Новости кибербезопасности за неделю с 5 по 11 мая 2025
Все самое интересное из мира кибербезопасности /** с моими комментариями
1) /** первая новость в 2х частях.
Часть 1: Бывший советник по нацбезопасности США Майкл Уолтц непреднамеренно раскрыл использование в правительстве модифицированной версии Signal.
Журналисты выяснили, что это переупакованный Signal, который ранее выпускала израильская компания TeleMessage. По сути, TeleMessage Signal Capture это корпоративная модификация Signal, использующая открытый код, при этом сохраняется внешний вид и функции оригинального Signal, но встраивается механизм "скрытого копирования". Сообщения и звонки автоматически перехватываются сразу после расшифровки на устройстве и отправляются в корпоративный архив компании для последующего хранения и аудита. ТeleMessage позволяет организациям контролировать рабочие коммуникации сотрудников даже в приложении, которое в обычной версии предназначено для максимальной приватности.
/** Ничего, вроде бы, необычного. Специальное корпоративное приложение, коих у каждой компании по десятку. Единственное, что меня смутило - "отправляются в корпоративный архив компании для последующего хранения и аудита". Но и тут тоже тысячи возможных реализаций. И вот спустя пару дней выходит вторая новость...
Часть 2: Хакер взломал мессенджер для чиновников и нашёл внутри полный архив их переписок.
TeleMessage, продавец «безопасных» версий Signal, WhatsApp и Telegram для госорганов и корпораций, хранил копии сообщений на своём сервере в AWS.
Хакер получил доступ к административной панели, логам и личной переписке чиновников CBP, сотрудников Coinbase и даже разведки полиции Вашингтона. Среди утечек — политические чаты, криптовалютные обсуждения и номера телефонов. Всё в открытом виде — потому что end-to-end там был только на бумаге.
/** Как вам? ) Какие выводы я сделал:
- если вами, при создании своего решения, используются какие-то публичные решения, то название и версии этих решений надо хранить в секрете;
- не надо провоцировать хакеров и писать в описаниях о какой-то сверх безопасности. Есть риск, что захотят проверить.
А в целом, мне очень удивительно. Получается, что никакие спецслужбы не проверяют решения на безопасность, которые используются на таком высоком уровне? Или проверяют, но на бумаге, что более вероятно. Я думаю некоторые люди из безопасности потеряли там работу после этого случая.
2) /** вторая новость тоже развивалась всю неделю.
Был задержан курсант за госизмену.
Он сделал программу, которая обходит Secret Net (ПО для обработки секретных файлов). И продал её человеку на авито за 8000 рублей. А этот человек оказался сотрудником ФСБ. Помимо госизмены ему еще вминяют статью 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).
Ему грозило пожизненное, но в итоге 50 тыс. штрафа и служба на благо Родине в ФСБ после выпуска из Академии.
/** Я задумался, а что есть интеллект? С одной стороны он написал программу, которая обходит защиту ПО, которое используют военные. Это не новое какое-то ПО, оно развивается не первый десяток лет. С другой стороны - Авито за 8 тыс.? Серьёзно? Он же чётко знал, что это за ПО и для чего оно используется. Вот и скажите мне, парень в итоге умный или нет?
Но поскольку для него всё закончилось хорошо (я надеюсь он сам с этим согласен), а это подтверждает то, что есть какая-то интеллектуальная составляющая в его программе, то в ФСБ вторую часть его интеллекта точно поправят после академии.
3) В выпуске BeyondTrust Microsoft Vulnerabilities Report за 2025 год отмечено рекордное количество уязвимостей Microsoft — 1360, раскрытых в 2024 году. Это на 11% больше, чем предыдущий пик в 1292 в 2022 году.
Общее количество уязвимостей достигло исторического максимума в 1360 в 2024 году, что на 11% больше предыдущего рекорда в 1292 в 2022 году.
Но среди кучи уязвимостей есть и положительная сторона: критические уязвимости Microsoft снизились до самого низкого уровня за последние десять лет. В 2024 году только 78 уязвимостей Microsoft были оценены как критические, по сравнению со 196 в 2020 году. Для сравнения, в 2013 году критические проблемы составляли ошеломляющие 44% от всех раскрытых уязвимостей Microsoft. В 2024 году это число сократилось до чуть менее 6%.
/** Приведу цитату из этой же статьи, которая полностью совпадает с моим взглядом но эту тему: "Это напоминание о том, что независимо от того, сколько лучших практик мы создаем, сколько экспертного обучения мы предоставляем разработчикам и насколько тщательно мы тестируем код с помощью контроля качества и тестирования на проникновение, люди и ИИ все равно создают программное обеспечение с уязвимостями, которые можно эксплуатировать. Неважно, какие методы проверки кода вы используете. Даже с кодом, сгенерированным ИИ, мы все еще люди, и мы все еще совершаем ошибки, связанные с программным обеспечением".
4) /** Новость, которая подтверждает вывод в предыдущей новости.
Cisco исправляет уязвимость CVE-2025-20188 (10.0 CVSS) в IOS XE, которая позволяет использовать эксплойты root через JWT.
Компания Cisco выпустила исправления программного обеспечения для устранения серьезной уязвимости безопасности в своем беспроводном контроллере IOS XE, которая может позволить неавторизованному удаленному злоумышленнику загружать произвольные файлы в уязвимую систему.
Уязвимость, обозначенная как CVE-2025-20188, получила рейтинг 10,0 по системе оценок CVSS.
"Эта уязвимость вызвана наличием жестко запрограммированного JSON Web Token (JWT) в уязвимой системе", — заявила компания в своем информационном сообщении.
/** CISCO. Вот как они могли изначально пропустить подобную уязвимость, ведь куча разных сканеров проверяют проекты на захардкоденные токены? Но, как видите, пропускают. Пропускали, пропускают и будут пропускать.
5) $168 млн за взлом WhatsApp: Meta* выиграла суд против NSO Group.
NSO Group не отвертелась. Присяжные в Калифорнии обязали компанию выплатить Meta* крупную сумму за атаку через уязвимость в WhatsApp — ту самую, где Pegasus проникал в устройство одним входящим звонком, даже без ответа.
Уязвимость была устранена быстро, но Meta пошла дальше: четыре года суда, доступ к коду Pegasus, стенограммы допросов, помощь Citizen Lab — и в итоге самое болезненное для NSO решение. Попытки спрятаться за "государственный иммунитет" не сработали, особенно после того, как всплыли попытки продать Pegasus американским силовикам.
Теперь NSO может сколько угодно говорить о борьбе с терроризмом — но Meta* выиграла не только деньги, но и был создан прецедент. Впервые был "дожат" разработчик шпионского ПО в открытом суде.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
/** NSO Group - израильская компания, основной бизнес которой - производство оборудования и ПО для взлома мобильных устройств. Я думаю, что тут компания Цукерберга отстаивала больше свой имидж, который сильно страдал от действий NSO, потому что им часто удавалось находить уязвимости критического уровня для доставки своего Pegasus. Теперь любой производитель, аналогичный NSO, несколько раз подумает, прежде чем пиариться на уязвимостях ПО крупных компаний.
К слову, сумма штрафа - такую прибыль Цукерберг зарабатывает за 21 час работы.
Безопасной вам недели!
Подписывайтесь на мой Телеграм!
Предыдущая неделя <-- week Sec News --> Следующая неделя