Главное за последние дни — топ-5

Home Главное за последние дни — топ-5
hackers the crucial third pillar of cybersecurity

Главное за последние дни — топ-5 инцидентов и угроз

  1. Широко эксплуатируемый нулевой-днев в Oracle E-Business Suite — масштабная вымогательная кампания. По данным исследователей и Google Threat Intelligence, злоумышленники использовали уязвимость в Oracle EBS для массового шантажа компаний (эксфильтрация данных, письма с требованием выкупа). Организации призваны срочно применить патчи и проверки безопасности. Google Cloud
  2. Критический обход аутентификации в теме WordPress «Service Finder» — активная эксплуатация. Уязвимость позволяет злоумышленнику войти под любым пользователем (включая админа) и захватить сайт. Уже зафиксированы реальные взломы; владельцам тем и сайтов рекомендуется немедленно обновить/изолировать уязвимые инсталляции. The Hacker News
  3. Новая волна stealth-атаки на WordPress с использованием «cache-smuggling» и ClickFix/FileFix-техник. Исследователи описывают сценарии, когда вредоносный payload маскируется под безопасный файл (например image/jpeg), доставляется через компрометированные сайты/CDN и затем извлекается/выполняется локально — это усложняет детекцию. The Hacker News
  4. Критическая RCE-уязвимость в Redis (RediShell, CVE-2025-49844) — очень серьёзная. Уязвимость даёт возможность удалённого выполнения кода; многие инсталляции Redis по-умолчанию не защищены, поэтому риск массовой эксплуатации высок. Рекомендуется оперативно обновить/провести аудит конфигураций. sysdig.com
  5. Утечка конфигураций и резервов у SonicWall/MySonicWall — компрометация firewall-настроек. Доступ к бэкапам конфигураций потенциально раскрывает сетевые учетные данные и ключи — это повышает риск последующих атак по цепочке. Владельцам устройств SonicWall рекомендовано провести ревизию и ротацию ключей/паролей. Cyware Labs

Что это значит — общий уровень угрозы и тренды

  • Темп эксплойтов растёт. Уязвимости в популярных продуктах (бизнес-ПО, CMS, инфраструктурные сервисы) быстро превращаются в массовые кампании — окно между обнаружением/разглашением и массовой эксплуатацией измеряется часами–днями. Google Cloud+1
  • Атаки становятся более «тихими». Техники вроде cache-smuggling снижают вероятность обнаружения на этапе скачивания/инфекции — нужно смотреть глубже, чем по сигнатурам файлов. The Hacker News
  • Целевые расширяются: от CMS до корпоративного ПО и сетевой инфраструктуры. Это повышает вероятный убыток при компрометации — от репутации до регуляторных рисков. sysdig.com+1

Немедленные (первые 24 часа) рекомендации для ИТ/IRT

  1. Патчите критические CVE немедленно. Особенно: Oracle EBS (профилактика эксплойта), Redis (RediShell) и все известные патчи для тем/плагинов WordPress (Service Finder, Alone и т.п.). Если нет возможности обновить — изолируйте сервисы сетевыми ACL/файрволами и заблокируйте доступ извне. Google Cloud+2sysdig.com+2
  2. Проведите ревизию админ-аккаунтов и сессий. Ищите неожиданных администраторов, сбрасывайте пароли и ротацию токенов/API-ключей; немедленно применяйте MFA для всех админов. The Hacker News
  3. Проверьте файлы загрузок и журналы на признаки «маскированных» payload’ов. Ищите нетипичные MIME/Content-encoding, а также скрипты/PowerShell-строки, скрытые в загружаемых файлах (особенно если файлы приходят через CDN или сторонние хосты). The Hacker News
  4. Изолируйте и снимите forensic-снэпшоты (файлы + БД + логи) перед очисткой — если есть компрометация, нужны артефакты для расследования и восстановления.
  5. Проведите ротацию секретов для устройств уязвимых вендоров (например, SonicWall конфиги), пересмотрите доступы к централизованным бэкапам/конфигам. Cyware Labs

Среднесрочные меры (1–4 недели)

  • WAF / RASP / FIM: включите/настроьте WAF (правила, защита загрузок), используйте FIM для поиска неожиданных изменений и рассмотрите RASP для критичных приложений.
  • Оценка третьих сторон: проверяйте поставщиков ПО и хостинг-партнёров — есть ли у них быстрые каналы оповещения и план реагирования на инциденты.
  • Мониторинг исходящего трафика: внедрите IDS/EBPF-мониторинг или усильте экспорт логов в SIEM для выявления C2-коммуникаций.
  • Учебные упражнения IR: проведите tabletop-упражнения по сценариям эксплойта тем/Redis/Oracle.

Индикаторы компрометации (IoC) — на что смотреть прямо сейчас

  • Необычные POST/PUT запросы к endpoints темы/плагина в WordPress (installer/upload endpoints). The Hacker News
  • Появление неизвестных админ-аккаунтов или записей в wp_users. BleepingComputer
  • Файлы с несоответствующим MIME (image/jpeg, содержащий исполняемый payload) или файлы/ZIP в папке uploads, которые нельзя объяснить. The Hacker News
  • Необычные Lua-скрипты/вызовы в логах Redis или попытки выполнения скриптов в очередях. sysdig.com
  • Необычные исходящие соединения с редкими доменами/ASN после обновления конфигураций (особенно у устройств SonicWall). Cyware Labs