В мире информационных технологий уязвимости — это не просто технические проблемы, а настоящие сюрпризы, способные перевернуть представление о безопасности. Конец апреля не стал исключением, и мы наблюдаем, как некоторые из самых популярных технологий становятся мишенью для киберпреступников. Рассмотрим подробнее.
SSH-уязвимость в Erlang/OTP: произвольный код на устройствах
В системе Erlang/OTP была найдена уязвимость CVE-2025-32433, которая позволяет злоумышленникам запускать произвольный код на устройствах с установленным SSH-демоном без авторизации. Эта проблема затрагивает все системы, использующие версии OTP ниже 27.3.3, 26.2.5.11 и 25.3.2.20. Уязвимость связана с неправильной обработкой сообщений протокола предварительной аутентификации в SSH-демоне.
Злоумышленники могут выполнять команды с правами суперпользователя, что может привести к компрометации системы.
Команда Horizon сообщает о том, что ей удалось воссоздать уязвимость и найти «поразительно лёгкий» метод её использования.
Эксперты рекомендуют обновить систему до исправленной версии или ограничить доступ к SSH до доверенных IP-адресов, а при невозможности установки патчей — временно отключить SSH.
Windows NTLM: выполнение произвольного кода на уязвимых устройствах
Уязвимость позволяет злоумышленникам осуществлять спуфинг-атаки, раскрывая NTLM-хеш, при распаковке вредоносного ZIP-архива. Для успешной эксплуатации достаточно выбрать или кликнуть на файл.
Уязвимость была использована в кампаниях, направленных на государственные и частные учреждения Польши и Румынии, с использованием вредоносных .library-файлов для сбора NTLMv2-хешей и повышения привилегий. Microsoft выпустила обновление 11 марта, но менее чем через две недели уязвимость уже применялась.
Организации должны немедленно устранить уязвимости NTLM, так как минимальное взаимодействие с пользователем делает эту угрозу серьёзной.
WordPress: мошеннические плагины создают 1,4 млрд рекламных запросов в день
Human выявили серьёзную мошенническую схему Scallywag, которая позволяет пиратским веб-сайтам и ресурсам с короткими URL-адресами получать прибыль с помощью специальных плагинов для WordPress. Они создают огромное количество мошеннических запросов — пике активность достигала 1,4 миллиарда запросов в день.
Схема включает четыре плагина: Soralink, Yu Idea, WPSafeLink и Droplink. Злоумышленники перенаправляют пользователей через множество промежуточных страниц с рекламой на пиратский контент.
Многие сайты используют Scallywag через партнёрские соглашения, а не напрямую. Исследователи выявили схему через анализ трафика WordPress-блогов и заблокировали её, что привело к прекращению доходов Scallywag. В ответ операторы схемы пытались скрыться, но были обнаружены.
Сейчас трафик Scallywag практически нулевой, а её клиенты перешли к другим нелегальным методам монетизации.
Удостоверяющий центр SSL.com: уязвимость, позволяющая получить сертификат для чужого домена
В системе проверки владения доменом SSL.com была обнаружена брешь в безопасности, позволяющая злоумышленникам получать сертификаты TLS для любых доменов, зная адрес электронной почты владельца. Это происходит из-за ошибки в процессе подтверждения владения через DNS-запись.
Исследователь успешно получил сертификат для домена aliyun.com, используя домен d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и адрес электронной почты myusername@aliyun.com.
SSL.com временно заблокировал уязвимый режим и отозвал 11 сертификатов, выданных с его использованием, включая домены medinet.ca, help.gurusoft.com.sg и другие.
Был отозван только сертификат для aliyun.com. SSL.com планирует опубликовать отчёт об инциденте до 2 мая.
