Дайджест событий в сфере кибербезопасности и ИИ

1) Cisco Secure FMC: критический RCE в RADIUS (CVE-2025-20265)

Что произошло
Cisco предупредила о критической уязвимости (CVSS 10.0) в Secure Firewall Management Center, позволяющей удалённо и без аутентификации выполнить команды на устройстве, если для входа включён RADIUS. Патчи выпущены 15 августа. (BleepingComputer, nvd.nist.gov)

Как произошло (техразбор)
Проблема в обработке пользовательского ввода на этапе RADIUS-аутентификации: специально сформированная строка учётных данных инжектится в оболочку и исполняется с высокими привилегиями. Уязвимы FMC 7.0.7 и 7.7.0, когда RADIUS включён для Web/SSH. Эксплуатация пред-аутентификационная, удалённая, без взаимодействия с пользователем (AV:N/AC:L/PR:N/UI:N/S:C). Cisco называет это недостаточной нейтрализацией спецсимволов (CWE-74). (nvd.nist.gov)

Почему это важно (выводы, рекомендации)
Компрометация FMC = компрометация управляемых файрволов.
Рекомендации:

• Немедленно обновить FMC до исправленных сборок (см. Cisco advisory).
• Если обновление временно невозможно — отключить RADIUS и переключиться на локальные учётки/LDAP/SAML; после апдейта вернуть желаемую схему.
• Проверить журналы аутентификации и конфигурационные изменения FMC на предмет несанкционированных команд. (BleepingComputer)

Источники

• Cisco NVD: nvd.nist.gov/vuln/detail/CVE-2025-20265 (nvd.nist.gov)
• BleepingComputer: bleepingcomputer.com/news/security/cisco-warns-of-max-severity-flaw-in-firewall-management-center (BleepingComputer)

---

2) HTTP/2 «MadeYouReset»: новый DoS-вектор (CVE-2025-8671)

Что произошло
Исследователи Тель-Авивского университета раскрыли новый класс DoS-атак для HTTP/2, названный MadeYouReset. Множество серверных реализаций уязвимы, однако многие крупные платформы уже защищены благодаря контрмерам Rapid Reset (2023). Публикация — 13–14 августа, широкое обсуждение — 15–20 августа. (The Cloudflare Blog)

Как произошло (техразбор)
В отличие от Rapid Reset (клиент шлёт RST_STREAM), MadeYouReset вынуждает сервер самому слать RST_STREAM массово. Клиент намеренно вызывает протокольные ошибки (например, некорректные HEADERS/DATA), что заставляет сервер сбрасывать потоки и расходовать CPU/память на лавинообразную обработку ресетов. Уязвимы реализации, не лимитирующие и не трекингующие частоту server-sent resets. Для некоторых стеков требуется обновить библиотеки (например, Rust h2 < 0.4.11; в экосистеме Pingora уязвимость устраняется обновлением crate’а). Смягчают риск: лимиты SETTINGS_MAX_CONCURRENT_STREAMS, троттлинг RST_STREAM, rate limiting на уровне L7/L4, включённые митигаторы Rapid Reset. (The Cloudflare Blog)

Почему это важно (выводы, рекомендации)

• Проверьте версии HTTP/2-библиотек/фронтов (Nginx, Envoy, Netty, h2) и примените апдейты.
• Включите метрики по RST_STREAM и алертинг на аномалии.
• Реализуйте per-IP/переподключения rate-limits и активируйте DDoS-защиту для HTTP/2. (The Cloudflare Blog)

Источники

• Cloudflare (техразбор): blog.cloudflare.com/madeyoureset-an-http-2-vulnerability-thwarted-by-rapid-reset-mitigations (The Cloudflare Blog)

---

3) Microsoft SharePoint «ToolShell»: новые жертвы в Британии и продолжение кампании

Что произошло
Как минимум три организации в Великобритании сообщили регулятору о компрометации персональных данных через эксплойт-чейн ToolShell против on-prem SharePoint; массовая эксплуатация продолжается после июльских апдейтов. Дата — 19–20 августа. (The Record from Recorded Future)

Как произошло (техразбор)
Цепочка использует:

1. CVE-2025-53771 (spoofing / обход аутентификации) — специально сформированный Referer в POST на /_layouts/15/ToolPane.aspx?DisplayMode=Edit эмулирует легитимный рабочий поток.
2. CVE-2025-53770 (RCE через небезопасную десериализацию) — злонамеренный payload в теле POST.
   Далее атакующий разворачивает ASPX-вебшелл (типа spinstall0.aspx), извлекает machineKey Validation/DecryptionKey, после чего создаёт подписанные __VIEWSTATE полезные нагрузки (например, через ysoserial) для неаутентифицированного RCE даже после патча, пока ключи не ротацированы. Рекомендуется: установить внеплановые патчи KB5002768/KB5002754, срочно ротировать machineKey, изолировать опубликованные в интернет SharePoint, искать IOC (особенно аномальные Referer/запросы к ToolPane.aspx, появление spinstall0.aspx, спавн w3wp.exe с кодированным PowerShell). (wiz.io, msrc.microsoft.com)

Почему это важно (выводы, рекомендации)

• Одних патчей недостаточно без ротации ключей и ретроспективной охоты по IOC.
• Отдельный риск — эксфильтрация секретов и долговременный backdoor через подменённый ViewState.
• Сократите внешнюю доступность SharePoint, включите AMSI Full Mode, мониторьте создание/изменение файлов в ...LAYOUTS\. (wiz.io)

Источники

• MSRC Guidance: msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770 (msrc.microsoft.com)
• Wiz (детальный техразбор/IOC): wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k (wiz.io)
• The Record (UK кейсы): therecord.media/organizations-united-kingdom-sharepoint (The Record from Recorded Future)

---

4) Apple: экстренные апдейты для активно эксплуатируемого 0-day (CVE-2025-43300)

Что произошло
20 августа Apple выпустила внеплановые обновления iOS/iPadOS/macOS, закрывающие 0-day в ImageIO (out-of-bounds write), задействованный в «исключительно сложных» таргет-атаках. (BleepingComputer)

Как произошло (техразбор)
Обработка вредоносных изображений приводит к переписи памяти и RCE. Исправления: iOS/iPadOS 18.6.2, iPadOS 17.7.10 (для старых iPad), macOS Ventura 13.7.8, Sonoma 14.7.8, Sequoia 15.6.1 — улучшен bounds checking. Типичная эксплуатация: доставить изображение (мессенджеры/почта/веб), вызвать парсинг ImageIO для выполнения. (The Hacker News)

Почему это важно (выводы, рекомендации)

• Немедленно обновить устройства; на MDM внедрить принудительное обновление.
• В IR искать цепочки запуска ImageIO (Preview/QuickLook/Photosd) рядом со всплесками сети.
• Минимизировать автопредпросмотр вложений/ссылок в мессенджерах у VIP-персон. (BleepingComputer)

Источники

• BleepingComputer: bleepingcomputer.com/news/apple/apple-emergency-updates-fix-new-actively-exploited-zero-day (BleepingComputer)
• The Hacker News (версии/детали): thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html (The Hacker News)

---

5) Workday: компрометация данных через сторонний CRM (социнжиниринг)

Что произошло
18 августа Workday сообщил, что злоумышленники получили доступ к части клиентских контактных данных через стороннюю CRM-платформу (социнжиниринг операторов поддержки). Клиентские тенанты и данные в них не затронуты. (The Record from Recorded Future, Orange Belgium)

Как произошло (техразбор)
Атака в тренде кампаний против CRM (в т.ч. Salesforce): телефонные/IM-векторы, имперсонация ИТ-поддержки, элевейшн прав в CRM, выгрузка контактов (имена, e-mail, телефоны). Дальше — вторичная фаза (фишинг/вишинг на этих контактах), попытки расширить доступ к основным системам. Workday отрезал доступ и добавил дополнительные проверки. (The Record from Recorded Future)

Почему это важно (выводы, рекомендации)

• Разделяйте доступ к CRM и продуктивным средам, применяйте SCIM/JIT с минимальными правами.
• Обязателен MFA + запрет push-бомбинга для CRM, журналируйте массовые экспорты.
• Включите brand-monitoring и защиту доменов от фишинговых клонов, готовьте плейбуки уведомлений по утечке контактов. (The Record from Recorded Future)

Источники

• TechCrunch: techcrunch.com/2025/08/18/workday-breach-crm (Orange Belgium)
• The Record: therecord.media/workday-social-engineering-data-breach (The Record from Recorded Future)

---

6) Orange Belgium: утечка данных ~850 000 клиентов

Что произошло
20 августа оператор Orange Belgium сообщил о компрометации базы с данными примерно 850 тыс. клиентских аккаунтов. Идёт расследование, пострадавшим направляются уведомления. (The Record from Recorded Future)

Как произошло (техразбор)
Пока без подробностей вектора; известны затронутые типы данных (PII клиентов/учётные идентификаторы без платёжной информации). Риск — таргет-фишинг, SIM-swap-мошенничество. (Colt Technology Services)

Почему это важно (выводы, рекомендации)

• Провайдеры связи — высокорисковые цели из-за ценности KYC-данных.
• Рекомендации B2C: включить запрет на удалённую замену SIM, активировать PIN-на SIM/лицевом счёте, обучить службу поддержки анти-социнжинирингу.
• B2B: мониторинг попыток переноса номеров сотрудников-VIP. (The Record from Recorded Future)

Источники

• The Record: therecord.media/orange-belgium-data-breach-850000 (The Record from Recorded Future)
• Официально: corporate.orange.be/en/news/press-releases (Colt Technology Services)

---

7) Colt (UK): масштабные сбои из-за киберинцидента

Что произошло
15 августа британский телеком-оператор Colt подтвердил, что перебои связи вызваны киберинцидентом; восстановление и обновления статусов публиковались до 20–21 августа. (The Record from Recorded Future, Colt Technology Services)

Как произошло (техразбор)
Подробности вектора не раскрыты; по публичным апдейтам — затронуты IT-системы поддержки/управления. Схожие кейсы обычно включают: компрометацию админской станции (VPN/поставщик), lateral movement, отказоустойчивые сценарии на сети. Временные меры: изоляция сегментов, деградация некоторых сервисов, приоритетное восстановление backbone. (Colt Technology Services)

Почему это важно (выводы, рекомендации)

• Провайдерам критично тестировать изолированное управление и «ручные» процедуры аварийного переключения.
• Регулярно проводить CRP/табличные учения: утрата OSS/BSS, NOC-процедуры без части инструментов.
• Пересмотреть E2E-зависимости (включая SaaS/IDP), внедрить «break-glass»-аккаунты и офлайн-хранилище конфигов. (The Record from Recorded Future)

Источники

• The Record: therecord.media/uk-telecom-colt-outages-cyber-incident (The Record from Recorded Future)
• Статус-лента Colt: colt.net/uk/resources/network-status-updates (Colt Technology Services)

---

8) DPRK/Kimsuky: шпионская кампания против посольств в Сеуле с GitHub-C2

Что произошло
18 августа Trellix опубликовал исследование: северокорейская группа (Kimsuky) атаковала дипломатические миссии (март–июль), используя GitHub как C2 и многоступенчатую фишинговую цепочку. (trellix.com)

Как произошло (техразбор)

• Initial access: spear-phishing с ZIP (пароль), внутри LNK под видом PDF.
• Execution/Persistence: LNK запускает обфусцированный PowerShell, тянет payload с raw.githubusercontent[.]com, закрепляется планировщиком.
• C2/Exfil: GitHub API (Contents API) с PAT — загрузка собранных сведений (имя файла: IP-timestamp-*.txt) в приватные репозитории, чтение onf.txt как «маяка» с ссылкой на свежий RAT (Dropbox).
• RAT: модифицированный XenoRAT (кейлог, скриншоты, файловые операции, удалённая оболочка).
  MITRE: T1566.001/.002, T1059.001, T1053.005, T1567.002 и др. (trellix.com)

Почему это важно (выводы, рекомендации)

• Блокируйте GitHub как исходящий C2 по токен-паттернам/URL-сигнатурам, делайте egress-контроль.
• Отлавливайте LNK-приманки и PowerShell с Base64, включайте AMSI + Constrained Language Mode.
• Фильтруйте ZIP-вложения с паролем, обучайте дипмиссии и МИД-структуры таргет-фишингу. (trellix.com)

Источники

• Trellix (full tech): trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign (trellix.com)

---

9) Австралия (TPG/iiNet): очередной инцидент у телеком-провайдера

Что произошло
19 августа TPG Telecom (бренды iiNet и др.) сообщил об инциденте безопасности, повлиявшем на данные клиентов; регуляторы уведомлены. (Orange Belgium)

Как произошло (техразбор)
Детали вектора не раскрыты на момент публикации; телеком-цепочка часто включает компрометацию порталов самообслуживания/CRM, с последующими атаками SIM-swap и фишингом на базе утёкших контактов. (Orange Belgium)

Почему это важно (выводы, рекомендации)

• Проверить процессы порт-аутов, усилить KBA и контроль по UBA для операций со счетом.
• Включить рассылку клиентам об усилении защит (PIN/alerts), подготовить FAQ/скрипты поддержки. (Orange Belgium)

Источники

• Reuters: reuters.com/world/asia-pacific/australian-telecom-provider-iinet-hit-by-cybersecurity-incident (Orange Belgium)

---

10) Злоупотребление AI-конструктором сайтов Lovable для фишинга/мэлуэра

Что произошло
20 августа зафиксирован рост злоупотребления AI-платформой Lovable для генерации фишинг-страниц, загрузчиков и мошеннических сайтов. (BleepingComputer)

Как произошло (техразбор)
Преступники автомасштабируют массовую генерацию лендингов/хостинг с реальным TLS и человеческим копирайтом. Цепочки: быстрый выпуск шаблонов, интеграция с URL-шортенерами/SMTP-рассылками, замена доменов при блокировке. Технически это «as-a-service» злоупотребление удобной no-code/AI-средой. (BleepingComputer)

Почему это важно (выводы, рекомендации)

• Детектируйте по поведенческим признакам (однотипные формы/скрипты, аномально молодые домены, лабораторные favicon/логотипы).
• Внедрите brand-monitoring и автоматический takedown; усиливайте контент-фильтрацию на прокси/SEC-шлюзах. (BleepingComputer)

Источники

• BleepingComputer: bleepingcomputer.com/news/security/ai-website-builder-lovable-increasingly-abused-for-malicious-activity (BleepingComputer)

---

11) OpenAI «ChatGPT Go» в Индии: новый ценовой план и риски для злоупотреблений

Что произошло
OpenAI запустила самый дешёвый план ChatGPT Go в Индии — ₹399/мес (~$4.6), +10× лимиты сообщений/картинок и 2× память vs free. Анонс 18–19 августа. (The Economic Times, Investing.com)

Как произошло (техразбор)
Технически — увеличенные квоты API/ресурсов для конечных пользователей, локализованные платежи (UPI). Это расширяет доступ к генеративным возможностям (текст/изображения/файлы) и повышает вероятность массового злоупотребления (генерация фишинга/спама/социнж), если провайдеры не усилят антиабьюз-контроли. (The Economic Times)

Почему это важно (выводы, рекомендации)

• Обновите DLP/anti-abuse политики: мониторинг трафика к публичным ИИ, контроль выгрузок файлов.
• Обучение сотрудников рискам генеративного фишинга/вишинга на местных языках. (The Economic Times)

Источники

• Economic Times: economictimes.com/tech/artificial-intelligence/chatgpt-go-openai-rolls-out-its-cheapest-chatgpt-plan-for-india-at-rs-399 (The Economic Times)
• Reuters (через Investing.com): investing.com/news/economy-news/openai-rolls-out-cheapest-chatgpt-plan-at-46-in-india-to-chase-growth-4198994 (Investing.com)

---

12) Канада × Cohere: меморандум о внедрении ИИ в госуслугах

Что произошло
19 августа правительство Канады подписало MOU с Cohere для пилотов и масштабирования ИИ в госоперациях (эффективность услуг, приоритет «ответственного ИИ»). (BNN Bloomberg, Global News)

Как произошло (техразбор)
Формат MOU: совместные PoC/пилоты, интеграция LLM-сервисов в процессы, потенциальная локальная инфраструктура/суверенный стек (на фоне недавнего финансирования и роста Cohere). Важны вопросы: изоляция данных, аудит подсказок/логов, контроль побочных каналов и рисков конфиденциальности. (BNN Bloomberg)

Почему это важно (выводы, рекомендации)

• Для гос-ИИ требуются политики хранения/анонимизации, разграничение переменных секретов, трассируемость выводов.
• Вендор-оценка: supply-chain, поведенческая безопасность агентов, защита от data leakage. (Global News)

Источники

• BNN Bloomberg: bnnbloomberg.ca/business/artificial-intelligence/2025/08/19/ottawa-signs-agreement-with-toronto-based-artificial-intelligence-company (BNN Bloomberg)
• Global News: globalnews.ca/news/11341010/ottawa-cohere-ai-public-service (Global News)

---

13) Германия: риск запрета блокировщиков рекламы — эффект на безопасность

Что произошло
Решение Федерального суда (BGH) вернуло дело Eyeo (Adblock Plus) против Axel Springer на новое рассмотрение, Mozilla предупреждает о риске запрета адблокеров и даже расширений, влияющих на DOM/CSSOM. Пик обсуждения — 18–20 августа. (BleepingComputer)

Как произошло (техразбор)
Юридическая трактовка: модификация контента браузерными расширениями может трактоваться как нарушение авторских прав/прав на представление контента. Потенциальный запрет затронет не только адблокеры, но и часть security-расширений (anti-tracking, privacy, accessibility), зависящих от DOM-хуков. (TechRadar)

Почему это важно (выводы, рекомендации)

• Для корпоративной безопасности браузера может потребоваться альтернативная защита (DNS-фильтрация, прокси на шлюзе, ETP/Network-level blocking).
• Следить за судебной практикой: риск для экосистемы расширений в ЕС. (blog.mozilla.org)

Источники

• BleepingComputer: bleepingcomputer.com/news/legal/mozilla-warns-germany-could-soon-declare-ad-blockers-illegal (BleepingComputer)
• TechRadar (обзор/контекст): techradar.com/vpn/vpn-privacy-security/germanys-possible-ad-blocker-ban-could-threaten-user-freedom-and-privacy-says-mozilla (TechRadar)
• Mozilla блог: blog.mozilla.org/netpolicy/2025/08/14/is-germany-on-the-brink-of-banning-ad-blockers (blog.mozilla.org)

---

14) Россия: концепция регулирования ИИ до 2030 года (проект)

Что произошло
20 августа Минцифры РФ подготовило проект концепции регулирования ИИ до 2030 (человекоориентированность, техсуверенитет, запрет «очеловечивания» ИИ и т.д.). Подлинность документа подтверждена источниками, это проект до межведомческого согласования. (Ведомости, CNews.ru)

Как произошло (техразбор)
Концепция задаёт принципы и рамки для будущих норм: идентификация рисков ИИ-систем, ответственность разработчиков/внедряющих, требования к маркировке/прозрачности, насмотрению на использование ИИ в киберпреступлениях и др. Детальных норм нет — это «зонтик», который ляжет в основу законопроектов/ГОСТ-подходов (после обсуждений). (Ведомости)

Почему это важно (выводы, рекомендации)

• Для компаний на рынке РФ — готовить реестр ИИ-систем, процессы оценки рисков, документацию по датасетам и трассируемости.
• Пересмотреть политику ответственности и соответствие этическим принципам/приватности. (CNews.ru)

Источники

• «Ведомости»: vedomosti.ru/economics/articles/2025/08/20/1132830-mintsifri-podgotovilo-kontseptsiyu-regulirovaniya-iskusstvennogo-intellekta (Ведомости)
• CNews: cnews.ru/news/top/2025-08-20_v_rossii_poyavilas_kontseptsiya (CNews.ru)

---

Замечания по охвату

• Сфокусировался на событиях 15–20 августа и дополнил список наиболее значимыми (критические CVE, массовые кампании, крупные инциденты у телекомов/BigTech, регуляторка ИИ).
• «Как произошло» в каждом пункте даёт практические детали: векторы, цепочки эксплуатации, версии/патчи, IOC, рекомендации IR/Hardening.
• Если хочешь — соберу отдельный технический чек-лист (детальные команды поиска IOC, Sigma/квери для SIEM, шаблон уведомления клиентов) под выбранные пункты.