HP подтвердила критические уязвимости в лазерных принтерах, позволяющие атакующим выполнять произвольный код и повышать привилегии через обработку заданий на печать в формате PostScript. Ошибки угрожают безопасности устройств в локальных сетях, открывая возможность удалённых атак. Компания уже выпустила обновления прошивки и рекомендует их срочную установку.

Источник изображения: Mahrous Houses / Unsplash

В список затронутых моделей входят более 120 серий лазерных принтеров HP, включая популярные линейки HP LaserJet Pro, HP LaserJet Enterprise и HP LaserJet Managed. Полный перечень уязвимых устройств опубликован в официальном уведомлении HP. В связи с масштабом проблемы администраторам корпоративных сетей необходимо сверить модели используемых принтеров с этим списком и оперативно обновить прошивки, чтобы минимизировать риск эксплуатации уязвимостей.

Согласно официальному уведомлению, обнаружены три уязвимости:

• CVE-2025-26506 — критическая степень риска (CVSS 9.2), позволяющая злоумышленникам выполнять произвольный код на устройстве.
• CVE-2025-26508 — высокая степень риска (CVSS 8.3), связанная с повышением привилегий.
• CVE-2025-26507 — средняя степень риска (CVSS 6.3).

Высокая оценка CVE-2025-26506 указывает на её исключительную опасность, так как эксплуатация этой уязвимости может привести к полной компрометации системы. Использование выявленных уязвимостей возможно двумя основными способами:

• Через локальную сеть, если злоумышленник имеет доступ к уязвимому устройству.
• Путём отправки вредоносного задания на печать в формате PostScript.

Во втором случае вредоносный код встраивается в документ и выполняется при обработке задания принтером. Это открывает атакующему возможность захватить контроль над устройством, использовать его в ботнете, похищать данные или организовывать атаки на внутреннюю сеть организации. При этом физический доступ к принтеру не требуется, что делает угрозу особенно серьёзной для корпоративных инфраструктур.

Уязвимости в прошивке принтеров HP были обнаружены всего через неделю после того, как компания предупредила о критических уязвимостях в универсальных драйверах PostScript и PCL6. Более того, на днях компания Lexmark также сообщила об аналогичных проблемах в своём интерпретаторе PostScript. Хотя Lexmark оценила свои уязвимости как высокие, но не критические, повторяющиеся инциденты указывают на глубокие системные проблемы в реализации PostScript и его обработке в современных печатных устройствах.

Язык PostScript широко применяется в корпоративной среде благодаря высокой гибкости и возможностям точной обработки сложных документов. Однако его мощная функциональность делает его потенциальной угрозой для безопасности, если механизмы интерпретации кода не защищены должным образом. Подобные уязвимости уже выявлялись в прошлом, но масштабы текущей проблемы свидетельствуют о глобальной угрозе для корпоративных сетей.

Сайт Департамента эффективности правительства (DOGE) США — ведомства, во главе которого встал Илон Маск (Elon Musk), оказался открыт для редактирования любому желающему. Ранее стало известно, что департамент получил беспрецедентный доступ к закрытым финансовым системам США и данным о миллионах американцев.

Источник изображения: Kanchanara / unsplash.com

Ресурс по адресу doge.gov подключён к базе данных, открытой для доступа и добавления информации третьим лицам, обнаружили два эксперта в области веб-разработки. Это означает, что любой желающий имеет возможность размещать на сайте DOGE свои материалы. Уязвимостью воспользовались по крайней мере дважды — неизвестные лица создали на нём страницы, на которых указали, что «это шутка сайта .gov» и высмеяли «экспертов», которые оставили базу данных открытой — на момент написания материала эти страницы продолжают работать.

Источник изображения: doge.gov

В верхней области страниц указывается, что doge.gov является «официальным сайтом правительства Соединённых Штатов», но, по версии разработчиков, практика его разработки не отвечает стандартам, и размещён сайт не на правительственных серверах. Страницы предположительно генерируются на платформе Cloudflare Pages, к которой подключена кодовая база на GitHub или на другом подобном сервисе. Другими словами, сайт не размещён на физическом сервере или в облаке вроде Amazon Web Services.

Сайт DOGE начал работу в январе, но в течение первых нескольких недель оставался практически пустым. Во вторник, 11 февраля, Маск заявил, что действия его департамента по сокращению расходов максимально прозрачны — всю свою деятельность ведомство документирует на сайте и в соцсети X. Два дня спустя на сайте стали выводиться сообщения, публикуемые официальным аккаунтом DOGE в X, а также статистические данные о нормативных актах правительства США и его служащих.

По данным ФСТЭК России, у почти половины (47 %) субъектов критической информационной инфраструктуры (КИИ) защита IT-систем от киберугроз находится в критическом состоянии, пишет «Коммерсантъ» со ссылкой на заявление замдиректора службы Виталия Лютикова на «ТБ Форум 2025». По его словам, лишь у 13 % таких организаций имеется минимальный базовый уровень защиты, а ещё у 40 % он является низким.

Источник изображения: John Schnobrich/unsplash.com

Как сообщает регулятор, в 100 работающих государственных информационных системах (ГИС) обнаружено 1,2 тыс. уязвимостей, большая часть которых имеет высокий и критический уровень опасности. Причём о некоторых уязвимостях известно уже несколько лет. В числе типовых недостатков в защите КИИ Лютиков назвал отсутствие двухфакторной аутентификации и наличие критических уязвимостей на периметре IT-инфраструктур.

В Positive Technologies подтвердили, что в компаниях уязвимости в IT-системах могут оставаться неустранёнными годами, отметив, что полностью ликвидировать все уязвимости на практике практически невозможно — главное правильно расставить приоритеты. «Например, уязвимость, которая наиболее активно используется злоумышленниками или с высокой долей вероятности будет использована, должна устраняться в первую очередь», — считают в Positive Technologies.

Чтобы закрыть бреши в системе, требуется технологическое окно, то есть полная остановка её работы, что в круглосуточном сервисе организовать сложно, говорят эксперты. Однако установка всех обновлений сразу также не является эффективным решением.

«Что касается государственных информационных систем, у их владельцев часто отсутствует чётко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, а также понимание периодичности проверки», — сообщил «Коммерсанту» руководитель центра компетенций Innostage Виктор Александров.

В то же время организации финансового сектора России утверждают, что в значительной степени «закрыли» уязвимости внешнего контура. По словам главы комитета по информационной безопасности Ассоциации российских банков Андрея Федорца, нет смысла ставить в высокий приоритет дорогостоящее устранение внутренних уязвимостей, которые в целом недоступны извне. Основной проблемой финансового сектора он назвал DDoS-атаки, при которых «системы банков остаются доступными, но из-за критического падения скорости канала передачи данных они становятся невидимыми для пользователей».

В рамках февральского пакета обновлений безопасности Patch Tuesday 2025 компания Microsoft выпустила обновления, устраняющие 55 уязвимостей, включая четыре уязвимости нулевого дня, две из которых уже активно эксплуатируются злоумышленниками в реальных атаках.

Источник изображения: Andras Vas / Unsplash

Кроме того, как сообщает BleepingComputer, в обновлении исправлены три критические уязвимости, связанные с удалённым выполнением кода. Помимо перечисленных проблем, обновление включает исправления для широкого спектра ошибок, разделённых по категориям:

• 19 ошибок, связанных с повышением привилегий
• 2 ошибки, связанные с обходом функций безопасности
• 22 ошибки, связанные с удалённым исполнением кода
• 1 ошибка, связанная с раскрытием информации
• 9 ошибок, связанных с отказом в обслуживании
• 3 ошибки, связанные со спуфингом.

Следует отметить, что указанные цифры не включают критическую уязвимость повышения привилегий в Microsoft Dynamics 365 Sales и 10 уязвимостей в Microsoft Edge, которые были устранены отдельным обновлением 6 февраля.

Две активно эксплуатируемые уязвимости нулевого дня, устранённые в этом месяце, представляют собой наибольшую угрозу. Одна из них, CVE-2025-21391, является уязвимостью повышения привилегий в Windows Storage. По словам Microsoft, злоумышленник, использующий эту «дыру», сможет удалять целевые файлы на устройстве, и хотя это не приводит к раскрытию конфиденциальной информации, может привести к недоступности системы.

Второй активно эксплуатируемой уязвимостью является CVE-2025-21418 — повышение привилегий в драйвере Ancillary Function Driver для WinSock. Эта уязвимость позволяла атакующим получить права SYSTEM в Windows. Microsoft не предоставила подробностей о том, как это конкретно использовалось в атаках.

Две другие уязвимости нулевого дня, устранённые в этом выпуске, были раскрыты публично до выхода исправления. CVE-2025-21194 — это ошибка обхода функций безопасности в Microsoft Surface, которая позволяла обойти защиту UEFI и скомпрометировать защищённое ядро. Microsoft заявила, что данная уязвимость связана с виртуальными машинами в UEFI хост-машинах, а сотрудники из французской компании по кибербезопасности Quarkslab также уточнили, что это может быть также связано с серией уязвимостей PixieFail, влияющих на стек сетевых протоколов IPv6.

Последняя спуфинг-уязвимость CVE-2025-21377 позволяла атакующим раскрывать NTLM-хэши пользователей Windows для удалённого входа или атак типа pass-the-hash, которая позволяет хакеру авторизоваться на удалённом сервере, на котором аутентификация осуществляется с использованием протокола LM или NTLM. Microsoft объясняет, что «минимальное взаимодействие пользователя с вредоносным файлом, такое как одиночный клик или клик правой кнопкой мыши, а также выполнение действия, отличного от открытия или выполнения файла, вызывает эту уязвимость».

Компания Intel в своём последнем отчёте о безопасности продуктов раскритиковала двух крупнейших конкурентов — AMD и Nvidia. По словам Intel, у AMD более чем в четыре раза больше уязвимостей в программном обеспечении, а у Nvidia на 80 % больше проблем, связанных с безопасностью графических процессоров.

Источник изображения: Intel

Первые три пункта свежего отчёта 2024 Intel Product Security Report компания посвятила себе самой. В них она, в частности, подчёркивает эффективность своей внутренней исследовательской группы по безопасности продуктов. По словам Intel, в прошлом году 96 % новых программных уязвимостей и 100 % проблем, так или иначе связанных с её аппаратными продуктами, были обнаружены силами самой компании.

Последние три пункта отчёта Intel сосредоточены на её двух основных конкурентах — AMD и Nvidia. По словам Intel, AMD в своих отчётах безопасности сообщила о «в 4,4 раза большем количестве уязвимостей ПО, связанных с аппаратным корнем доверия» и «в 1,8 раза большем количестве уязвимостей ПО в их конфиденциальных вычислительных технологиях», чем у Intel. А у Nvidia в 2024 году были обнаружены исключительно уязвимости высокой степени риска.

Intel также утверждает, что AMD самостоятельно обнаружила только 57 % всех известных новых уязвимостей своих продуктов. Это означает, что остальные 43 % проблем, связанных с безопасностью, были выявлены сторонними исследователями. Кроме того, отмечает Intel, в продуктах AMD в настоящее время имеются 78 уязвимостей, для которых «не планируются исправления», что может говорить о том, что AMD пока не нашла для них решения. Intel, напротив, заявила, что смягчила последствия или полностью устранила все обнаруженные уязвимости, связанные с аппаратным корнем доверия, во всех своих затронутых продуктах.

Intel также похвасталась, что у её графических процессоров уязвимостей оказалось меньше, чем у конкурентов — всего 10 проблем, из которых только одна имела высокую степень риска. Остальные угрозы классифицируются как среднего уровня. В то же время Nvidia сообщила о 18 проблемах с безопасностью своих GPU, все из которых оказались уязвимостями высокой степени риска. Причём 13 из этих уязвимостей потенциально позволяют злоумышленникам удалённо выполнять код на уязвимом ПК.

В универсальных драйверах для принтеров HP (HP Universal Print Driver) версий PCL 6 и PostScript обнаружены критические уязвимости, которые могут позволить злоумышленникам внедрить и выполнить вредоносный код, говорится в свежем отчёте безопасности производителя. Компания уже выпустила обновления, закрывающие эти дыры в безопасности, и рекомендует установить их немедленно.

Источник изображения: HP

Проблемы безопасности связаны со сторонними компонентами, использующимися в составе драйверов. Список уязвимостей, имеющих статус критических и обладающих высоким риском, состоит из:

• CVE-2017-12652 (выполнение произвольного кода);
• CVE-2022-2068 (выполнение произвольного кода);
• CVE-2023-45853 (раскрытие информации);
• CVE-2020-14152 (отказ в обслуживании).

Универсальные драйверы печати HP поддерживаются тысячами различных моделей принтеров и поэтому широко используются. Самостоятельно проверить, затронут ли ваш принтер вышеуказанным уязвимостям, можно с помощью этого списка принтеров от HP.

Все версии универсальных драйверов HP для принтеров, исключая текущую версию 7.3.0.25919, затронуты критическими уязвимостями безопасности и должны быть обновлены. Последние версии драйверов доступны на странице загрузки обновлений сайта HP.

Все старые версии драйверов HP в системе следует вручную удалить после установки новой версии, поскольку они не удаляются автоматически. Администраторам рекомендуется дважды проверить, что системой используются только новейшие драйверы, а все файлы старых драйверов удалены.

Тайваньский производитель сетевого оборудования Zyxel заявил, что не планирует выпускать обновления ПО для своих устройств и закрывать две недавно обнаруженные уязвимости, которые активно эксплуатируются киберпреступниками и могут затрагивать несколько тысяч клиентов.

Источник изображения: greynoise.io

Критические уязвимости нулевого дня в маршрутизаторах Zyxel активно эксплуатируются киберпреступниками, сообщила в конце января специализирующаяся на анализе угроз компания GreyNoise. Эти ошибки позволяют злоумышленникам выполнять на устройствах произвольные команды, что приводит к компрометации системы, утечкам данных и проникновению в локальную сеть. Ещё в июле прошлого года их обнаружила компания VulnCheck, в августе Zyxel была поставлена об этом в известность, но производитель до сих пор ничего не предпринял.

Лишь накануне на сайте Zyxel появилось сообщение, что компания «недавно» узнала о двух уязвимостях, которые проходят под номерами CVE-2024-40890 и CVE-2024-40891 и, по её словам, затрагивают несколько продуктов с истекшими сроками поддержки. VulnCheck, по версии тайваньского производителя, ничего об этих уязвимостях не сообщала, и о проблеме он узнал лишь в январе, когда GreyNoise рассказала, что они активно эксплуатируются. Ошибки затрагивают «устаревшие продукты, срок эксплуатации которых истёк много лет назад», подчеркнула Zyxel, поэтому компания не намерена выпускать исправляющие их обновления ПО.

Производитель рекомендовал клиентам заменить уязвимые маршрутизаторы «продуктами нового поколения для оптимальной защиты». При этом в списке снятых с поддержки устройств на сайте Zyxel данные устройства не упоминаются, а некоторые из них до сих пор продаются на Amazon, из чего можно сделать вывод, что на практике они остаются актуальными, обратила внимание VulnCheck. Почти 1500 уязвимых устройств сейчас доступны через интернет, гласят данные профильной поисковой системы Censys. Анализ ботнетов, включая Mirai показал, что одна из уязвимостей устройств Zyxel эксплуатируется на практике, а следовательно, это оборудование может использоваться в крупномасштабных атаках, обратила внимание GreyNoise.

Google выпустила февральское обновление Android и закрыла в нём опасную уязвимость ядра ОС, которая предположительно эксплуатировалась злоумышленниками. Закрыты также несколько уязвимостей, связанных с компонентами производителей — партнёров Google.

Источник изображения: Denny Müller / unsplash.com

В обновлении Google Android закрыта ошибка CVE-2024-53104 — уязвимость в коде включённого в ядро Linux драйвера видеоустройств с USB. Об этой ошибке известно немногое: в исправленном виде алгоритм пропускает анализ неопределённых кадров видео — в противном случае ядро записывало бы в память данные, которых там оказаться не должно. Эта ошибка могла эксплуатироваться, чтобы спровоцировать сбой на устройстве или полный захват этого устройства.

Изначально код драйвера предназначен для работы с сигналами USB-камер и других источников видео, а значит, эксплуатация предполагает подключение вредоносного оборудования, передающего в систему неверные данные. Уязвимость, рассказали в Google, могла эксплуатироваться в целях «физического повышения привилегий без потребности в дополнительных привилегиях на выполнение». То есть для получения контроля над гаджетом под управлением Android к нему было достаточно подключить особым образом подготовленное устройство. «Существуют признаки того, что CVE-2024-53104 может подвергаться ограниченной целенаправленной эксплуатации», — признали в Google.

Всего в февральском обновлении исправлены 46 уязвимостей. Одна из них, за номером CVE-2024-45569, имела рейтинг 9,8 из 10, относилась к модулям локальной беспроводной связи Qualcomm и позволяла запускать удалённое выполнение кода или провоцировать сбой на устройстве. Ещё одна представляла собой уязвимость ядра за номером CVE-2025-0088 — она позволяла подменять таблицы системных страниц, а эксплуатирующее её приложение могло обеспечить злоумышленнику контроль над уязвимым устройством. В компонентах Qualcomm выявлены 10 уязвимостей; в компонентах MediaTek — 5; в компонентах Imagination Technologies — 4, связанные с графической подсистемой PowerVR. Первыми обновление Android получат владельцы устройств Google Pixel, а за ними — обладатели поддерживаемых устройств других производителей. Samsung, крупнейший партнёр Google, только закончила развёртывать январское.

По сложившейся практике, разработчики и исследователи в сфере информационной безопасности сообщают поставщикам скомпрометированной продукции о своих открытиях, чтобы те имели возможность устранить прорехи. Только после этого информация о них предаётся огласке. Google в сентябре прошлого года нашла уязвимости в серверных процессорах AMD EPYC на архитектурах с Zen по Zen 4.

Источник изображения: AMD

Как отмечается авторами бюллетеня, найденная уязвимость позволяла злоумышленникам с правами локального администратора через инструкцию RDRAND загружать вредоносные патчи микрокода, запускать на виртуальных машинах жертвы вредоносное программное обеспечение и получать доступ к его данным. Уязвимость заключается в том, что процессор использует небезопасную хэш-функцию при проверке подписи обновлений микрокода. Эта уязвимость может быть использована злоумышленниками для компрометации конфиденциальных вычислительных рабочих нагрузок, защищенных новейшей версией AMD Secure Encrypted Virtualization, SEV-SNP, или для компрометации Dynamic Root of Trust Measurement.

В зоне риска оказался обширный список серверных процессоров EPYC Naples, Rome, Milan и Genoa. Специалисты Google передали всю необходимую для устранения уязвимости информацию по конфиденциальным каналам 25 сентября прошлого года, после чего к 17 декабря AMD смогла распространить необходимые обновления среди своих клиентов. Так что на данный момент исправления для уязвимости уже есть.

Выдержав необходимую для полноценного устранения уязвимостей клиентами AMD паузу, Google сообщила о найденной уязвимости на страницах GitHub. Чтобы дополнительно обезопасить клиентов AMD, представители Google дополнительные подробности об уязвимости и инструменты для работы с ней пообещали продемонстрировать не ранее 5 марта текущего года.

Американские эксперты в области кибербезопасности обнаружили две уязвимости, присутствующие во всех актуальных устройствах iPhone, iPad и Mac, а также во многих моделях предыдущих поколений. Уязвимостям присвоили названия SLAP и FLOP — эти ошибки позволяют гипотетическим злоумышленникам просматривать содержимое всех вкладок в браузерах на устройствах.

Источник изображения: apple.com

Уязвимости SLAP (Speculation Attacks via Load Address Prediction) и FLOP (False Load Output Predictions) появились в процессорах Apple A15 и M2, а также в более поздних чипах. Ошибки выявили исследователи Технологического института Джорджии (США). Эти уязвимости схожи с обнаруженными ранее Spectre и Meltdown. Они связаны с технологией спекулятивного выполнения — процессор пытается предсказать будущие команды и заранее загружает необходимые для их выполнения данные. Внедрив в этот процесс некорректные данные, гипотетический злоумышленник получает возможность считывать содержимое памяти, которое не должно быть доступно.

Каждая вкладка браузера Safari изолирована — сайт, открытый на одной вкладке, не может получить данные с того, что открыт на соседней. Уязвимость SLAP, которую можно эксплуатировать, заставив жертву посетить вредоносный сайт, открывает его владельцу доступ к любой другой вкладке Safari. Это может быть электронная почта, местоположение в Apple Maps, банковские реквизиты и любая другая конфиденциальная информация. FLOP позволяет добиться того же результата, но является более опасной ошибкой, поскольку работает не только с Safari, но и с Chrome. Устанавливать вредоносное ПО на компьютер Mac не требуется — атака осуществляется с использованием уязвимостей в собственном коде Apple, а вероятность её обнаружения чрезвычайно мала.

Угроза актуальна для Apple iPhone 13, 14, 15, 16 и SE 3-го поколения; iPad Air, Pro и mini, начиная с моделей 2021 года; MacBook Air и Pro, начиная с моделей 2022 года; Mac mini, Studio, Pro и iMac, начиная с моделей 2023 года. Apple получила уведомление об уязвимости SLAP в мае, а о FLOP — в сентябре 2024 года. В настоящее время компания работает над исправлением ошибок. Подтверждений того, что уязвимости эксплуатировались злоумышленниками на практике, обнаружить не удалось.

«Основываясь на нашем анализе, мы не считаем, что эта проблема представляет непосредственную угрозу нашим пользователям. <…> В настоящее время не существует мер предосторожности, которые можно предпринять, за исключением обычной осмотрительности при посещении веб-сайтов», — заявили в Apple ресурсу Bleeping Computer.

Apple опубликовала списки уязвимостей, которые были закрыты с выходом общедоступных обновлений iOS 18.3 и iPadOS 18.3, macOS Sequoia 15.3, а также watchOS 11.3. В общей сложности компания закрыла 98 ошибок, касающихся работы этих платформ. Владельцам совместимых устройств рекомендуется установить данные обновления, чтобы защититься от выявленных угроз.

На iOS и iPadOS 18.3 пришлись 26 исправленных ошибок. Пять из них приходятся на функцию AirPlay — они позволяли вызывать сбои в работе приложения и системы, осуществлять атаки типа «отказ в обслуживании» (DoS), а также выполнять произвольный код. Выявлены уязвимости в компонентах ARKit (функции дополненной реальности), CoreAudio, CoreMedia, ImageIO, в ядре системы, в модулях LaunchServices, libxslt, в компоненте ключей доступа для авторизации без пароля, в движке WebKit, браузере Safari и других компонентах.

В macOS Sequoia 15.3 компания Apple закрыла 57 уязвимостей. Они были связаны с компонентами AirPlay, AppleMobileFileIntegrity, ARKit, приложением FaceTime, службой iCloud, ядром системы, браузером Safari и движком WebKit, сетевым протоколом SMB и другими компонентами. И ещё 15 уязвимостей Apple закрыла с выпуском watchOS 11.3. Четыре связаны с AirPlay, две — с ядром системы, две — с движком WebKit, затронутыми оказались и другие компоненты платформы для смарт-часов.

Накануне также вышли обновления Apple visionOS 2.3, iPadOS 17.7.4, macOS Sonoma 14.7.3 и Ventura 13.7.3, tvOS 18.3 и Safari 18.3.

AMD подтвердила, что у её процессоров была обнаружена уязвимость — сведения о её наличии просочились в открытый доступ до того, как компания успела выпустить исправляющее ошибку обновление ПО. Проблема предположительно затрагивает процессоры потребительской линейки Ryzen, но суть ошибки AMD пока не изложила и не уточнила, каких моделей она касается.

Источник изображения: amd.com

О том, что проблема существует, рассказал эксперт по вопросам кибербезопасности Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero компании Google. Он сообщил, что Asus выпустила бета-версию обновления BIOS для своих материнских плат, и упомянул о наличии уязвимости у процессоров AMD. Впоследствии он отредактировал свою публикацию, убрав упоминание уязвимости. AMD подтвердила, что уязвимость существует, но для её эксплуатации требуются локальный административный доступ к целевой машине и специальный микрокод.

«AMD осведомлена о недавно обнаруженной уязвимости процессоров. Для реализации атаки требуется доступ к системе на уровне локального администратора, разработка и запуск вредоносного микрокода. AMD предоставила методы по смягчению последствий и активно сотрудничает во своими партнёрами и клиентами над их развёртыванием. AMD рекомендует клиентам продолжать придерживаться принятых в отрасли стандартов безопасности и работать только с проверенными поставщиками при установке нового кода на свои системы. AMD планирует выпустить отчёт о безопасности с дополнительными рекомендациями и вариантами смягчения последствий», — заявил представитель компании ресурсу The Register. Прочих подробностей в AMD не сообщили.

Исследователи в области кибербезопасности Сэм Карри (Sam Curry) и Шубхам Шах (Shubham Shah) обнаружили в информационно-развлекательной системе Subaru Starlink (не связана со спутниковым провайдером от SpaceX) уязвимости, позволяющие частично перехватывать управление автомобилем и следить за его передвижениями.

Источник изображений: subaru.com

Взлом системы Starlink экспертам удалось произвести через веб-портал Subaru. Повторив их действия, потенциальный злоумышленник получает возможность открывать автомобиль, подавать звуковой сигнал, запускать двигатель, а также переназначать эти функции любому телефону или ПК. Обнаружилось также, что в системе присутствует возможность отслеживать местоположение автомобиля Subaru — не только где он находится в настоящий момент, но и историю его передвижений. Взлом производился на примере машины, принадлежащей матери господина Карри — он увидел в системе все её поездки к врачу, в гости к друзьям, и даже парковочное место, на котором она оставляла автомобиль, когда приезжала в церковь. Обнаруженная экспертами уязвимость была действительна для систем Subaru Starlink в США, Канаде и Японии.

Специалисты установили доменное имя ресурса, через который осуществляется удалённое управление функциями автомобилей. Изучив этот сайт, они нашли способ получить административные привилегии: подобрав адрес электронной почты сотрудника, они производили сброс его пароля. Для этого система запрашивала ответ на два контрольных вопроса, но их проверка осуществлялась локальным скриптом в браузере пользователя, а не на сервере Subaru, и обойти такую защиту было нетрудно. На LinkedIn они обнаружили электронную почту разработчика Subaru Starlink, взломали его учётную запись на административном портале и обнаружили, что у него есть доступ к поиску любого владельца автомобиля Subaru по фамилии, почтовому индексу, адресу электронной почты, номеру телефона или номерному знаку — найдя нужный автомобиль, они получали доступ к конфигурации Starlink.

Карри и Шах сообщили о своих открытиях компании Subaru в конце ноября, и автопроизводитель оперативно принял меры для исправления уязвимостей. Это решило проблему безопасности, но оставило проблему конфиденциальности: даже если потенциальные злоумышленники лишились возможности перехватывать функции управления автомобилями и считывать историю перемещения транспортных средств, всё это по-прежнему могут делать работники Subaru. В компании подтвердили, что её работники действительно имеют доступ ко всем этим функциям, но заверили, что они проходят надлежащую подготовку и подписывают соглашения о неразглашении; на практике же доступ к местоположению машины им якобы предоставляется, чтобы сообщать его службам быстрого реагирования, если система обнаружит ДТП.

Тот факт, что Subaru отслеживает передвижения автомобилей своего производства, свидетельствует, что во всём автопроме больше нет гарантий конфиденциальности, указывает Сэм Карри. Так, сотрудник Google, как предполагается, не может читать переписку пользователей Gmail, а в Subaru история передвижений транспортных средств открыта для работников компании. Ранее стало известно, что в открытом доступе оказались аналогичные данные автомобилей VW Group из-за действий входящей в концерн компании Cariad.

Компания Nvidia сообщила об исправлении нескольких критических уязвимостей безопасности в своих графических драйверах и программном обеспечении для управления виртуальными GPU. Эти уязвимости затрагивают операционные системы Windows и Linux.

Источник изображения: Nvidia

Последние обновления программного обеспечения Nvidia нацелены на устранение нескольких уязвимостей безопасности, которые позволяют злоумышленникам с локальным доступом выполнять вредоносный код, красть данные или вызывать сбои в работе затронутых систем. Среди исправлений выделяются две уязвимости высокой степени опасности. Первая с маркировкой CVE-2024-0150 связана с переполнением буфера в драйвере дисплея GPU, что может привести к компрометации системы вследствие подделки данных, и раскрытию информации. Вторая критическая проблема с маркировкой CVE-2024-0146 затрагивает диспетчер виртуального GPU, где скомпрометированная гостевая система может вызвать повреждение памяти, что потенциально может привести к выполнению вредоносного кода и захвату системы.

Nvidia рекомендует пользователям систем Windows обновиться как минимум до версии драйвера 553.62 (ветвь R550) или до версии 539.19 (ветвь R535). Пользователям Linux необходимо установить версию драйвера 550.144.03 или 535.230.02 в зависимости от ветви драйвера.

Обновления охватывают линейки продуктов Nvidia RTX, Quadro, NVS и Tesla. Корпоративные среды, использующие технологии виртуализации Nvidia, могут столкнуться с дополнительными рисками без установки последних обновлений безопасности. В частности, уязвимость с маркировкой CVE-2024-53881 позволяет гостевым системам прерывать соединение хост-машин, что может привести к сбоям в работе всей системы. Чтобы исправить эти уязвимости безопасности, пользователи программного обеспечения виртуальных графических процессоров должны обновиться до версии драйвера 17.5 (550.144.02) или 16.9 (535.230.02).

Компания поясняет, что уязвимости нацелены на системы, к которым злоумышленники имеют локальный доступ. Однако в виртуальных средах, где несколько пользователей совместно используют ресурсы графических процессоров, эти уязвимости представляют значительную угрозу безопасности. Системные администраторы могут загрузить обновления безопасности со страницы загрузки драйверов Nvidia. Корпоративные клиенты сред vGPU должны получить исправления через портал лицензирования Nvidia. Компания рекомендует немедленно установить эти обновления на всех затронутых системах.

Компания Baicells Technologies, основанная в 2014 году, начиная с 2015 года поставила телекоммуникационное оборудование для 700 коммерческих мобильных сетей во всех штатах США. Недавно Министерство торговли США и ФБР начали расследование в отношении Baicells на предмет возможных рисков для нацбезопасности. Источники сообщают, что ФБР обратило внимание на компанию ещё в 2019 году, а в 2021 году агенты ФБР вызывали на допрос одного из руководителей Baicells North America.

Несмотря на то что санкции практически уничтожили американский бизнес китайских технологических компаний Huawei и ZTE, Вашингтон сохраняет опасения в отношении китайского телекоммуникационного оборудования, подозревая его производителей в шпионаже. «Проверка этого вопроса была бы в верхней части моего списка», — заявил Джон Карлин (John Carlin), бывший главный прокурор по национальной безопасности Министерства юстиции.

В этом месяце Пентагон добавил Baicells в список из 134 компаний, сотрудничающих с китайскими военными, не предоставив при этом никаких доказательств или дополнительных комментариев. Внесение в этот список не имеет юридической силы, но может нанести удар по репутации компаний. «Мы категорически не согласны с решением Министерства обороны и намерены подать апелляцию», — сообщил представитель Baicells.

Вашингтон обвиняет Китай в перехвате конфиденциальных данных и взломе телекоммуникационных сетей. Эксперты правительства США утверждают, что китайские спецслужбы, получив удалённый доступ к маршрутизаторам и базовым станциям, могут перехватывать или вмешиваться в их трафик, нарушать их работоспособность или проводить кибератаки. Хотя нет прямых доказательств того, что какое-либо оборудование Baicells применялось не по назначению, официальные лица США утверждают, что именно эта техника использовалась широким кругом поддерживаемых Китаем хакерских групп по всему миру.

Федеральные власти США были обеспокоены тем, что поставщик услуг беспроводного интернета KGI Communications развернул базовые станции Baicells в Кинг-Джордже, штат Вирджиния, недалеко от Центра надводных боевых действий ВМС в Дальгрене, где испытывается гиперзвуковое оружие. Поставщику было рекомендовано отказаться от его планов.

В 2023 году сотрудники ФБР обратили внимание на планы Лас-Вегаса по расширению существующей сети ещё 82 базовыми станциями Baicells. В результате Лас-Вегас расторг контракт и вместо этого обратился к поставщику из США.

Источник изображений: Baicells

Изначально Beijing Baicells Technologies Co была основана в 2014 году несколькими бывшими сотрудниками Huawei, большинство из которых на сегодняшний день покинуло компанию. В 2016 году Baicells открыла офис в Плейно, пригороде Далласа, где располагалась штаб-квартира американского научно-исследовательского подразделения Huawei Futurewei.

Представитель Baicells утверждает, что компания никогда не имела деловых отношений с Huawei. При этом четыре бывших сотрудника, напрямую знакомых с китайским руководством Baicells, утверждают, что компания управляется из Китая, а любые управленческие решения должны быть одобрены специальным советом.

Чтобы успокоить опасения клиентов США по поводу связей Baicells с Китаем, в последние годы менеджерам по продажам было поручено говорить, что оборудование было произведено на Тайване. Однако из таможенных данных следует, что 92 % поставок оборудования Baicells в США с 2018 года по июль 2024 года были произведены в Китае или Гонконге, и лишь 8 % — на Тайване.

Агентство по киберзащите США CISA, входящее в состав Министерства внутренней безопасности, опубликовало в 2023 году сообщение об уязвимости базовых станций Baicells Nova. CISA контролирует список из 16 критически важных инфраструктурных сетей, к которым, в частности, относятся водоснабжение, энергия, финансовые услуги и телекоммуникации. В общей сложности CISA опубликовала два предупреждения по безопасности и четыре уведомления об уязвимостях в маршрутизаторах и базовых станциях Baicells, обозначив как минимум пять из них как «критические».

Анализ, проведённый после этого компанией Censys, показал, что от 28 до 186 базовых станций Baicells в США по-прежнему используют уязвимую прошивку, что потенциально подвергает их риску взлома. Комментируя результаты расследования, представитель Baicells в ответ сообщил, что компания «предприняла позитивные шаги для обеспечения безопасности наших продуктов и проактивно решает любые проблемы безопасности».

Представитель посольства Китая в США Лю Пэнъюй (Liu Pengyu) в очередной раз призвал Вашингтон прекратить использовать проблемы кибербезопасности для обвинения Китая. Председатель правления Baicells Technologies Сунь Лисинь (Sun Lixin) заявил, что североамериканское подразделение компании открыто для сотрудничества по любым запросам правительства США, отметив, что продукция компании «не несёт каких-либо рисков безопасности».