, затрагивая сразу несколько проектов. Внедрение вредоносных правил в файлы конфигурации приводит к тому, что все последующие запросы на генерацию кода получают уязвимые фрагменты, которые могут остаться незамеченными при проверке.

«Современные угрозы информационной безопасности, такие как атака Rules File Backdoor, подчёркивают важность применения инструментов безопасной разработки, а именно статического и динамического анализа кода. Эти методы становятся критическими для выявления и предотвращения скрытых уязвимостей, которые могут быть внедрены с использованием невидимых символов Unicode и других сложных техник обхода проверок безопасности. Статический анализ помогает обнаружить подозрительные конструкции и скрытые команды в исходном коде и конфигурационных файлах, тогда как динамический анализ отслеживает поведение программы во время её выполнения, выявляя аномальную активность. Совмещённое использование этих подходов формирует надёжную стратегию защиты, способствующую повышению общей устойчивости программного обеспечения и снижению рисков для конечных пользователей», — говорит эксперт и менеджер по продукту SafeERP компании «Газинформсервис» Римма Кулешова.

Российские компании «Газинформсервис» и «БАРС Груп» успешно завершили тестирование, которое подтвердило полную совместимость системы управления базами данных Jatoba (версия 6.4.1) и системы управления доступом BarsUp.Access Manager (версия 1.2.35). Это решение особенно актуально для государственных учреждений, финансовых организаций и предприятий, работающих с конфиденциальной информацией.

По результатам проведённого тестирования подтверждена техническая совместимость СУБД Jatoba компании «Газинформсервис» c программным обеспечением BarsUp.Access Manager российского эксперта и разработчика цифровых решений для государства, бизнеса и человека, компании «БАРС Груп».

Интеграция Jatoba и BarsUp.Access Manager отвечает самым строгим требованиям информационной безопасности, позволяя компаниям и организациям минимизировать риски утечки данных и обеспечить непрерывность работы критически важных систем.

BarsUP.AM — это ПО, относящееся к классу систем средств защиты информации и реализующее технологию единой точки доступа к информационным системам, управления доступом и идентификаторами, аутентификации и регистрации событий безопасности.  Вместе с высокопроизводительной и защищённой СУБД Jatoba, сертифицированной ФСТЭК России в соответствии с приказом №64 от 14.04.2023, они создают мощный щит против киберугроз.

«Это первый шаг на пути к сотрудничеству наших компаний, который направлен на то, чтобы повысить защищённость данных средствами СУБД Jatoba. В свою очередь, эти данные хранятся в прикладных системах, разработчиком которых выступает "БАРС Груп"», — комментирует Алексей Белей, директор по продажам СУБД Jatoba.

«Интеграция решений СУБД Jatoba и системы защиты информации BarsUp.Access Manager — важный этап в развитии наших продуктов. Это сотрудничество направлено на обеспечение надёжности и безопасности информационных систем, предоставляя нашим клиентам современные отечественные решения, соответствующие самым высоким стандартам. Мы гордимся возможностью объединить наши усилия для создания эффективных инструментов, которые отвечают вызовам цифровой экономики», — поделился Анатолий Младшев, заместитель генерального директора АО «БАРС Груп».

 Анатолий Младшев также отметил, что совместная работа над интеграцией позволяет предложить рынку комплексные решения, обеспечивающие безопасность и надежность информационных систем. Данная инициатива является частью стратегии компании по поддержке отечественных технологий и укреплению позиций российских разработчиков на рынке ИТ-решений.

Неисправленная уязвимость в Microsoft Windows активно используется десятком хакерских группировок. Киберэксперт компании «Газинформсервис» рассказал, как защититься от угрозы.

Уязвимость используется хакерами для кибершпионажа, кражи данных и финансово мотивированных атак.

Эксперты говорят, что проблема связана с обработкой файлов Windows Shortcut (.LNK) и позволяет злоумышленникам скрыто выполнять вредоносные команды на целевой машине. Основной метод обхода защиты — использование скрытых аргументов командной строки с символами Line Feed (\x0A) и Carriage Return (\x0D).

Атаки направлены против правительств, финансовых организаций, телекоммуникационных компаний, аналитических центров и военных структур в России, США, Канаде, Южной Корее, Вьетнаме и Бразилии.

Несмотря на высокие риски, Microsoft оценивает уязвимость как низкую по степени критичности и не планирует выпуск исправления. Эксперты предупреждают, что отсутствие патча оставляет организации уязвимыми перед атаками, скрывающими критически важную информацию от пользователей.

«Опасность ситуации усугубляется тем, что Microsoft формально признала проблему, но не планирует выпускать обновление. Фактически компания "легализует" уязвимость, оставляя миллионы устройств и организаций без защитного патча. В результате уязвимость может затронуть любой сегмент бизнеса из-за потенциальной опасности выполнения вредоносного кода. Рекомендуется настроить фильтрацию вложений на расширение .lnk, уведомить персонал и организовать защиту в разных плоскостях инфраструктуры. В данном случае логично использовать решение класса RBI, такое как Ankey RBI, чтобы упредить случаи загрузки потенциально опасных файлов через сеть Интернет. В случае, если вредонос оказался в корпоративной среде, решение класса SIEM может заметить непривычные массовые запуски .LNK-файлов. Ankey SIEM NG не предотвратит саму эксплуатацию, но ускорит обнаружение вторжения и реагирование на него, что крайне важно для минимизации ущерба», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

В PHP-фундаменте множества онлайн-ресурсов обнаружен ряд критических уязвимостей, ставящих под угрозу миллионы веб-сайтов, включая бизнес-приложения, интернет-магазины и платёжные системы. Киберэксперт компании «Газинформсервис» Михаил Спицын предупреждает: это открывает возможности для различных атак, от отказа в обслуживании (DoS) до кражи конфиденциальных данных.

«Бесспорно, что PHP — популярный серверный язык, и он лёг в основу миллионов веб-приложений. Зачастую PHP является ключевой технологической основой многих критически важных бизнес-приложений, CRM, CMS, ERP-модулей. Недавно был обнаружен ряд уязвимостей, которые затрагивают глобальное сообщество разработчиков и корпораций. Помимо веб-приложений, следует сделать акцент на том, что под удар попадают онлайн-магазины и платёжные шлюзы, инструменты CI/CD, которые зависят от PHP-библиотек», — поясняет эксперт.

Михаил Спицын отмечает, что среди недавних уязвимостей обнаружены проблемы с механизмом перенаправлений, некорректная обработка заголовков, неверная интерпретация переносов строк. В совокупности эти проблемы могут привести к ряду серьёзных последствий: неправильная маршрутизация HTTP-запросов, DoS-атаки или сбои, приводящие к недоступности веб-приложений. Эти последствия — гарантия репутационного ущерба, а с мая ещё и прямое попадание под ужесточенную политику штрафования.

«Среди важнейших мер митигации: аудит конфигураций, контроль процесса Patch-management, то есть своевременные обновления. Организациям следует наладить защиту на разных плоскостях инфраструктуры, например: развернуть межсетевой экран для Web-приложений (WAF) для фильтрации потенциально опасных запросов; а также организовать процесс логирования и мониторинга; в этом поможет централизованная система анализа SIEM. Ankey Siem NG богат на изобилие коннекторов, в чём его большое преимущество. С помощью такого инструмента можно настроить уведомления о подозрительной активности. Соблюдение таких мер безопасности и использование комплекса средств защиты информации — необходимость для стабильной работы без финансовых потерь», — добавил киберэксперт.

В Apache Tomcat обнаружена критическая уязвимость (CVE-2025-24813), позволяющая злоумышленникам получить полный и незащищённый контроль над серверами. Екатерина Едемская, инженер-аналитик компании «Газинформсервис», предупреждает о серьёзности проблемы: злоумышленники могут удалённо выполнять произвольный код без аутентификации.

«Используя специально сформированные запросы, атакующие могут захватить полный контроль над системой, внедрить вредоносное ПО, похищать конфиденциальные данные или использовать скомпрометированный сервер как точку входа для дальнейших атак на инфраструктуру», — объясняет Едемская. Публикация эксплойта (PoC) значительно упрощает эксплуатацию уязвимости даже для неопытных хакеров.

Киберэксперт добавляет, что, если атакующий может передавать специально сформированные запросы и заставлять сервер выполнять произвольный код, это указывает на недостаточную изоляцию исполняемого окружения или пробелы в механизме обработки HTTP-запросов. Такие уязвимости особенно опасны в средах, где Tomcat используется для работы важных бизнес-приложений, так как успешная атака может привести не только к утечке данных, но и к полному отказу в обслуживании, нанося значительный ущерб организации.

Обновление Apache Tomcat до последней версии — необходимый, но недостаточный шаг. Едемская подчёркивает: «Во-первых, даже после исправлений могут оставаться необнаруженные уязвимости, которые будут выявлены и использованы злоумышленниками в будущем. Во-вторых, риски могут скрываться не только в самом Tomcat, но и в зависимых компонентах, таких как библиотеки, плагины и конфигурационные файлы. Поэтому важно дополнять обновления другими мерами защиты, такими как мониторинг активности и жёсткие политики доступа».

Использование SIEM-систем, таких как Ankey SIEM NG, играет ключевую роль в обнаружении попыток эксплуатации уязвимости. «Благодаря агрегированию и корреляции данных из различных источников SIEM выявляет подозрительное поведение, например резкое увеличение количества нестандартных HTTP-запросов, попытки удалённого выполнения команд или несанкционированные изменения конфигурации сервера. На основе этого анализа система автоматически генерирует оповещения для службы безопасности, что позволяет оперативно реагировать на возможные угрозы», — подытожила Екатерина Едемская.

В популярном маршрутизаторе TP-Link TL-WR845N обнаружена критическая уязвимость CVE-2024-57040. По словам эксперта, инженера-аналитика компании «Газинформсервис» Екатерины Едемской, через эту брешь в кибербезопасности злоумышленники могут легко получить полный контроль над устройством.

«Главная проблема заключается в наличии жёстко заданных учётных данных root в прошивке, что позволяет атакующим восстановить их и использовать для получения несанкционированного доступа. Оценка критичности CVSS 9.8 подчёркивает, что эксплуатация этой уязвимости требует минимальных усилий, а отсутствие патча от производителя делает ситуацию ещё более опасной. Если злоумышленник получит доступ к маршрутизатору, он сможет внедрить бэкдоры, изменить конфигурацию устройства и перехватывать интернет-трафик», — отметила инженер-аналитик.

Едемская предупреждает, что проблема усугубляется тем, что хэшированные root-пароли хранятся в прошивке в общедоступных файлах, а алгоритм MD5, используемый для их хэширования, считается небезопасным. Отсутствие надёжных механизмов защиты в прошивке делает этот маршрутизатор крайне уязвимым, особенно если он используется в сети с открытыми портами или доступом из интернета. Атакующий, получив контроль над маршрутизатором, может использовать его как точку входа для атак на другие устройства в сети, угрожая безопасности всей инфраструктуры.

«До выхода официального исправления пользователям следует принять несколько мер для защиты сети. В первую очередь, необходимо сменить стандартные учётные данные администратора на сложные уникальные пароли, а также отключить удалённый доступ к устройству, включая SSH и Telnet. При наличии такой возможности стоит изолировать устройство от критически важных сегментов сети, чтобы минимизировать последствия компрометации. Если TP-Link не выпустит исправление, пользователям следует рассмотреть возможность замены устройства на более защищённую модель», — добавила Едемская.

Киберэксперт подчеркнула, что в подобных ситуациях эффективную защиту может обеспечить коммерческий SOC-центр, например GSOC, который предлагает услуги по кибербезопасности на аутсорсе и занимается мониторингом сети, предотвращением атак и реагированием на инциденты: «Специалисты GSOC отслеживают сетевой трафик и анализируют логи с помощью определённого набора инструментов, выявляя подозрительные подключения и другие признаки компрометации. Такой проактивный подход позволяет обнаруживать атаки на ранней стадии и оперативно принимать меры для их нейтрализации».

Группировка Black Basta использует новый инструмент для взлома сетевых устройств — BRUTED. Фреймворк автоматизирует брутфорс-атаки устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями.

BRUTED осуществляет поиск уязвимых устройств в интернете, анализируя публичные домены и IP-адреса, а затем отправляет найденные цели на C2-сервер. Затем система использует пароли из удалённых баз в сочетании с локально сгенерированными вариантами для многопоточных атак на авторизацию.

Новый инструмент ориентирован на подбор учётных данных к таким сервисам, как SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb и WatchGuard SSL VPN.

Фреймворк также анализирует SSL-сертификаты целевых устройств, извлекая из них имена доменов и другие данные, которые могут использоваться для создания дополнительных вариантов паролей. Чтобы скрыть свою инфраструктуру, Black Basta применяет сеть прокси-серверов с маскировкой имён доменов.

«Хотя методы инструмента Bruted — перебор грубой силой — стары как мир, но фактически Black Basta поставили процесс подбора паролей на конвейер, а это масштабирование атак и сокращение временных затрат на компрометацию. Помимо многопоточной брутфорс-атаки, фреймворк Bruted включает функционал массового сканирования IP-адресов, анализирует данные SSL, доменные имена. Такой низкий порог входа для злоумышленников предотвратить не так уж и просто, а взлом VPN — это endgame для корпоративной сети, так как злоумышленник сможет расширять своё присутствие, распространять вымогателей и похищать данные. Помимо сложной парольной политики, и в частности уникальных паролей для VPN, МЭ, RDP-шлюзов, обеспечение регулярного аудита, использование MFA, в корпоративной сети следует развернуть систему расширенной аналитики с поведенческими модулями. ПК Ankey ASAP идентифицирует процесс многопоточной попытки подбора пароля как аномалию и незамедлительно информирует оператора о потенциальной вредоносной активности», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

Новая атака на цепочку поставок затронула более 100 автосалонов в США, подвергая их клиентов риску заражения вредоносным ПО. Киберэксперт Ирина Дмитриева рассказала, как обеспечить защиту бизнес-клиентов российских организаций в условиях распространения вредоносных закладок на веб-ресурсах.

Злоумышленники воспользовались уязвимостью в стороннем видеосервисе, используемом дилерами, внедрив вредоносный код, который перенаправлял пользователей на поддельные страницы. На этих страницах посетители подвергались манипуляции пользовательским вниманием, которая влечёт за собой установку удалённого трояна. Хакеры всё чаще используют доверенные сервисы в своих атаках на пользователей. Первоначальный взлом не затронул сами сайты автосалонов, а произошёл через сторонний сервис потокового видео. Пользователи, заходившие на сайты автодилеров, автоматически загружали вредоносный JavaScript, который затем перенаправлял их на фишинговые страницы.

Далее вредоносный скрипт отображает поддельную страницу CAPTCHA, предлагая пользователю подтвердить, что он не робот. После клика по чекбоксу посетителей обманом заставляли выполнить действия, запускающие установку вредоносного ПО. После выполнения PowerShell-кода на компьютер жертвы скачивался ZIP-архив (Lancaster.zip), содержащий троян SectopRAT. Это вредоносный инструмент, позволяющий злоумышленникам получать удалённый доступ к заражённым устройствам и похищать с них конфиденциальные данные.

«Атака на цепочку поставок — наиболее непредсказуемый и сложно контролируемый вектор проведения атаки. В условиях партнёрства с немыслимо огромным количеством организаций, а также использования продуктов, основанных на открытом исходном коде, обеспечить защиту веб-проектов становится значительно сложнее. Необходимо проводить обучение сотрудников и повышать уровень осведомлённости пользователей о подобных килчейнах злоумышленников, поскольку запуск скриптов на Windows-устройствах чреват кражей как корпоративной, так и личной финансовой информации. На уровне защиты инфраструктуры компании важно анализировать веб-страницы собственной организации на наличие вредоносных элементов. С этой задачей справляется анализ уязвимостей (тестирование на проникновение), который предоставляет компания "Газинформсервис" как услугу», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

Злоумышленники активно эксплуатируют критическую уязвимость нулевого дня (CVE-2025-24201) в продуктах Google, Apple и Microsoft. Три технологических гиганта выпустили срочные обновления, но, по словам Екатерины Едемской, инженера-аналитика компании «Газинформсервис», CVE-2025-24201 всё ещё представляет серьёзную угрозу. Из-за особенностей реализации — записи за пределы выделенной памяти в графическом процессоре — уязвимость открывает возможность для выполнения произвольного кода.

«Это типичный случай уязвимости, затрагивающей ключевые компоненты веб-браузеров: движок Chromium (Google Chrome и Microsoft Edge) и WebKit (продукты Apple)», — объясняет Едемская. — «Активная эксплуатация CVE-2025-24201, как сообщает Apple, может быть связана с попытками злоумышленников усовершенствовать ранее известные атаки, обходя исправления, такие как те, что были введены в iOS 17.2. Атакующие используют специально созданный веб-контент для выхода за пределы песочницы, что потенциально позволяет им захватить контроль над системой пользователя, обойдя встроенные механизмы защиты браузеров».

Инженер-аналитик добавляет, что реакция компаний в виде выпуска срочных обновлений — своевременное и обоснованное решение. Однако процесс автоматического распространения обновлений может занять несколько дней или даже недель, что создаёт временное окно уязвимости, особенно для пользователей, не выполняющих обновления вручную.

«Необходимо как можно быстрее обновить все затронутые системы и браузеры до последних версий, не дожидаясь автоматического развёртывания. Для организаций же важно не только установить обновления, но и провести тщательную проверку систем на наличие признаков подозрительной активности. Здесь, например, технология UEBA, реализованная в ПК Ankey ASAP от компании "Газинформсервис", может сыграть ключевую роль, помогая обнаруживать аномальное поведение, такое как неожиданные переходы по вредоносным ссылкам или подозрительные действия в браузере, даже если сигнатуры эксплойта ещё не известны. UEBA анализирует поведение пользователей и устройств, создавая базовые профили активности, и сигнализирует о любых отклонениях, что делает её эффективным инструментом против атак нулевого дня», — подытожила она.

В условиях постоянного роста киберугроз Российский морской регистр судоходства (РС) укрепил свою цифровую оборону.

Выбор пал на отечественную систему защиты информационных ресурсов «Блокхост-Сеть 4», разработанную компанией «Газинформсервис». Это решение обеспечивает надёжную защиту данных и бесперебойную работу критически важных сервисов, соответствуя строгим требованиям кибербезопасности в эпоху импортозамещения.

Обеспечение информационной безопасности является приоритетной задачей для любой организации, особенно в морской индустрии. «Блокхост-Сеть 4» — это современное мультиплатформенное средство, обеспечивающее комплексную защиту от различных типов угроз.

Её централизованное управление позволяет эффективно контролировать безопасность данных независимо от их географического расположения, упрощая администрирование и повышая оперативность реагирования на инциденты. Это позволяет минимизировать риски и гарантирует, что критически важные сервисы, на которых основана деятельность РС, будут работать непрерывно. Выбор отечественного решения также исключает зависимость от зарубежных поставщиков и позволяет РС сохранить контроль над своей информационной безопасностью.

«За последние несколько лет наш продукт благодаря опыту разработки под OC Windows, использованному при создании версии под Linux-платформы, стал лидером среди СЗИ в своём классе. Использование одновременно на рабочих станциях OC Windows и OC Linux позволило заказчику плавно перейти на отечественные платформы», — отметил менеджер продукта «Блокхост-Сеть 4» Константин Хитрово.

«Регистр уже несколько лет использует СЗИ "Блокхост-Сеть". Выбор для нас был очевиден. Самое важное для нашей работы — комплексная защита информации. Это СЗИ прекрасно справляется с такими задачами, как: защита от несанкционированного доступа на этапе загрузки операционной системы и в процессе её функционирования; противодействие краже конфиденциальной информации; управление жизненным циклом средств двухфакторной аутентификации; выполнение требований приказов ФСТЭК России», — отметил Вячеслав Трушин, руководитель проектов ПД ИТР и ТЗИ Регистра.

Обнаружена критическая уязвимость (CVE-2024-56336) в устройствах Siemens SINAMICS S200. По мнению эксперта, инженера-аналитика компании «Газинформсервис» Екатерины Едемской, рейтинг CVSS 9.8 подчеркивает критичность проблемы: злоумышленник, получив доступ к устройству, может внедрить вредоносную прошивку. Это потенциально приведет к полной компрометации оборудования или даже нарушению работы всей производственной линии.

«Незащищенный загрузчик — это серьезный промах, поскольку именно этот компонент отвечает за проверку целостности и подлинности загружаемого кода. Без этой защиты атакующий может обойти любые встроенные меры защиты, такие как шифрование или верификация, и установить код, выполняющий произвольные действия. В промышленной среде, где устройства часто подключены к сетям с ограниченной сегментацией, такая уязвимость становится лазейкой для атак уровня APT», — отмечает киберэксперт.

Учитывая, что Siemens пока не предоставил обновление прошивки, ситуация усугубляется: пользователи остаются без прямого решения на уровне устройства. Едемская добавляет:

«Отсутствие патча вынуждает полагаться на компенсирующие меры, и здесь Siemens справедливо акцентирует внимание на многоуровневой защите. Однако общие рекомендации компании, вроде защиты сетевого доступа и настройки среды по их гайдлайнам, могут оказаться недостаточными в реальных условиях, где устройства нередко работают в устаревших или плохо сегментированных сетях. Злоумышленник, уже проникший в сеть, может легко добраться до уязвимого SINAMICS S200, если не внедрены строгие политики контроля доступа и мониторинга трафика. Таким образом, с текущим подходом Siemens перекладывает значительную часть ответственности на пользователей.

В таком случае системы IGA, такие как Ankey IDM от компании «Газинформсервис», могут значительно усилить защиту в этом сценарии за счет строгого контроля доступа к устройствам и связанным системам. IGA позволяет внедрить принцип минимальных привилегий, гарантируя, что только авторизованные пользователи с четко определенными ролями смогут взаимодействовать с SINAMICS S200, например, через интерфейсы управления или загрузку прошивки. Это снижает риск компрометации со стороны сотрудников с избыточными правами или злоумышленников, использующих украденные учетные данные. Кроме того, IGA обеспечивает аудит и мониторинг доступа, фиксируя все попытки взаимодействия с устройством и выявляя аномалии, такие как несанкционированные действия в нерабочее время. В сочетании с сетевой изоляцией и мониторингом (например, через SIEM), Ankey IDM создает дополнительный уровень защиты, снижая риски эксплуатации уязвимости до выпуска обновления от Siemens».

Недавно пользователи столкнулись с проблемой того, что USB-принтеры по непонятным причинам печатают случайный текст самостоятельно. Обновление Windows 11, выпущенное в конце января 2025 года, стало причиной этого сбоя. Накануне в Microsoft подтвердили проблему.

Эксперт, инженер-аналитик компании «Газинформсервис» Екатерина Едемская, предупреждает, что ошибка спонтанной печати в Windows 11 — это не просто досадный сбой, а потенциальная уязвимость, которая может быть использована в определённых сценариях. «Проблема связана с некорректной обработкой службой очереди печати сообщений протокола IPP, что приводит к несанкционированному запуску заданий на печать. Это особенно тревожно в корпоративных средах, где принтеры часто подключены к сети и могут обрабатывать конфиденциальные данные. Хотя Microsoft классифицирует это как баг, а не как уязвимость безопасности, случайный вывод данных может стать подсказкой для злоумышленников, анализирующих поведение системы».

Эксперт отмечает, что пользователям и администраторам важно понимать, что такие инциденты могут иметь последствия не только в виде испорченной бумаги, но и в потенциальной утечке данных, если на принтере окажутся фрагменты ранее обработанных документов. В корпоративных сетях это особенно критично, так как подключённые принтеры часто являются слабым звеном в цепочке безопасности. Microsoft оперативно отреагировала, применив KIR, однако полное устранение проблемы требует времени на распространение обновления. В корпоративных средах IT-администраторам следует не только внедрить предоставленные Microsoft политики, но и провести аудит логов печати за последние недели, чтобы исключить утечку данных.

«В таких ситуациях SIEM-системы, такие как Ankey SIEM NG от компании "Газинформсервис", становятся незаменимым инструментом для обеспечения безопасности. Они способны отслеживать аномальную активность в реальном времени, например регистрировать неожиданные запросы от службы spooler или подозрительные IPP-команды вроде ‘POST /ipp/print HTTP/1.12’, которые появляются в логах при этом баге. Благодаря сбору и корреляции данных с разных источников — от операционной системы до сетевых устройств — SIEM может оперативно уведомить администраторов о проблеме, позволяя изолировать затронутые принтеры до того, как ситуация усугубится. Для максимальной эффективности можно настроить в SIEM правила мониторинга, специфичные для печати: например, фиксировать любое задание, инициированное без явного действия пользователя, и установить порог аномалий: скажем, более трёх таких событий за минуту. Это не устранит баг напрямую, но даст возможность оперативно реагировать, минимизируя риски. В целом, случай с Windows 11 напоминает, что даже технические сбои требуют внимания со стороны специалистов по кибербезопасности, а SIEM — это ваш первый рубеж защиты в таких непредсказуемых ситуациях», — подчёркивает Едемская.

В сети зафиксирована активность нового опасного вируса-вымогателя DragonForce, способного шифровать файлы на заражённых системах и требовать выкуп в криптовалюте.

Вирус распространяется через фишинговые атаки, вредоносные веб-сайты и эксплуатацию уязвимостей, активно маскируясь под легитимные файлы.

После проникновения в систему вирус использует различные методы для закрепления: копирует себя в разные каталоги, модифицирует реестр Windows и создаёт запланированные задачи для автоматического запуска при перезагрузке. DragonForce также стремится скрыть своё присутствие, удаляя системные журналы и отключая антивирусные программы.

«Вымогатели-шифровальщики, такие как DragonForce, — сложное вирусное программное обеспечение. Сложность заключается в отслеживании момента начала вредоносной активности, в пути попадания в систему, так как они могут быть разными: из-за эволюции в механизмах, новых путей саморепликации. DragonForce скрывает своё присутствие, отключая антивирусные программы, поэтому для эффективной комплексной защиты необходимо подключать корпоративный Security Operations Center. Например, специалисты GSOC проводят мероприятия по информированию об актуальных угрозах, а в случае, если нелегитимное ПО оказалось внутри корпоративной сети, то с помощью инструментов поведенческой аналитики детектируют вредоносную активность и мгновенно разрывают цепочку атаки и заражения», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

Исследователи безопасности обнаружили серьёзные ошибки в коде клиентского программного обеспечения Zoom. Они включают переполнение буфера на основе переполнения хипа, неполную обработку буфера, ошибки использования указателей и неправильный порядок действий. Все они потенциально позволяют злоумышленникам выполнить произвольный код.

Эксперт компании «Газинформсервис» Михаил Спицын предупреждает, что эти критические уязвимости могут привести к утечкам данных. «Это серьёзные риски, и в отчёте Zoom каждая из уязвимостей получила высокую степень опасности, что подчёркивает необходимость быстрого обновления ПО», — сообщает киберэксперт.

Последние обновления безопасности, выпущенные 11 марта 2025 года, устраняют несколько критических проблем, которые могут повлиять на конфиденциальность и безопасность пользователей Zoom. С учетом серьёзности этих уязвимостей и возможных рисков, связанных с ними, пользователям рекомендуется как можно скорее обновить это ПО до последней версии.

Проактивные меры крайне важны для поддержания безопасности и конфиденциальности, напоминает Спицын:

«Без конкретных рекомендаций от Zoom пользователи должны полагаться на общие методы безопасности — это и использование 2FA, и контроль прав доступа для пользователей, и аудит по обнаружению уязвимостей и рисков. Для обеспечения комплексной безопасности необходимо организовать защиту, используя лучшие практики на всех плоскостях инфраструктуры.

Использование средств защиты информации для обнаружения атак — отличный способ организации защиты на уровне, когда злоумышленник вопреки всему нашёл обход, например используя дыры безопасности клиентского программного обеспечения, такие как в этом случае. Атаки по переполнению буфера, использование памяти после освобождения могут быть обнаружены системами, в которых присутствуют модули поведенческой аналитики, такие как платформа расширенной аналитики Ankey ASAP. Посредством машинного обучения платформа запоминает норму поведения в инфраструктуре и при отклонении, то есть при обнаружении аномальных действий, сразу же даёт операторам об этом знать».

Хакеры научились вторгаться в сети компаний без признаков вторжения. Одна из китайских кибергруппировок взломала устаревшие маршрутизаторы MX от Juniper Networks, используя скрытые бэкдоры. Как обезопасить корпоративную сеть, рассказала Ирина Дмитриева, эксперт компании «Газинформсервис».

Злоумышленники применяют активные и пассивные бэкдоры, отключают логирование и сохраняют доступы в сети жертв. Устройства на периметре сети, как правило, не покрываются средствами мониторинга, что и позволяет хакерам действовать незаметно.

Основная цель атак — отключение логирования перед подключением оператора и его восстановление после завершения работы. В дополнение к бэкдорам хакеры применяют руткиты Reptile и Medusa, утилиты PITHOOK (для кражи учётных данных SSH) и GHOSTTOWN (для удаления следов атак).

«Неконтролируемые сетевые устройства на границах корпоративной сети — наиболее уязвимая поверхность атаки. Обновление софта граничных маршрутизаторов, как правило, не является первоочередной задачей в процессе обслуживания сетевой инфраструктуры. Эта проблема связана с отсутствием налаженных процессов инвентаризации активов и устранения уязвимостей с учётом критичности угроз. Зачастую сетевые устройства "выпадают" с мониторинга или не включаются в мониторинг вовсе. Оценить состояние инфраструктуры позволит Efros Defence Operations, который позволит наладить процесс устранения уязвимостей, проинвентаризировать все сетевые активы и промоделировать многовекторные атаки как снаружи, так и изнутри периметра организации», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

Автомобильный гигант Jaguar Land Rover стал жертвой крупной кибератаки, ответственность за которую взял на себя хакер, известный под псевдонимом «Рей». Утечка, по предварительным данным, включает в себя исходный код компании и конфиденциальные данные сотрудников.

Эксперт, инженер-аналитик компании «Газинформсервис» Екатерина Едемская, отмечает, что это подчёркивает серьёзность угроз, связанных с компрометацией исходного кода и внутренних данных компании. Утечка исходного кода даёт злоумышленникам возможность изучить архитектуру программных продуктов и выявить потенциальные уязвимости, которые могут быть использованы для атак. «В случае подтверждения утечки организация столкнётся не только с угрозой утраты конкурентных преимуществ, но и с потенциальными репутационными и юридическими последствиями», — предупреждает Едемская.

Инженер-аналитик отмечает, что ключевыми шагами для предотвращения таких инцидентов являются регулярные аудиты безопасности, обновление политик и внедрение многофакторной аутентификации. Существенно повысить уровень безопасности помогут шифрование данных на уровнях хранения и передачи, а также внедрение средств мониторинга, таких как IDS/IPS и DLP-системы, чтобы предотвратить попытки несанкционированного распространения чувствительной информации за пределы корпоративной сети.

Тем не менее даже крупные компании с мощными системами защиты могут стать жертвами кибератак, если не используют все доступные средства безопасности. Этот инцидент демонстрирует необходимость реализации комплексных стратегий безопасности, включающих защиту от внешних угроз и мониторинг доступа внутри организации.

«Защита исходного кода, внутренних документов и персональных данных должна быть ориентирована на минимизацию рисков утечек через плохо защищённые каналы. Это можно достичь внедрением стратегии Zero Trust, при которой каждое подключение и операция в системе тщательно проверяются, независимо от того, находится ли источник внутри или за пределами корпоративной сети», — подчёркивает киберэксперт. — «Дополнительную защиту может обеспечить использование защищённых систем управления базами данных с встроенными механизмами контроля доступа и алгоритмами шифрования. Например, такие решения, как Jatoba от компании "Газинформсервис", позволяют минимизировать риски утечек, даже если злоумышленник получает доступ к базе данных. Технологии, использующиеся в СУБД, могут гарантировать, что атакующий не сможет расшифровать или использовать конфиденциальную информацию без соответствующих ключей и прав доступа».

Специалисты по кибербезопасности зафиксировали резкий рост числа вредоносных Go-пакетов, созданных в технике тайпсквоттинга. С их помощью злоумышленники обходят системы безопасности, маскируя вредоносный код под имена популярных библиотек, что делает их практически неотличимыми от легитимного программного обеспечения.

Эксперт, инженер-аналитик компании «Газинформсервис» Екатерина Едемская, предупреждает, что обнаружение вредоносных Go-пакетов, скрывающихся под именами популярных библиотек, подчёркивает опасность использования техники тайпсквоттинга в мире программирования: «Применение обфускации и повторяющихся имён файлов говорит о высоком уровне автоматизации атак, что позволяет злоумышленникам быстро адаптироваться к изменяющимся условиям. Такие пакеты могут незаметно проникать в среду разработки и инфицировать рабочие системы, что делает их серьёзной угрозой для компаний, работающих с критически важными данными», — отмечает она.

Киберэксперт подчёркивает, что наиболее опасным аспектом этих атак является возможность удалённого выполнения кода. Вредоносный пакет после установки разработчиком загружает обфусцированный shell-скрипт, который может активировать загрузку и выполнение дополнительного кода через внешние серверы, что позволяет злоумышленникам использовать заражённые машины для дальнейших атак. Такие механизмы позволяют скрытно устанавливать бэкдоры, которые могут работать в фоновом режиме, собирая конфиденциальную информацию, такую как учётные данные, и предоставлять злоумышленникам доступ к скомпрометированным системам на длительное время.

Чтобы минимизировать риски, разработчикам необходимо тщательно проверять зависимости, используемые в проектах: «Следует обращать внимание на источник пакетов, сравнивать их названия с официальными библиотеками и проверять цифровые подписи. Дополнительно рекомендуется использовать механизмы изоляции, например запускать тестовые сборки в изолированных контейнерах или виртуальных машинах, чтобы предотвратить случайное выполнение вредоносного кода в рабочем окружении. Кроме того, защититься от подобных атак позволит внедрение систем с функциями UEBA, таких как Ankey ASAP от компании "Газинформсервис". Комплекс анализирует аномалии в поведении пользователей и сущностей, что позволяет своевременно выявить подозрительную активность, например загрузку или выполнение вредоносных пакетов, даже если они были обфусцированы. Интеграция ASAP с другими СЗИ позволяет оперативно реагировать на угрозы, ограничивая доступ к системам и предотвращая дальнейшее распространение вредоносного кода», — добавляет Едемская.

Роскомнадзор с начала года выявил 19 фактов утечек персональных данных. Об этом сообщили ТАСС в пресс-службе ведомства. Киберэксперт компании «Газинформсервис» рассказал, с помощью чего можно обезопасить данные.

«За январь-февраль 2025 года Роскомнадзор зафиксировал 19 фактов распространения в интернете баз данных, содержащих более 24 млн записей», — сообщили в пресс-службе Роскомнадзора.

Напомним, что в 2024 году ведомство выявило 135 фактов утечек персональных данных, содержащих более 710 млн записей. Наибольшее количество утечек зафиксировано у компаний, работающих в сфере торговли и оказания услуг.

«19 подтверждённых Роскомнадзором фактов утечек персональных данных — не самое приятное начало года. Изменения в статье 13.11 КоАП по ужесточению ответственности за утечку персональных данных должны были привлечь организации к осторожности и соблюдению мер защиты такой чувствительной информации. Напоминаю, что уже в мае 2025 года Роскомнадзор начнёт взимать новые штрафы в зависимости от объёма утёкшей информации. Защитить чувствительные данные и не попасть под новые штрафы помогут СУБД (системы управления базами данных). Они обеспечивают аудит действий пользователей, контроль действий, что минимизирует несанкционированный доступ к данным, а также обеспечивает шифрование и включает функции и инструменты защиты от SQL-инъекций. Такие отечественные решения, как СУБД Jatoba, — правильный путь в обеспечении сохранности данных», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.

Исследователи безопасности обнаружили критическую уязвимость (CVE-2025-27607) в популярном пакете Python — python-json-logger. Киберэксперт компании «Газинформсервис» Александр Кабанов подчеркнул, что это серьёзный пример того, как проблемы в цепочке поставок ПО могут затронуть миллионы пользователей, ведь речь идёт о более чем 43 миллионах установок Python по всему миру.

Проблема возникла из-за удаления зависимости ‘msgspec-python313-pre’ из репозитория PyPI. Это позволило злоумышленникам опубликовать вредоносный пакет с тем же именем, предоставляя им возможность удалённого выполнения произвольного кода на уязвимых системах.

Александр Кабанов, киберэксперт компании «Газинформсервис», предупреждает: уязвимость позволяет злоумышленникам удалённо выполнять произвольный код на системах, использующих уязвимые версии пакета. Это серьёзная угроза, которая может привести к компрометации данных, краже информации и полному контролю над заражёнными системами.

«Возможность удалённого доступа к системе и выполнение произвольного кода из-за отсутствующей зависимости показывает, насколько важно при каждой сборке анализировать код и зависимости, а также оперативно обновлять ПО. В этом контексте решения вроде SafeERP, которые помогают организациям обеспечивать комплексную защиту информационных систем и контролировать безопасность кода на всех этапах, становятся особенно актуальными», — отметил Кабанов.

В дебаггере WinDbg нашлась опасная уязвимость, позволяющая выполнить код удалённо (RCE). Брешь, получившая идентификатор CVE-2025-24043 и 7,5 балла по шкале CVSS, связана с некорректной проверкой криптографических подписей в расширении SOS. Что поможет наладить процесс патч-менеджмента и приоритизировать угрозы в системах, расскажет аналитик компании «Газинформсервис».

Уязвимый компонент WinDbg широко применяется разработчиками и специалистами по кибербезопасности для анализа проблем в приложениях, драйверах и на уровне ядра Windows. Выявленная уязвимость позволяет злоумышленнику с сетевым доступом обойти механизмы аутентификации и удалённо выполнить вредоносный код на целевых устройствах. Проблема затрагивает проекты на Microsoft .NET Core, использующие уязвимые версии пакетов dotnet-sos (версии ниже 9.0.607501); dotnet-dump (версии ниже 9.0.557512); dotnet-debugger-extensions (версия 9.0.557512).

Microsoft уже выпустила соответствующие патчи и настоятельно рекомендует всем пользователям и организациям срочно обновить WinDbg.  

«При отсутствии полного покрытия защитными механизмами можно пропустить момент компрометации систем через эксплуатацию "свежей" уязвимости и проникновения злоумышленников в периметр. Рекомендуется актуализировать список активов организации для подключения всех устройств к системе мониторинга инцидентов ИБ и обязательно контролировать процесс исправления ПО. С задачей эффективного контроля ИТ-инфраструктуры справится Efros Defence Operations от компании "Газинформсервис". Efros DefOps позволяет проводить аудит оборудования в сложной разветвлённой инфраструктуре, своевременно обнаруживать устаревшие версии ПО в соответствии с актуальными источниками данных, а также конвейерно или канареечно обновлять весь парк оборудования до безопасных и стабильных версий ПО», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.

В современном мире, где информация — стратегически важный актив, телеком-операторы остро нуждаются в надёжной защите от киберугроз. Компания «Газинформсервис» предоставила эффективное решение, внедрив систему доверенной загрузки SafeNode System Loader для одного из операторов связи и обеспечив комплексную защиту информационных систем, начиная с момента включения устройства.

Уникальность решения заключается в централизованном развёртывании SNSL через сервер управления «Блокхост-Сеть 4». Это позволяет обеспечивать единый стандарт безопасности для всех устройств в сети оператора, вне зависимости от их разнообразия и конфигурации. Система совместима с широким спектром ПК и материнских плат, что упрощает интеграцию в существующую инфраструктуру.

SafeNode System Loader встраивается в UEFI BIOS, контролируя этап загрузки операционной системы и обеспечивая защиту от широкого спектра угроз на самой ранней стадии старта ПК. Централизованное управление позволяет оператору гибко настраивать политики безопасности, устанавливая единые стандарты защиты данных и упрощая администрирование. Автоматическое создание учётных записей пользователей из домена значительно повышает эффективность и упрощает настройку.

«Внедрение SafeNode System Loader позволило значительно усилить защиту информационных систем нашего клиента и обеспечить соответствие строгим стандартам безопасности информации КИИ», — комментирует Константин Хитрово, менеджер продукта SafeNode System Loader в компании «Газинформсервис». — «Мы гордимся тем, что смогли предложить эффективное, надёжное и удобное решение для защиты инфраструктуры оператора связи».

Группировка киберпреступников Silk Typhoon совершенствует свои методы атак, представляя серьёзную угрозу для организаций, обнаружили в компании Microsoft Threat Intelligence. Злоумышленники пытаются проникнуть в сети через цепочки поставок ИТ.

Михаил Спицын, киберэксперт компании «Газинформсервис», комментирует: «Группировка Silk Typhoon использует сложные тактики и эксплойты для компрометации цепочек поставок ИТ, что позволяет им получить доступ к большому числу организаций через ключевых поставщиков услуг и инфраструктуру. Злоумышленники используют украденные учётные данные, уязвимости нулевого дня и методы для обхода систем безопасности, включая внедрение веб-оболочек и манипуляцию облачными сервисами для эксфильтрации данных».

Для эффективной защиты от подобных угроз Спицын рекомендует комплексный подход с использованием инструментов мониторинга безопасности, таких как GSOC компании «Газинформсервис»: «Организациям следует не только своевременно обновлять системы и приложения, но и внедрить строгую парольную политику, использовать многофакторную аутентификацию. Для достижения высокого уровня безопасности рекомендуется подключаться к Центру для мониторинга сетевого периметра и повышения осведомлённости о безопасности среди поставщиков и сотрудников», — подчёркивает эксперт.

В IP-камерах Edimax IC-7100 обнаружена критическая уязвимость CVE-2025-1316, позволяющая удалённо выполнять код на устройствах. Это открывает широкие возможности для хакеров и может стать серьёзной брешью в безопасности систем.

Киберэксперт компании «Газинформсервис», инженер-аналитик лаборатории исследований кибербезопасности Екатерина Едемская, отмечает, что проблема заключается в неправильной обработке входящих запросов, что позволяет злоумышленникам отправлять специально подготовленные данные и запускать произвольный код на камере. Учитывая высокую оценку CVSS (9.8), эта уязвимость может привести к компрометации безопасности не только отдельных устройств, но и всей сети, если камеры используются в корпоративной инфраструктуре или подключены к более важным системам.

«Особенно тревожно в данном случае наличие публичных эксплойтов, которые уже доступны злоумышленникам», — предупреждает эксперт. — «Это значительно увеличивает вероятность того, что уязвимость будет активно использоваться в реальных атаках. Отсутствие реакции производителя на запросы по устранению проблемы только усугубляет ситуацию, поскольку исправления и патчи для таких устройств необходимо выпускать незамедлительно. Пользователи камеры оказываются в уязвимом положении, и единственным способом защиты в этом случае остаётся минимизация воздействия устройства на сеть — например, изоляция устройства за фаерволом, ограничение его доступа к интернету и внутренней сети».

Тем не менее, отмечает аналитик, несмотря на ограниченные возможности эксплуатации в таких условиях, важно учитывать возможные риски для всей инфраструктуры: к примеру, если камера подключена к более критичным системам, хранящим конфиденциальную информацию, таким как системы видеонаблюдения. Даже узконаправленная уязвимость может служить точкой входа для атакующих, что создаёт угрозу для всей сети. В подобных случаях необходимо использовать для защиты системы такие решения, как Ankey SIEM NG.

«В долгосрочной перспективе, если проблема с Edimax не будет решена оперативно, пользователи должны рассмотреть возможность замены уязвимых устройств на более безопасные модели, которые поддерживают регулярные обновления безопасности. Кроме того, необходимо включить в практику использования IoT-устройств в организациях процедуры регулярного мониторинга безопасности и управления уязвимостями, чтобы подобные инциденты не стали неожиданностью. Важную роль в мониторинге и раннем выявлении попыток эксплуатации уязвимости могут сыграть SIEM-системы, такие как Ankey SIEM NG, которые позволяют собирать и анализировать события безопасности, выявлять аномалии в поведении устройств и оперативно реагировать на угрозы. Они также помогут в автоматическом блокировании подозрительных действий и информировании команды безопасности о возможных атаках, минимизируя риски и время реагирования», — подчеркнула Едемская.

Накануне, 5 марта, компании «Газинформсервис» и «Гринатом простые решения» провели совместный вебинар на тему «Правильная проверка электронной подписи, в том числе иностранной и архивной» для специалистов компании «Росатом». В качестве спикера выступил советник генерального директора — начальник удостоверяющего центра ООО «Газинформсервис» Сергей Кирюшкин. Число зрителей, количество и качество заданных вопросов показали большую заинтересованность со стороны «Росатома» к теме.

Вебинар был посвящён ключевым аспектам проверки электронной подписи (ЭП), задачам, у которых на сегодня нет однозначных решений, вопросам, вытекающим из противоречий нормативов и технологий. В ходе вебинара были представлены способы решения данных задач. Особое внимание уделено актуальным, работающим на практике подходам в области длительного архивного хранения электронных документов с ЭП и тематике признания иностранной электронной подписи.

«Проверка электронной подписи — критически важный аспект обеспечения её надёжности», — отмечает Сергей Кирюшкин. — «Продуктовая линейка Litoria специализируется и развивается компанией "Газинформсервис" как эксклюзивное решение в области качества процедур проверки электронной подписи. Мы считаем эту тему крайне важной в общей большой задаче обеспечения надёжности электронной подписи».

Запись вебинара доступна по ссылке: https://vk.com/video-227251247_456239025.

«Газинформсервис» выступит официальным партнёром и организатором «Международной ИТ-Олимпиады» в ходе конференции «Цифровая индустрия промышленной России» (ЦИПР).

Регистрация на «Международную ИТ-Олимпиаду» в формате CTF уже началась и продолжится до 10 апреля 2025 года.

ИТ-Олимпиада проводится в гибридном формате: первые два этапа —онлайн, а финальный этап — очный, в Нижнем Новгороде. Церемония награждения призёров и победителей пройдёт в рамках конференции «Цифровая индустрия промышленной России 2025».

«"Газинформсервис" всегда был сторонником образовательных программ: будь то получение образовательной лицензии на обучение или помощь в организации олимпиады. Наша компания поддерживает актуальность идеи формирования интереса к информационным технологиям и, в частности, к информационной безопасности. Мы уверены, что опыт, полученный в ходе кибербитвы, поможет будущим специалистам в реальных условиях кибератак, поэтому уже сегодня мы начинаем активно создавать различные задания для участников», — сказал менеджер проекта CTF-соревнования и киберэксперт «Газинформсервиса» Михаил Спицын.

К участию в «Международной ИТ-Олимпиаде» будут приглашены школьники 14—18 лет из более 15 стран.

Для «Газинформсервиса» это будет уже 5-е участие в организации подобных активностей.

 «Международная ИТ-Олимпиада» организуется Правительством Нижегородской области, АНО «Горький Тех» и АНО «НЕЙМАРК». Международный партнёр — «Союз информатиков» Республики Куба. Технологический партнёр — международная школа программирования и математики «Алгоритмика».