Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Standoff Bug Bounty, Positive Hack Days, EclecticIQ, Ivanti Endpoint Manager Mobile, ESET, Pynt, Яндекс, Лаборатория Касперского, Rubetek Home, OpenPGP.js, Cisco Talos, Trimble Cityworks.
На киберфоруме Positive Hack Days подвели трехлетние итоги работы платформы Standoff Bug Bounty. С момента запуска в инициативе приняли участие почти 25 тыс. специалистов по информационной безопасности из шестидесяти стран. Общая сумма выплат участникам достигла 242 млн руб. За это время на платформе опубликовали более сотни программ по выявлению уязвимостей, что способствует усилению цифровой безопасности коммерческих и государственных структур.
Специалисты компании EclecticIQ выявили масштабное применение уязвимостей в решении Ivanti EPMM со стороны китайских киберпреступников. В отчёте отмечено, что атаки стартовали 15 мая 2025 года и затронули организации в Европе, Азии и Северной Америке.
Исследование компании ESET охватило действия глобальных хакерских группировок за октябрь 2024 — март 2025 годов. В отчёте рассматривается активность групп из КНДР, Китая, Ирана, России и ряда других стран. Отдельно указано на рост атак со стороны российских APT-групп, которые использовали уязвимости нулевого дня и Wiper-ы, фиксировались в государствах Европы и на территории Украины.
Компания Pynt представила аналитический обзор, посвящённый уровню защищённости приложений в условиях внедрения концепции shift left. Этот подход предусматривает раннюю идентификацию уязвимостей — ещё на этапе разработки программного кода.
Сервис «Охота за ошибками» от «Яндекса» расширил диапазон выплат участникам bug bounty-программы. Максимальное вознаграждение выросло до 3 млн руб. Награда полагается за нахождение уязвимостей в сервисах «Яндекс ID», Yandex Cloud и «Яндекс Почта».
По данным экспертов «Лаборатории Касперского», в мобильном приложении Rubetek Home была обнаружена брешь, позволяющая хакерам вмешиваться в работу устройств в жилых домах. Уязвимость предоставляла возможность не только похищать личные данные, но и дистанционно управлять элементами инфраструктуры.
Разработчики OpenPGP.js устранили критическую ошибку в библиотеке, которая открывала путь к спуфингу. Уязвимость позволяла формировать поддельные зашифрованные либо подписанные сообщения.
Исследователи из Cisco Talos сообщили о целевой атаке китайских хакеров на американские муниципалитеты. Преступники использовали брешь нулевого дня в платформе Trimble Cityworks для вторжения в геоинформационные системы.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (22-28 мая)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.