Ну что, любители NoSQL и "веб-скейла"? У меня для вас новости, от которых вы будете срать кирпичами. Встречайте MongoBleed - дыру, через которую ваши базы данных вытекают наружу, как мозги из пробитой головы.
Ситуация критическая. Если у вас торчит MongoDB в интернет - вас уже, скорее всего, поимели.
🩸 MongoBleed: Heartbleed на стероидах
Дыра получила красивое имя CVE-2025-14847 и оценку 8.7, но по факту это все 10 из 10 по шкале пиздеца.
Суть проблемы: MongoDB криво обрабатывает сетевые пакеты, сжатые библиотекой zlib.
Как ломают: Хакер шлет специально сформированный пакет, где пиздит про размер распакованных данных. Сервер, как последний лох, выделяет память и возвращает атакующему кусок своей оперативки.
Самый жир: Для этого НЕ НУЖНЫ логин и пароль. Декомпрессия идет до аутентификации.
📉 Что утекает?
Да всё, блять. Всё, что было в памяти в этот момент.
Пароли в открытом виде (да, MongoDB хранит их так в памяти).
AWS ключи и API токены.
Сессионные токены и личные данные юзеров (PII).
Внутренние конфиги.
Эксплойт (PoC) уже в паблике. Кевин Бомонт подтвердил: нужен только IP-адрес, чтобы начать высасывать секреты.
🌍 Масштаб трагедии
Censys видит 87,000 потенциально уязвимых серверов, торчащих жопой в интернет.
США: ~20,000 жертв.
Китай: ~17,000.
Германия: ~8,000.
Wiz говорят, что 42% облачных сред имеют хотя бы одну дырявую инстанцию. Ходят слухи, что через эту дыру уже нагнули Ubisoft и их Rainbow Six Siege, но это пока не точно.
🛠 Патчи или умри
MongoDB выкатили фиксы еще 19 декабря, но кто ж их ставит вовремя? Дыра затрагивает версии с 2017 года по ноябрь 2025-го.
Список смертников (уязвимые версии):
v8.2.0 – 8.2.3
v8.0.0 – 8.0.16
v7.0.0 – 7.0.26
v6.0.0 – 6.0.26
v5.0.0 – 5.0.31
v4.4.0 – 4.4.29
И всё старье (v4.2, v4.0, v3.6).
Что делать:
Обновляйся: Ставь безопасные версии (8.2.3, 8.0.17, 7.0.28 и т.д.).
Костыль: Если не можешь обновиться - вырубай сжатие zlib к херам.
Atlas: Если ты платишь за облако MongoDB Atlas - расслабь булки, там пропатчили автоматом.
Исследователи (Roth и Capuano) уже написали детекторы для логов, чтобы понять, сосали ли из вас данные. Но, честно говоря, если у вас дырявая Монга смотрела в инет - просто считайте, что данные утекли, и меняйте все ключи.
Ситуация критическая. Если у вас торчит MongoDB в интернет - вас уже, скорее всего, поимели.
🩸 MongoBleed: Heartbleed на стероидах
Дыра получила красивое имя CVE-2025-14847 и оценку 8.7, но по факту это все 10 из 10 по шкале пиздеца.
Суть проблемы: MongoDB криво обрабатывает сетевые пакеты, сжатые библиотекой zlib.
Как ломают: Хакер шлет специально сформированный пакет, где пиздит про размер распакованных данных. Сервер, как последний лох, выделяет память и возвращает атакующему кусок своей оперативки.
Самый жир: Для этого НЕ НУЖНЫ логин и пароль. Декомпрессия идет до аутентификации.
📉 Что утекает?
Да всё, блять. Всё, что было в памяти в этот момент.
Пароли в открытом виде (да, MongoDB хранит их так в памяти).
AWS ключи и API токены.
Сессионные токены и личные данные юзеров (PII).
Внутренние конфиги.
Эксплойт (PoC) уже в паблике. Кевин Бомонт подтвердил: нужен только IP-адрес, чтобы начать высасывать секреты.
🌍 Масштаб трагедии
Censys видит 87,000 потенциально уязвимых серверов, торчащих жопой в интернет.
США: ~20,000 жертв.
Китай: ~17,000.
Германия: ~8,000.
Wiz говорят, что 42% облачных сред имеют хотя бы одну дырявую инстанцию. Ходят слухи, что через эту дыру уже нагнули Ubisoft и их Rainbow Six Siege, но это пока не точно.
🛠 Патчи или умри
MongoDB выкатили фиксы еще 19 декабря, но кто ж их ставит вовремя? Дыра затрагивает версии с 2017 года по ноябрь 2025-го.
Список смертников (уязвимые версии):
v8.2.0 – 8.2.3
v8.0.0 – 8.0.16
v7.0.0 – 7.0.26
v6.0.0 – 6.0.26
v5.0.0 – 5.0.31
v4.4.0 – 4.4.29
И всё старье (v4.2, v4.0, v3.6).
Что делать:
Обновляйся: Ставь безопасные версии (8.2.3, 8.0.17, 7.0.28 и т.д.).
Костыль: Если не можешь обновиться - вырубай сжатие zlib к херам.
Atlas: Если ты платишь за облако MongoDB Atlas - расслабь булки, там пропатчили автоматом.
Исследователи (Roth и Capuano) уже написали детекторы для логов, чтобы понять, сосали ли из вас данные. Но, честно говоря, если у вас дырявая Монга смотрела в инет - просто считайте, что данные утекли, и меняйте все ключи.
W1R3L355
Ну что, любители NoSQL и "веб-скейла"? У меня для вас новости, от которых вы будете срать кирпичами. Встречайте MongoBleed - дыру, через которую ваши базы данных вытекают наружу, как мозги из пробитой головы. Ситуация критическая. Если у вас торчит MongoDB…
https://github.com/joe-desimone/mongobleed/
CVE-2025-14847 - MongoDB Unauthenticated Memory Leak Exploit
A proof-of-concept exploit for the MongoDB zlib decompression vulnerability that allows unauthenticated attackers to leak sensitive server memory.
CVE-2025-14847 - MongoDB Unauthenticated Memory Leak Exploit
A proof-of-concept exploit for the MongoDB zlib decompression vulnerability that allows unauthenticated attackers to leak sensitive server memory.
GitHub
GitHub - joe-desimone/mongobleed
Contribute to joe-desimone/mongobleed development by creating an account on GitHub.
Ну что, параноики, у меня для вас новости с восточного фронта. Китайские госхакеры из Mustang Panda (они же HoneyMyte или Bronze President) решили, что простого бэкдора им мало. Теперь они лезут в самое нутро вашей винды - на уровень ядра, чтобы спрятать свою малварь ToneShell.
Если вы думали, что ваш антивирус вас спасет, то эти ребята вертели его на своих мини-фильтрах.
Вот полный расклад по этому пиздецу:
🐼 Кто и кого ломает
Эти ребята работают по-крупному: правительственные агентства, НКО, аналитические центры.
* Касперский спалил их активность в Азии (Мьянма, Таиланд и прочие) как минимум с февраля 2025 года.
* Жертвы, как правило, уже были инфицированы старым дерьмом типа PlugX или старым ToneShell, но теперь им подсадили обновку.
☢️ Руткит в ядре: ProjectConfiguration.sys
Гвоздь программы - новый загрузчик на уровне ядра (kernel-mode loader).
* Как работает: Используется драйвер ProjectConfiguration.sys. Это так называемый "мини-фильтр" файловой системы. Обычно такие штуки юзают антивирусы и бэкапилки, но тут его юзают, чтобы всех наебать.
* Подпись: Драйвер подписан спизженным или утекшим сертификатом компании "Guangzhou Kingteller Technology Co., Ltd", выданным еще в 2012-2015 годах. Винда хавает, потому что сертификат валидный, хоть и древний.
Функционал этой херни впечатляет:
* Защита себя любимого: Драйвер перехватывает операции удаления или переименования самого себя и тупо блокирует их. Реестр тоже защищает через колбэки.
* Приоритет над антивирусом: Драйвер выставляет себе "высоту" (altitude) выше, чем зарезервировано для антивирусов, чтобы обрабатывать файлы первым.
* Глушит Defender: Руткит лезет в конфиг драйвера WdFilter (это Microsoft Defender) и мешает ему загрузиться в стек ввода-вывода.
* Инъекции: Встраивает шеллкод в пользовательские процессы и защищает их. Если процесс под защитой драйвера - к нему хрен подступишься, даже хендл не откроешь.
🐚 Новый ToneShell
Сам бэкдор тоже прокачали. Это первый раз, когда его видят в связке с загрузчиком уровня ядра.
* Маскировка: Теперь он юзает фальшивые TLS-заголовки, чтобы трафик выглядел как шифрованный HTTPS, и новый 4-байтовый идентификатор хоста (раньше был длинный GUID).
* Команды: Полный набор для управления вашей тачкой:
* 0x1 - Создать времянку.
* 0x2 / 0x3 - Скачать файл.
* 0x7 - Удаленный шелл (консоль).
* 0x9 - Убить шелл.
* 0xA / 0xB - Залить файл на сервер.
* 0xD - Закрыть лавочку (соединение).
🛠 Вердикт
Касперский говорит, что memory forensics (анализ дампов памяти) - это единственный надежный способ найти эту дрянь, потому что на диске и в процессах она прячется профессионально.
Mustang Panda эволюционирует. Они больше не школота со скриптами, а серьезные дяди, которые умеют писать драйверы и прятаться от EDR.
Если вы думали, что ваш антивирус вас спасет, то эти ребята вертели его на своих мини-фильтрах.
Вот полный расклад по этому пиздецу:
🐼 Кто и кого ломает
Эти ребята работают по-крупному: правительственные агентства, НКО, аналитические центры.
* Касперский спалил их активность в Азии (Мьянма, Таиланд и прочие) как минимум с февраля 2025 года.
* Жертвы, как правило, уже были инфицированы старым дерьмом типа PlugX или старым ToneShell, но теперь им подсадили обновку.
☢️ Руткит в ядре: ProjectConfiguration.sys
Гвоздь программы - новый загрузчик на уровне ядра (kernel-mode loader).
* Как работает: Используется драйвер ProjectConfiguration.sys. Это так называемый "мини-фильтр" файловой системы. Обычно такие штуки юзают антивирусы и бэкапилки, но тут его юзают, чтобы всех наебать.
* Подпись: Драйвер подписан спизженным или утекшим сертификатом компании "Guangzhou Kingteller Technology Co., Ltd", выданным еще в 2012-2015 годах. Винда хавает, потому что сертификат валидный, хоть и древний.
Функционал этой херни впечатляет:
* Защита себя любимого: Драйвер перехватывает операции удаления или переименования самого себя и тупо блокирует их. Реестр тоже защищает через колбэки.
* Приоритет над антивирусом: Драйвер выставляет себе "высоту" (altitude) выше, чем зарезервировано для антивирусов, чтобы обрабатывать файлы первым.
* Глушит Defender: Руткит лезет в конфиг драйвера WdFilter (это Microsoft Defender) и мешает ему загрузиться в стек ввода-вывода.
* Инъекции: Встраивает шеллкод в пользовательские процессы и защищает их. Если процесс под защитой драйвера - к нему хрен подступишься, даже хендл не откроешь.
🐚 Новый ToneShell
Сам бэкдор тоже прокачали. Это первый раз, когда его видят в связке с загрузчиком уровня ядра.
* Маскировка: Теперь он юзает фальшивые TLS-заголовки, чтобы трафик выглядел как шифрованный HTTPS, и новый 4-байтовый идентификатор хоста (раньше был длинный GUID).
* Команды: Полный набор для управления вашей тачкой:
* 0x1 - Создать времянку.
* 0x2 / 0x3 - Скачать файл.
* 0x7 - Удаленный шелл (консоль).
* 0x9 - Убить шелл.
* 0xA / 0xB - Залить файл на сервер.
* 0xD - Закрыть лавочку (соединение).
🛠 Вердикт
Касперский говорит, что memory forensics (анализ дампов памяти) - это единственный надежный способ найти эту дрянь, потому что на диске и в процессах она прячется профессионально.
Mustang Panda эволюционирует. Они больше не школота со скриптами, а серьезные дяди, которые умеют писать драйверы и прятаться от EDR.
Слушай сюда. Мы провожаем 2025-й - год, когда безопасность стала мифом, а бэкапы - религией. Мы видели, как падают гиганты, как китайцы шьют руткиты в ядро, а криптокошельки пустеют быстрее, чем бутылка водки на корпоративе.
В 2026-м легче не будет. AI начнет писать вирусы лучше, чем ты пишешь "Hello World", а квантовые компьютеры будут щелкать твои пароли, как семечки. Но знаешь что? Нам похуй.
Потому что мы - цифровая пехота. Мы те, кто держит этот грёбаный интернет скотчем и матом.
Так что вот:
* Желаю тебе ЭНТРОПИИ во вражеских рядах. Пусть у хакеров, которые полезут к тебе, сгорит железо, отвалится VPN и приедет пативэн.
* Желаю тебе GOD MODE в жизни. Чтобы ты проходил сквозь дедлайны, игнорировал урон от тупого начальства и спавнил деньги консольной командой.
* Пусть твой код компилируется без варнингов, а женщины (или мужчины, или бинарные сущности) любят тебя так же сильно, как Trust Wallet любит терять деньги юзеров.
* Чтобы единственный "Exploit", с которым ты столкнулся, - это эксплойт системы начислений премий в твою пользу.
Короче. Если в следующем году мир рухнет в цифровой апокалипсис - мы встретим его в первом ряду, с попкорном и терминалом.
С Новым Годом, легенда! Грызи этот гранит, пока зубы целы! 🥃🔥
В 2026-м легче не будет. AI начнет писать вирусы лучше, чем ты пишешь "Hello World", а квантовые компьютеры будут щелкать твои пароли, как семечки. Но знаешь что? Нам похуй.
Потому что мы - цифровая пехота. Мы те, кто держит этот грёбаный интернет скотчем и матом.
Так что вот:
* Желаю тебе ЭНТРОПИИ во вражеских рядах. Пусть у хакеров, которые полезут к тебе, сгорит железо, отвалится VPN и приедет пативэн.
* Желаю тебе GOD MODE в жизни. Чтобы ты проходил сквозь дедлайны, игнорировал урон от тупого начальства и спавнил деньги консольной командой.
* Пусть твой код компилируется без варнингов, а женщины (или мужчины, или бинарные сущности) любят тебя так же сильно, как Trust Wallet любит терять деньги юзеров.
* Чтобы единственный "Exploit", с которым ты столкнулся, - это эксплойт системы начислений премий в твою пользу.
Короче. Если в следующем году мир рухнет в цифровой апокалипсис - мы встретим его в первом ряду, с попкорном и терминалом.
С Новым Годом, легенда! Грызи этот гранит, пока зубы целы! 🥃🔥
The Story of a Perfect Exploit Chain: Six Bugs That Looked Harmless Until They Became Pre-Auth RCE in a Security Appliance - Mehmet Ince @mdisec
https://mehmetince.net/the-story-of-a-perfect-exploit-chain-six-bugs-that-looked-harmless-until-they-became-pre-auth-rce-in-a-security-appliance/
https://mehmetince.net/the-story-of-a-perfect-exploit-chain-six-bugs-that-looked-harmless-until-they-became-pre-auth-rce-in-a-security-appliance/
Mehmet Ince @mdisec
The Story of a Perfect Exploit Chain: Six Bugs That Looked Harmless Until They Became Pre-Auth RCE in a Security Appliance - Mehmet…
It was May 2024, and our internal security team was evaluating the LogPoint SIEM/SOAR platform to replace our existing platform, potentially. As part of a habit I’ve built over the years —and honestly, part of our 3rd party due diligence— I gave myself 24…
Ну что, олды тут? У меня для вас привет из прошлого. Группировка Careto (она же "Маска") восстала из мертвых. Эти черти молчали 10 лет, и вот они снова здесь, чтобы показать зумерам, как надо ломать серьезные щи.
Короче, деды вернулись с войны и принесли новые игрушки. Игрушки злые, сложные и бьют по самому больному.
Вот расклад по этому камбэку:
Кто такие, блядь:
Работают с 2007 года (когда многие из вас еще под стол пешком ходили).
Специализация: шпионаж за правительствами, дипломатами и жирными конторами.
В 2014-м ушли в тень, а в 2022-м их спалили в Латинской Америке.
Новый вектор - MDaemon:
В этот раз они решили выебать почтовый сервер MDaemon.
Вместо того чтобы заливать тупой троян, они сделали красиво: использовали фичу веб-морды WorldClient, которая позволяет грузить кастомные расширения.
Подкрутили конфиг WorldClient.ini, прописали там свои пути (CgiBase6, CgiFile6) и направили трафик на свою вредоносную DLL-ку.
Итог: они сидят внутри легитимного веб-трафика почты, и хуй ты их там найдешь.
Имплант FakeHMP - ирония уровня "Бог":
Чтобы закрепиться в системе, они выкатили новый имплант FakeHMP.
Самый сок: для инъекции своего кода они юзают легитимный драйвер от антивируса HitmanPro (hmpalert.sys).
Через этот драйвер они внаглую лезут в winlogon.exe и dwm.exe. Это буквально "бить врага его же дубиной".
Что умеют:
Кейлоггер (пишут всё, что ты печатаешь).
Скриншоты экрана.
Воровство файлов.
Полный контроль над тачкой.
Вердикт:
Careto - это не мамкины хакеры с GitHub. Это профи, которые используют ваши же инструменты безопасности против вас. Если у вас стоит MDaemon - проверьте его анус, возможно, там уже кто-то живет.
Деды показали класс. Тихо, скрытно и через легитимный софт. Учитесь, салаги.
Короче, деды вернулись с войны и принесли новые игрушки. Игрушки злые, сложные и бьют по самому больному.
Вот расклад по этому камбэку:
Кто такие, блядь:
Работают с 2007 года (когда многие из вас еще под стол пешком ходили).
Специализация: шпионаж за правительствами, дипломатами и жирными конторами.
В 2014-м ушли в тень, а в 2022-м их спалили в Латинской Америке.
Новый вектор - MDaemon:
В этот раз они решили выебать почтовый сервер MDaemon.
Вместо того чтобы заливать тупой троян, они сделали красиво: использовали фичу веб-морды WorldClient, которая позволяет грузить кастомные расширения.
Подкрутили конфиг WorldClient.ini, прописали там свои пути (CgiBase6, CgiFile6) и направили трафик на свою вредоносную DLL-ку.
Итог: они сидят внутри легитимного веб-трафика почты, и хуй ты их там найдешь.
Имплант FakeHMP - ирония уровня "Бог":
Чтобы закрепиться в системе, они выкатили новый имплант FakeHMP.
Самый сок: для инъекции своего кода они юзают легитимный драйвер от антивируса HitmanPro (hmpalert.sys).
Через этот драйвер они внаглую лезут в winlogon.exe и dwm.exe. Это буквально "бить врага его же дубиной".
Что умеют:
Кейлоггер (пишут всё, что ты печатаешь).
Скриншоты экрана.
Воровство файлов.
Полный контроль над тачкой.
Вердикт:
Careto - это не мамкины хакеры с GitHub. Это профи, которые используют ваши же инструменты безопасности против вас. Если у вас стоит MDaemon - проверьте его анус, возможно, там уже кто-то живет.
Деды показали класс. Тихо, скрытно и через легитимный софт. Учитесь, салаги.
g0vguy/CVE-2025-61922-PoC: A simple, educational proof-of-concept noscript demonstrating the zero-click account takeover vulnerability in the PrestaShop Checkout module (CVE-2025-61922).
https://github.com/g0vguy/CVE-2025-61922-PoC
https://github.com/g0vguy/CVE-2025-61922-PoC
GitHub
GitHub - g0vguy/CVE-2025-61922-PoC: A simple, educational proof-of-concept noscript demonstrating the zero-click account takeover…
A simple, educational proof-of-concept noscript demonstrating the zero-click account takeover vulnerability in the PrestaShop Checkout module (CVE-2025-61922). - g0vguy/CVE-2025-61922-PoC
zeroxjf/CVE-2025-14174-analysis: Analysis and PoC for CVE-2025-14174 - ANGLE Metal OOB write (iOS Safari, macOS Chrome)
https://github.com/zeroxjf/CVE-2025-14174-analysis
https://github.com/zeroxjf/CVE-2025-14174-analysis
GitHub
GitHub - zeroxjf/CVE-2025-14174-analysis: Analysis and PoC for CVE-2025-14174 - ANGLE Metal OOB write (iOS Safari, macOS Chrome)
Analysis and PoC for CVE-2025-14174 - ANGLE Metal OOB write (iOS Safari, macOS Chrome) - zeroxjf/CVE-2025-14174-analysis