Сегодня в ТОП-5 — критическая уязвимость в Langflow, старая уязвимость для атак на сетевое оборудование Zyxel, уязвимость повышения привилегий в Linux, атака через GitHub-репозитории и новая вредоносная кампания с использованием поддоменов Cloudflare Tunnel.
1. Критическая уязвимость в Langflow привела к заражению ботнетом Flodrix
Исследователи Trend Micro выявили активную эксплуатацию критической уязвимости CVE-2025-3248 (CVSS: 9.8) в Langflow — популярной платформе для работы с LLM-фреймворками. Уязвимость позволяет без аутентификации удаленно выполнить код через специально сформированный HTTP POST-запрос к /predict. В результате атаки загружается скрипт, разворачивающий вредоносный ботнет Flodrix, который способен проводить распределенные атаки типа «отказ в обслуживании» (DDoS), получать удаленный доступ и устанавливать криптомайнеры и инфостилеры. Атака затрагивает версии до 1.3.0, специалисты Trend Micro рекомендуют установить обновление до последней версии и ограничение внешнего доступа к админ-интерфейсу.
2. Использование старой уязвимости для атак на сетевое оборудование Zyxel
Сервис GreyNoise зафиксировал массовую активность по эксплуатации уязвимости в сетевом оборудовании Zyxel. Уязвимость с идентификатором CVE-2023-28771 (CVSS: 9.8) была выявлена в 2023 году и позволяет неавторизованному злоумышленнику удаленно выполнять некоторые команды операционной системы, отправляя специально сформированные пакеты на целевое устройство. 16 июня в течение 24 часов было зафиксировано 244 активных источника трафика, использующих UDP-порт 500 для попытки отправки вредоносных IKE-пакетов. Атаки исходили с разнообразных адресов по всему миру, включая крупные облачные хостинги. Несмотря на относительно короткий срок активности, масштабы и распределенность говорят о подготовленной кампании. Рекомендуется обновить прошивку Zyxel до версии, устраняющей уязвимость, ограничить доступ к UDP/500 извне и настроить мониторинг подозрительного IKE-трафика.
3. CISA предупреждает об активной эксплуатации уязвимости повышения привилегий в Linux
Агентство по кибербезопасности CISA добавило уязвимость CVE-2023-0386 (CVSS: 7.8) в официальный каталог KEV (Known Exploited Vulnerabilities), что означает факт ее активной эксплуатации. Уязвимость затрагивает подсистему OverlayFS в ядре Linux и позволяет локальным пользователям повышать привилегии до root, используя некорректное управление правами владения. Особенно подвержены данной уязвимости Ubuntu и Debian-совместимые дистрибутивы. Рекомендуется срочно проверить версии ядра и установить доступные обновления безопасности.
4. Water Curse: атака через GitHub-репозитории набирает обороты
Специалисты Trend Micro сообщили, что вредоносная кампания Water Curse скомпрометировала 76 GitHub-аккаунтов и использовала их для размещения вредоносного кода в популярных Open-Source-проектах. Атака начинается с внедрения скрытых вредоносных зависимостей, которые загружают многоступенчатые скрипты и выполняют вредоносный код на машинах разработчиков и DevOps-инженеров. Основная цель — сбор учетных данных и установка бэкдоров в корпоративной инфраструктуре. Вредонос использует технику supply chain poisoning и маскируется под легитимные обновления. Рекомендуется использовать 2FA на всех разработческих аккаунтах GitHub, а также изолировать окружения сборки и применять подписывание релизов.
5. Новая вредоносная кампания использует поддомены Cloudflare Tunnel для доставки вредоносных файлов
Исследователи Securonix раскрыли сложную кампанию под названием SERPENTINE#CLOUD, в которой злоумышленники используют Cloudflare Tunnel и WebDAV для маскировки каналов управления и доставки RAT. Атака начинается с массовой рассылки зараженных писем под видом счетов на оплату. В письмо вложены замаскированные под документы .lnk-файлы, которые активируют цепочку загрузки: Python-лоадер, in-memory. Злоумышленники используют техники Living-off-the-Land и скрытую маршрутизацию через Cloudflare, что позволяет обходить защиту. Кампания направлена на корпоративных пользователей Windows и, по словам исследователей, обладает высокой степенью устойчивости к обнаружению. Securonix рекомендует мониторинг туннельного трафика и аудит необычных вызовов Python-интерпретаторов.
Источник: habr.com