ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — угроза безопасности в инструменте миграции от Palo Alto Networks, злоумышленники, использующие поддельные эксплойты для кражи данных, критическая уязвимость в плагине GiveWP для WordPress, активная эксплуатация уязвимостей в Mitel MiCollab и Oracle WebLogic Server, а также уязвимость в сканере Nuclei, позволяющая внедрять вредоносный код.

Угроза безопасности в инструменте миграции от Palo Alto Networks

Специалисты Palo Alto Networks сообщили об устранении нескольких уязвимостей в инструменте миграции Expedition, включая критическую CVE-2025-0103 (CVSS: 7.8), которая позволяла злоумышленникам читать базы данных и создавать/удалять файлы. Уязвимость затрагивает конфиденциальные данные, такие как пароли и ключи API. Исправления включены в версию 1.2.101, которая также устраняет четыре уязвимости средней и низкой степени критичности. Компания рекомендует ограничить доступ к Expedition и отключить его, если он не используется. С 31 декабря 2024 года Expedition больше не поддерживается, и Palo Alto Networks призывает клиентов переходить на альтернативные решения.

Злоумышленники используют поддельные эксплойты для кражи данных

Исследователи Trend Micro обнаружили поддельные эксплойты, имитирующие уязвимости LDAPNightmare в Windows: CVE-2024-49113 и CVE-2024-4911 (CVSS: 9.8). Вместо легитимного PoC-кода злоумышленники распространяют вредоносный файл «poc.exe», который запускает скрипт PowerShell для кражи данных. Украденная информация включает данные о системе, процессы, сетевые IP-адреса и установленные обновления. Несмотря на то, что схема может показаться подозрительной для опытных исследователей, ее актуальность и высокая оценка уязвимостей делают ее опасной для широкой аудитории. Trend Micro предупреждает