Когда тикет от заказчика становится CVE 😶

Тут исследователи из Armis раскопали целый букет уязвимостей (Frostbyte10) в промышленных контроллерах Copeland E2 и E3, которые управляют холодильниками в тысячах супермаркетов по всему миру. Обыватель может подумать, что проблема уязвимости только в пропавших сосисках и протухшем молоке, но опытный глаз видит зияющую дыру в кибербезопасности и угрозу всей инфраструктуре 😬

Давайте разберём эту идеальную архитектуру безопасности 🏥

В основе всего этого бардака лежит классическая история. Клиентам было неудобно запоминать пароли, и они попросили что-нибудь попроще. Инженеры решили не мелочиться и встроили гениальное решение, сделав дефолтный админский веб-аккаунт ONEDAY с паролем, который генерируется из сегодняшней даты.

Пайплайн атаки шикарен. Зная текущую дату, заходишь в веб-интерфейс. Видишь перед собой админку. Дальше одной уязвимостью вытягиваешь пароль root'а, другой включаешь SSH через скрытый API. Подключаешься, и вот ты уже под рутом в системе, где можно менять температуру, отключать компрессоры и устанавливать свою, неподписанную прошивку.

Не эксплойт, а фича. Copeland уже выпустила патчи для контроллеров E2 и E3.

Типичный 🥸 Сисадмин

Когда у тебя идеальный мониторинг, который реально смотрит логи и не задает глупых вопросов, да ещё и мурчит.

Типичный 🥸 Сисадмин

Когда твой homelab начал влиять на климат в комнате.

Типичный 🥸 Сисадмин

Узнали себя? 🎩 Кто также делает вид, что слушает доклад и параллельно проектирует новую инфраструктуру... на стиле.

Типичный 🥸 Сисадмин

Виртуальную машину не пнёшь, когда она зависнет. А здесь целый домашний кластер для тактильной обратной связи 🔨

Типичный 🥸 Сисадмин

Хакеры через дыру в VS Code Marketplace захватывают имена удаленных расширений

Исследователи из ReversingLabs обнаружили опасную лазейку в VS Code Marketplace, которая позволяет злоумышленникам повторно использовать имена легитимных, но удаленных расширений. Это сбивает с толку невнимательных разрабов, когда они устанавливают вредоносное ПО, думая, что это старое, проверенное расширение.

Проблема в том, как Marketplace управляет именами. У каждого расширения есть уникальный ID в формате <издатель>.<имя>. Согласно документации, имя должно быть уникальным. Но, как оказалось, это правило работает с нюансами. VS Code Marketplace предлагает два способа убрать расширение: unpublish (снять с публикации) и remove (удалить).

Если расширение снято с публикации, оно исчезает из поиска, но его имя и статистика остаются зарезервированы. Никто другой не может использовать это имя.

Если расширение полностью удалено, его имя освобождается и может быть занято кем угодно.

Именно этой фичей и воспользовались креативные личности 🎹. Они опубликовали вредоносное расширение с именем shiba, которое ранее уже использовалось для другого вредоноса и было удалено. Новое расширение ahbanC.shiba (с другим издателем, но тем же именем) было простым загрузчиком, который скачивал и запускал тренировочный шифровальщик, шифровавший тестовую папку на рабочем столе и требовавший в качестве выкупа один токен Shiba Inu 🐶

Та же самая история, кстати, была и в PyPI, когда имена удаленных пакетов можно было спокойно занимать. И это фундаментальная проблема многих репозиториев.

Типичный 🥸 Сисадмин

Я как-то видел как главбух загрузила всю зарплатную ведомость в бесплатный онлайн-конвертер PDF 😶

Типичный 🥸 Сисадмин

Случилась классика постановки точки, вернее не постановки 🎩

Судьба сама подкинула идеальный повод снести Debian и наконец-то попробовать Arch.

Типичный 🥸 Сисадмин

🤑 Google не будет запрещать установку приложений на Android со сторонних сайтов, но....

Но вводит обязательную верификацию разработчиков. Теперь каждому придётся привязать к аккаунту имя, телефон, почту и адрес. Паспорт при этом не нужен. Тест стартует в октябре 2025-го, а с 2027-го система станет глобальной. Первые страны под прицелом — Бразилия, Индонезия, Сингапур и Таиланд, где вирусы на Android особенно распространены.

Для пользователей APK всё ещё останется доступным, но часть старых и заброшенных приложений просто не пройдёт проверку и перестанет устанавливаться на новые версии Android. Под удар попадут и альтернативные магазины вроде RuStore, AppGallery и 4PDA — им придётся договариваться с разработчиками напрямую или терять каталоги. Дополнительно Google усилит проверку цифровых подписей и будет фиксировать сторонние изменения в коде, что усложнит жизнь любителям модификаций и взломов.

🥸 godnoTECH - Новости IT

Спустя 48 лет Microsoft выложила в исходники своей первой версии BASIC для процессора MOS 6502

Впервые код опубликован под свободной лицензией и доступен для изучения и модификации. Это версия BASIC 1.1, которая использовалась в ранних ПК, включая Apple II и Commodore PET.

Коммит в репозитории датирован 27 июля 1978 года 👨‍🦳

Типичный 🥸 Сисадмин

postmarketOS (мобильный Linux) в процессе обновления выдал, возможно, лучшее системное сообщение. После установки пакетов система оказалась в странном состоянии между двумя версиями и предупредила:

Your system is in a weird state between v23.12 and v24.06 now.
All bugs are features until rebooted.
If you know what you are doing and don't want to reboot, press ^C.

Все баги - это фичи, пока вы не перезагрузитесь 🎩

Типичный 🥸 Сисадмин

Пятница, вторая половина для. И тут вдруг понимаешь, что просто хочется сделать рансомварь от всех рабочих проблем, и чтобы тебя не нашли до понедельника 🤔

Типичный 🥸 Сисадмин

Когда паранойя встречает неограниченный IT-бюджет 💸

Тут на конференции VMware Explore всплыла история, как один крупный западный банк каждые 2-3 недели полностью стирает и пересобирает с нуля свою приватную облачную инфраструктуру. Примерный масштаб до пяти миллионов вычислительных ядер 😨

Весь этот цифровой день сурка нужен для нулевой терпимости к персистентным угрозам. Любой бэкдор, любой спящий вредонос, который мог неделями прятаться в глубине системы, просто выжигается напалмом. Это, пожалуй, самая экстремальная форма неизменяемой инфраструктуры, которую я видел, когда серверы буквально восстают из пепла, как фениксы.

Вся инфраструктура описана как код. Используются эталонные образы, которые собираются и тестируются в CI/CD пайплайнах. Развертывание, скорее всего, идет волнами, когда трафик переключается на свежеразвернутый, чистый пул, а старый просто уничтожается. Все данные и состояние хранятся на отдельных, независимых слоях (реплицируемые СХД, внешние БД), а сами вычислительные узлы просто расходный материал.

Зато бекапы не нужны, ведь вся инфра - это один большой, постоянно восстанавливающийся бэкап 😬

Типичный 🥸 Сисадмин

Это плашки DDR5 PMEM 300 😮

Технологический артефакт, инженерный образец энергонезависимой памяти Intel Optane PMEM в формате DDR5. Это гибрид между сверхбыстрой RAM и SSD, который не теряет данные после выключения питания. Технология должна была стереть грань между оперативной и постоянной памятью, но из-за высокой цены и слабой поддержки так и не взлетела.

Типичный 🥸 Сисадмин

Cначала ты работаешь на автоматизацию, а потом она работает... против тебя 😬

Типичный 🥸 Сисадмин

⌨️ Как один старый ключ из мануала привел к полному захвату сети

Тут Mandiant опубликовал детальный разбор атаки на CMS Sitecore. Получилась классическая история о том, как одна маленькая ошибка в документации может привести к полному фиаско. Хакеры нашли сервер с Sitecore, который торчал наружу в интернет, и воспользовались дырой в обработке ViewState (CVE-2025-53690). Суть проблемы в том, что в старых мануалах по развертыванию Sitecore (до 2017 года) лежал один и тот же демонстрационный ключ шифрования. Если админ при установке просто скопипастил конфиг из инструкции и поленился сгенерировать свой ключ, его система становилась уязвимой.

Пайплайн атаки красив. Сначала атакующий, зная этот дефолтный ключ, отправил на легитимную страницу /sitecore/blocked.aspx POST-запрос с вредоносным ViewState-объектом, получив удаленное выполнение кода. В качестве первого пейлоада использовалась малварь WEEPSTEEL, которая собрала всю информацию о системе и отправила ее атакующему, замаскировав под легитимный __VIEWSTATE ответ.

Получив доступ с правами NETWORK SERVICE, атакующий выгрузил на сервер свой тулкит, включая туннелер EARTHWORM и RAT DWAGENT. После этого он создал двух локальных админов (asp$ и sawadmin), чтобы выглядеть легитимно, сдампил SAM/SYSTEM и извлек хэши доменных админов.

После получения доступа к доменным админам, временные локальные аккаунты были удалены, и началось движение по сети. Атакующий использовал RDP для перехода на другие хосты и развернул SharpHound. Это легитимный инструмент для аудита безопасности 😬 Active Directory, который в руках атакующего превращается в навигатор по домену. С его помощью он провел полную разведку, выискивая слабые места, вроде GPO с сохраненными паролями.

Вся эта многоходовочка стала возможной из-за одной-единственной строчки, скопированной из старого мануала. В общем, RTFM - это, конечно, хорошо. Но иногда лучше сначала подумать, а потом копипастить 🎩

Типичный 🥸 Сисадмин