Новости: кибербезопасность

Киберпреступники из Северной Кореи используют фейковые звонки Zoom для кражи криптовалют и конфиденциальных данных. Мошенники маскируются под знакомых, отправляют вредоносные файлы под видом обновлений и уже украли сотни миллионов долларов. Эксперты предупреждают о новой тактике и дают советы по безопасности.

В 2025 году кибербезопасность столкнулась с беспрецедентными вызовами, вызванными стремительным развитием ИИ. Искусственный интеллект стал мощным инструментом как для защитников, так и для злоумышленников, заставив компании переосмыслить стратегии безопасности, а также привел к взрывному росту нечеловеческих идентификаторов и вывел риски третьих сторон на первый план. Регуляторное давление также усилилось, требуя большей подотчетности от высшего руководства.

Исследователь безопасности обнаружил критическую уязвимость в Home Depot, которая раскрывала исходный код и облачные системы. Несмотря на попытки предупредить компанию, он был проигнорирован. Уязвимость устранена после вмешательства СМИ.

Производитель фотобудок Hama Film загружает фотографии и видео в интернет, но его серверные системы имеют уязвимость, позволяющую любому скачать клиентские снимки. Исследователь обнаружил проблему, но компания не отреагировала.

Уязвимость в платформах Gladinet CentreStack и Triofox позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) из-за жестко закодированных криптографических ключей. Исследователи Huntress обнаружили, что злоумышленники могут использовать эту уязвимость для получения конфиденциальных данных, включая машинный ключ ASP.NET, что открывает путь к полному контролю над затронутыми серверами. Рекомендуется немедленно установить обновление безопасности.

Внедрение Zero Trust — это не только техническая задача, но и культурная трансформация. Статья объясняет, как ИТ-специалистам преодолеть сложности коммуникации с руководством, перевести технические аспекты на язык бизнеса и добиться поддержки для перехода к новой модели безопасности, ориентированной на проверку каждого доступа.

Microsoft меняет правила программы вознаграждений за уязвимости: теперь критические ошибки в сторонних приложениях, используемых компанией, также будут оплачиваться. Этот шаг “по умолчанию в области охвата” призван мотивировать исследователей на поиск уязвимостей в наиболее рискованных областях, включая облачные технологии и ИИ.

Уязвимость React2Shell, позволяющая удаленно выполнять код, активно эксплуатируется. Эксперты Wiz фиксируют более 15 кластеров атак, от криптомайнеров до государственных группировок. Половина систем остаются неотлаженными, что дает злоумышленникам широкие возможности для вторжения.

Компания Ivanti выпустила обновление для своих систем EPM, устраняющее критическую уязвимость CVE-2025-10573 (CVSS 9,6), позволяющую без аутентификации получать доступ к сессиям администраторов. Злоумышленники могут использовать ее для контроля тысяч устройств. Обновление также закрывает другие уязвимости, позволяющие выполнять произвольный код и записывать файлы.

Новая угроза безопасности: мошенническая схема ConsentFix обходит защиту, перехватывая токены OAuth для доступа к учетным записям Microsoft. Эксперты обсуждают ее опасность, методы обнаружения и способы защиты от инновационных атак, эксплуатирующих доверие к легитимным платформам.