Исследовательская группа Qualys Threat Research Unit (TRU) обнаружила девять уязвимостей в AppArmor, модуле безопасности Linux (LSM), и этот недостаток существует с 2017 года (версия v4.11). Поскольку по умолчанию обязательный механизм контроля доступа для Ubuntu, Debian, SUSE и многочисленных облачных платформ, его повсеместность в корпоративных средах, Kubernetes, IoT и периферийных средах значительно усиливает поверхность угроз.

Этот рекомендательный совет «CrackArmor» обнажает недоумение, позволяющее непривилегированным пользователям манипулировать профилями безопасности с помощью псевдо-файлов, обходить ограничения пространства для имен пользователей и выполнять произвольный код в ядре. Эти недостатки способствуют локальной эскалации привилегий, чтобы укорениться через сложные взаимодействия с такими инструментами, как Sudo и Postfix, наряду с атаками типа отказа в обслуживании через истощение стека и рандомизацию ядра Address Space Layout Randomization (KASLR) обход через запредельные чтения. Следовательно, эти выводы обнажают критические пробелы в нашей зависимости от допущений к безопасности по умолчанию. Это в корне подрывает конфиденциальность, целостность и доступность системы во всем мире, расширяя окно использования уязвимостей для устаревших развертываний.

Анализ Qualys CyberSecurity Asset Management количественно определяет область применения: более 12,6 миллионов корпоративных экземпляров Linux работают с поддержкой AppArmor по умолчанию.

Qualys Threat Research Unit (TRU) разработала Proof of Concepts (PoC), демонстрирующую полную цепочку эксплуатации уязвимостей CrackArmor. В рамках нашего скоординированного процесса раскрытия информации мы разработали рабочие эксплойты и демонстрации доказательств концепции, которыми мы поделились с группой безопасности, чтобы облегчить немедленные усилия по восстановлению.

В то время как мы отказываемся от публичного выпуска кода эксплойта, чтобы расставить приоритеты в развертывании патчей и минимизировать подверженность риску непатентованных сред, техническая природа этих недостатков позволяет независимо проверить сообщество безопасности. Следовательно, прозрачность в отношении механики уязвимости по-прежнему имеет решающее значение для обеспечения устойчивости глобальной инфраструктуры.

Немедленное исправление ядра остается необоротным приоритетом для нейтрализации этих критических уязвимостей, поскольку промежуточное смягчение не обеспечивает такого же уровня безопасности, как восстановление пути кода, установленного поставщиком. Руководство ИТ/операций безопасности должно ускорить создание аварийно-эксплуатационных окон для незамедлительного развертывания исправленных ядер, сохраняя при этом непрерывность бизнеса и обеспечивая устранение первопричины этого важнейшего вектора привилегий-эскалации.

>>> CrackArmor: Critical AppArmor Flaws Enable Local Privilege Escalation to Root

30 января состоялся выпуск 7.4.1 специализированного дистрибутива Tails.

Список изменений:

• Обновление OpenSSL до версии 3.5.4, в которой исправлено несколько критических уязвимостей безопасности (DSA 6113-1). Эти уязвимости могут быть использованы для нарушения анонимности пользователей.
• Обновление Tor до версии 0.4.8.22.
• Обновление Thunderbird до версии 140.7.0.
• Исправлена аутентификация Gmail в Thunderbird.
• Добавлен индикатор загрузки при открытии настроек Wi-Fi из помощника Tor Connection.

Пользователям настоятельно рекомендуется установить обновление как можно скорее, несмотря на то, что случаев эксплуатации этих уязвимостей пока не зафиксировано.

>>> Подробности на tails.net

Уязвимость в пакете GNU InetUtils затронула все версии с 1.9.3 по 2.7 включительно.

Казалось бы, telnet давно ушел в прошлое вместе с модемами и dial-up, но именно он внезапно стал источником серьезной уязвимости. В GNU InetUtils обнаружен баг, который позволяет удаленно войти в систему под root без пароля, просто отправив специально сформированное значение переменной окружения.

Проблема затрагивает telnetd сервер, входящий в состав GNU InetUtils. Он передает программе login значение переменной USER, полученной от клиента, без какой-либо проверки. Этим можно воспользоваться, если клиент отправит строку «-f root» в качестве USER и подключится с параметром telnet -a или –login. В результате login воспринимает это как служебный флаг, пропускает стандартную процедуру аутентификации и автоматически авторизует пользователя как root.

Уязвимость получила идентификатор CVE-2026-24061 и оценку по CVSS: 9.8. Под угрозой находятся все версии GNU InetUtils, начиная с 1.9.3 и заканчивая 2.7 включительно. Баг присутствует в проекте почти 11 лет, с мая 2015 года, но был выявлен только сейчас. По сути, это классический пример уязвимости старой школы, где опасная строка без фильтрации передается системной утилите с привилегиями root.

( читать дальше... )

>>> GNU InetUtils Security Advisory: remote authentication by-pass in telnetd

Новый малоизвестный Linux-бекдор GhostPenguin вышел из тени благодаря автоматизированной охоте на угрозы, в которой Trend Research использовала ИИ для анализа тысяч недетектируемых образцов с VirusTotal. Специалисты обнаружили ранее не документированное вредоносное ПО, скрывавшееся более четырёх месяцев без единого срабатывания антивирусов, и детально разобрали его устройство, коммуникации и архитектуру. По сути, GhostPenguin — это многопоточный C++-имплант, который обеспечивает удалённый интерактивный shell, практически полный контроль над файловой системой и надёжный обмен данными через RC5-шифрованный канал по UDP на порту 53.

( читать дальше... )

>>> AI-Automated Threat Hunting Brings GhostPenguin Out of the Shadows

На платформе crates.io вскрыт новый случай компрометации цепочки поставок ПО: вредоносный пакет на Rust незаметно заражал рабочие станции разработчиков Web3, маскируясь под вспомогательный инструмент для Ethereum Virtual Machine и подстраиваясь под три популярные десктопные операционные системы.

Пакет под названием «evm-units» появился в репозитории в середине апреля 2025 года от пользователя «ablerust» и за восемь месяцев набрал более 7 тысяч загрузок. Тот же автор опубликовал пакет «uniswap-utils», где «evm-units» был указан как зависимость, что обеспечило ему ещё свыше 7,4 тысячи загрузок. Оба проекта уже удалены с площадки, однако вредоносный код успел широко разойтись по экосистеме.

По данным компании Socket, вредоносный функционал скрыт внутри на первый взгляд безобидной функции «get_evm_version()». Вместо того чтобы только возвращать версию Ethereum, она определяет операционную систему, проверяет, запущен ли процесс «qhsafetray.exe», и обращается к внешнему ресурсу «download.videotalks[.]xyz» за следующим этапом атаки.

В зависимости от платформы загружается и в фоновом режиме запускается отдельный компонент: на Linux это сценарий, сохраняемый в каталоге /tmp/init и запускаемый через nohup, на macOS загружается и исполняется файл init через osascript и nohup, а на Windows в каталог временных файлов записывается PowerShell-скрипт «init.ps1» с дальнейшим скрытым запуском.

Сотрудница Socket Оливия Браун связывает такую логику с целенаправленной ориентацией на пользователей в Китае и более широком азиатском регионе, где рынок розничных криптовалютных сервисов остаётся одним из крупнейших.

Ссылки на EVM и протокол Uniswap позволили злоумышленнику органично вписать вредоносный код в инфраструктуру Web3 и выдать его за полезные утилиты для работы с Ethereum. Дополнительный риск создала цепочка зависимостей: включение «evm-units» в популярный пакет «uniswap-utils» привело к тому, что вредоносный загрузчик автоматически выполнялся при инициализации проектов, использующих эту библиотеку.

Инцидент демонстрирует, насколько опасными становятся атаки через открытые репозитории кода и насколько критично для разработчиков блокчейн-проектов внимательно отслеживать состав и происхождение подключаемых модулей.

>>> Linux, macOS, Windows — вредонос адаптировался под все три системы.

Естественная идея упростить работу с домашней сетью и повысить уровень её защищённости неожиданно обернулась чередой почти катастрофических ошибок из-за советов популярных ИИ-помощников. Вместо того, чтобы сэкономить время и снизить риски, журналист издания Cybernews, полагаясь на помощь чат-ботов, столкнулся с рекомендациями, которые могли бы открыть его локальные сервисы всему интернету.

( читать дальше... )

>>> ChatGPT, Claude и Gemini дают опасные советы по кибербезопасности.

Одна из крупнейших алгоритмических торговых компаний мира XTX Markets, ежедневно обрабатывающая сделки на сумму около 250 миллиардов долларов и оперирующая более чем 650 петабайтами данных для прогнозов цен и торговых алгоритмов, открыла исходный код собственной файловой системы для Linux.

Система получила название TernFS и была создана, когда компания переросла возможности традиционного NFS и других решений для хранения. TernFS предназначена для распределённого хранения крупных неизменяемых файлов — как правило, они не редактируются после создания и имеют размер от нескольких мегабайт. Система рассчитана на масштаб до 10 эксабайт логического пространства, примерно триллион файлов и 100 миллиардов каталогов при подключении до миллиона клиентов. Всё это работает на стандартном оборудовании и обычных сетях Ethernet.

Код выложен на GitHub и распространяется под лицензиями GPLv2+ и Apache 2.0.

>>> Исходники на GitHub

>>> Подробности в блоге компании