Еженедельный дайджест КБ, ИИ и ИТ (23–29 января 2026)

На неделе заметны сразу несколько крупных сюжетов: критические уязвимости в Fortinet и Cisco с риском массовой компрометации, внеплановый патч Microsoft для Office из-за обхода защитных механизмов, а также серия громких утечек и вымогательских атак в рознице и сервисах массового спроса. Отдельно выделяются атаки с социальной инженерией, вишинг и коды SSO, а также исследовательские публикации о рисках отравления данных для генеративных моделей и слабой защите секретов в мобильных приложениях на базе ИИ.

Ключевые события недели

Fortinet CVE-2026-24858: FortiCloud SSO обход аутентификации, критическая
Тип: Уязвимость · Дата события: 27.01.2026 · География: Глобально, компания США · CVSS: 9.4
Что произошло: Fortinet выпустил срочный патч для критической уязвимости CVE-2026-24858, позволяющей обходить аутентификацию в FortiCloud SSO. Уязвимость уже активно эксплуатируется в дикой среде и внесена CISA в список KEV.
Как это произошло: Проблема связана с недостаточной проверкой токенов аутентификации в компоненте FortiCloud SSO. Злоумышленник может сформировать специальный запрос и получить доступ без логина и пароля, включая привилегированные сессии.
Почему это важно: Fortinet часто используется как периметровое оборудование и VPN в корпоративных сетях. Компрометация SSO означает риск полного захвата управления сетевой инфраструктурой, горизонтального перемещения и развертывания вымогательского ПО.
Источники

Fortinet Patches Exploited FortiCloud SSO Authentication Bypass Flaw — https://www.securityweek.com/fortinet-patches-exploited-forticloud-sso-authentication-bypass-flaw/

Cisco CVE-2026-20045: удалённое выполнение кода в Unified Communications, критическая
Тип: Уязвимость · Дата события: 26.01.2026 · География: Глобально, компания США · CVSS: 9.8
Что произошло: Cisco исправила критическую уязвимость удалённого выполнения кода CVE-2026-20045 в Unified Communications Manager. Эксплойт позволяет выполнить произвольный код на сервере без аутентификации при определенных конфигурациях.
Как это произошло: Уязвимость связана с некорректной обработкой SIP сообщений и недостаточной проверкой входных данных. Злоумышленник может отправить специально сформированный запрос по сети и добиться выполнения кода с системными правами.
Почему это важно: UC инфраструктура часто имеет доверенные связи с корпоративной сетью и Active Directory. Успешная эксплуатация может привести к компрометации учетных данных, перехвату звонков, шпионажу и расширению атаки на всю организацию.
Источники

Cisco Fixes Critical Unified Communications Flaw With 9.8 Severity — https://thehackernews.com/2026/01/cisco-fixes-critical-unified.html

Microsoft Office CVE-2026-21509: обход защитной функции, OOB Patch
Тип: Уязвимость · Дата события: 24.01.2026 · География: Глобально, компания США · CVSS: 8.8
Что произошло: Microsoft выпустила внеплановый патч для Office из-за уязвимости CVE-2026-21509, позволяющей обходить защитные механизмы при открытии специально подготовленных документов.
Как это произошло: Уязвимость связана с обработкой объектов в Office и обходом механизмов блокировки небезопасного контента. В результате вредоносный документ может запускать цепочку атак, минуя стандартные ограничения.
Почему это важно: Office остается одним из главных векторов первичного проникновения через фишинг и вложения. Внеплановый патч указывает на высокий риск эксплуатации и необходимость ускоренного обновления рабочих станций.
Источники

Microsoft Releases Out-of-Band Patch for Office Zero-Day CVE-2026-21509 — https://www.bleepingcomputer.com/news/security/microsoft-releases-out-of-band-patch-for-office-zero-day-cve-2026-21509/

Nike WorldLeaks вымогательская атака: 1.4 TB R&D Intellectual Property
Тип: Утечка данных · Дата события: 23.01.2026 · География: США · Объем: 1.4 TB
Что произошло: Группа WorldLeaks заявила о вымогательской атаке на Nike и публикации 1,4 ТБ данных, включая материалы НИОКР и внутреннюю интеллектуальную собственность.
Как это произошло: По заявлениям злоумышленников, доступ был получен через корпоративную инфраструктуру, после чего данные эксфильтрованы и размещены для давления на компанию.
Почему это важно: Утечка НИОКР и технологических материалов может повлиять на конкурентоспособность, цепочки поставок и судебные риски. Для отрасли это сигнал о росте атак на интеллектуальную собственность.
Источники

Nike data breach claims stolen R&D info, 1.4TB leaked by WorldLeaks — https://www.bleepingcomputer.com/news/security/nike-data-breach-claims-stolen-r-d-info-14tb-leaked-by-worldleaks/

ShinyHunters кампания голосового фишинга: Crunchbase, 2M records, Betterment, 20M, SoundCloud
Тип: Социальная инженерия · Дата события: 24.01.2026 · География: США и глобально
Что произошло: ShinyHunters провели серию атак с голосовым фишингом, нацеленных на получение кодов SSO и обход многофакторной аутентификации. В результате появились сообщения о компрометациях и утечках, затрагивающих Crunchbase, Betterment и другие сервисы.
Как это произошло: Атака строится на звонках сотрудникам и убеждении выдать одноразовые коды, коды подтверждения или выполнить действия в SSO системе. Далее злоумышленники закрепляются в аккаунтах и расширяют доступ.
Почему это важно: Вишинг обходит даже хорошо настроенную многофакторную аутентификацию за счет человеческого фактора. Организациям требуется усиление процедур подтверждения, обучение персонала и ограничения на выдачу кодов и смену факторов.
Источники

ShinyHunters Using Okta SSO Codes in Vishing Attacks to Hack Accounts — https://thehackernews.com/2026/01/shinyhunters-using-okta-sso.html
Crunchbase says user data leaked after vishing and ransomware attack — https://www.bleepingcomputer.com/news/security/crunchbase-says-user-data-leaked-after-vishing-and-ransomware-attack/
Betterment says 20M records stolen in social engineering attack — https://www.bleepingcomputer.com/news/security/betterment-says-20m-records-stolen-in-social-engineering-attack/

McDonald’s India Everest вымогательская атака: 861 GB Data Dump
Тип: Утечка данных · Дата события: 25.01.2026 · География: Индия · Объем: 861 GB
Что произошло: Группа Everest заявила о вымогательской атаке на McDonald’s India и публикации 861 ГБ данных, включая документы и внутренние материалы.
Как это произошло: По данным злоумышленников, доступ получен через корпоративные системы подрядчиков и внутренние сервисы. Далее данные были выгружены и размещены для давления.
Почему это важно: Атаки на крупные бренды в регионах часто приводят к утечкам данных клиентов и партнеров, а также к нарушениям работы. Это повышает требования к управлению подрядчиками и сегментации инфраструктуры.
Источники

Everest Ransomware Gang Leaks 861 GB McDonald’s India Data — https://cyberpress.org/everest-ransomware-mcdonalds-india-data/

Chainlit AI Framework CVE-2026-22218 & CVE-2026-22219: Arbitrary File Read + SSRF
Тип: Уязвимость · Дата события: 24.01.2026 · География: Глобально, с открытым исходным кодом
Что произошло: В популярном фреймворке Chainlit, инструмент для создания приложений на базе GPT/LLM выявлены и исправлены две опасные уязвимости: CVE-2026-22218, Arbitrary File Read и CVE-2026-22219, Server-Side Request Forgery. Они позволяют неавторизованному злоумышленнику, обратившись к уязвимому веб-интерфейсу Chainlit, прочитать любые файлы на сервере или отправлять произвольные HTTP-запросы от имени сервера, SSRF соответственно.
Как это произошло: Уязвимости связаны с некорректной валидацией входных параметров API Chainlit. В одном случае API-запрос позволял указать путь к файлу на сервере, и приложение возвращало его содержимое, например, /etc/passwd или ключи.
Почему это важно: Chainlit широко применяется разработчиками для прототипирования AI-чатботов и интеграции LLM. Баги Arbitrary File Read/SSRF могли дать хакеру полный доступ к секретам развёртывания – API-ключам OpenAI, конфигам БД, токенам – что в итоге означало компрометацию всей AI-инфраструктуры.
Источники

GitHub Security Advisory GHSA-gm79-2pvc-wc75, CVE-2026-22218 — https://github.com/advisories/GHSA-gm79-2pvc-wc75
GitHub Security Advisory GHSA-2g59-m95p-pgfq, CVE-2026-22219 — https://github.com/advisories/GHSA-2g59-m95p-pgfq
NVD, CVE-2026-22218 — https://nvd.nist.gov/vuln/detail/CVE-2026-22218
NVD, CVE-2026-22219 — https://nvd.nist.gov/vuln/detail/CVE-2026-22219
Chainlit release 2.9.4 — https://github.com/Chainlit/chainlit/releases/tag/2.9.4

149 Million Infostealer Credential Database Exposure
Тип: Утечка данных · Дата события: 24.01.2026 · География: Глобально
Что произошло: Обнаружена открытая база данных с 149 млн записей, содержащих логины и пароли, похищенные инфостилерами. Данные включают учетные записи от популярных сервисов и корпоративных ресурсов.
Как это произошло: База была размещена без должной защиты, вероятно в рамках инфраструктуры, используемой для хранения результатов работы вредоносного ПО. Доступ к ней мог получить любой, кто нашел endpoint.
Почему это важно: Масштабные утечки учетных данных усиливают риск подбора паролей, захвата учетных записей и компрометации корпоративных систем. Организациям необходимо принудительно обновлять пароли, внедрять устойчивую многофакторную аутентификацию и мониторить утечки.
Источники

149 Million Infostealer Credentials Exposed in Unsecured Database — https://www.bleepingcomputer.com/news/security/149-million-infostealer-credentials-exposed-in-unsecured-database/

Credential Stuffing Attack Wave: Account Takeovers surge, Jan 2026
Тип: Атака · Дата события: 25.01.2026 · География: Глобально
Что произошло: Зафиксирована волна атак по подбору паролей по утёкшим учётным данным с резким ростом захватов учетных записей в январе 2026. Атаки затронули ряд онлайн-сервисов и приложений.
Как это произошло: Злоумышленники используют утекшие пары логин-пароль из старых баз и автоматически перебирают их на новых сервисах. При совпадении пароля происходит захват аккаунта.
Почему это важно: Это массовый и дешевый способ компрометации пользователей, особенно при повторном использовании паролей. Защита требует антибот-мер, ограничений по скорости, детекта аномалий, принудительного сброса паролей и многофакторной аутентификации.
Источники

Credential Stuffing Attacks Surge in Jan 2026 with Massive Account Takeovers — https://www.bleepingcomputer.com/news/security/credential-stuffing-attacks-surge-in-jan-2026-with-massive-account-takeovers/

Under Armour Everest вымогательская атака: 72.7 M Customers, утечка данных
Тип: Утечка данных · Дата события: 26.01.2026 · География: США · Объем: 72.7 M
Что произошло: Группа Everest заявила о вымогательской атаке на Under Armour и утечке данных 72,7 млн клиентов, включая персональные данные и детали заказов.
Как это произошло: По заявлениям злоумышленников, доступ был получен через корпоративную сеть, после чего данные эксфильтрованы и опубликованы.
Почему это важно: Массовая утечка персональных данных усиливает риски мошенничества, фишинга и финансовых потерь пользователей. Компании грозят регуляторные и судебные последствия, а также ущерб репутации.
Источники

Everest ransomware leaks 72.7 million Under Armour customer records — https://www.bleepingcomputer.com/news/security/everest-ransomware-leaks-727-million-under-armour-customer-records/

Grubhub ShinyHunters Data Leak: Class-action Filed
Тип: Судебный иск · Дата события: 27.01.2026 · География: США
Что произошло: После утечки данных Grubhub, связанной с ShinyHunters, в США подан коллективный иск. Истцы указывают на недостаточные меры защиты и ущерб пользователям.
Как это произошло: Утечка, по сообщениям, связана с компрометацией учетных данных и доступом к внутренним системам, что позволило злоумышленникам получить и распространить данные.
Почему это важно: Коллективные иски повышают финансовые и репутационные риски для компаний после инцидентов. Это усиливает давление на внедрение управляемых программ безопасности, мониторинга и своевременных уведомлений.
Источники

Grubhub Hit with Class Action Lawsuit Following ShinyHunters Data Breach — https://www.bleepingcomputer.com/news/security/grubhub-hit-with-class-action-lawsuit-following-shinyhunters-data-breach/

ASRock Rack Supply Chain компрометация: 509 GB Trade Secrets Stolen
Тип: Атака на цепочку поставок · Дата события: 27.01.2026 · География: Тайвань · Объем: 509 GB
Что произошло: ASRock Rack сообщила о компрометации, в результате которой похищены 509 ГБ коммерческих секретов. Инцидент позиционируется как атака на цепочку поставок и корпоративные разработки.
Как это произошло: По доступной информации, злоумышленники получили доступ к внутренним ресурсам и исходным материалам, после чего эксфильтровали данные.
Почему это важно: Утечки коммерческих секретов и технологической документации критичны для производителей оборудования. Это затрагивает клиентов, партнеров и потенциально создает риск внедрения закладок и дальнейших атак через поставки.
Источники

ASRock Rack suffers 509GB data theft in supply chain attack — https://www.bleepingcomputer.com/news/security/asrock-rack-suffers-509gb-data-theft-in-supply-chain-attack/

Pakistan-linked APT “Gopher Strike” Targets Indian Government, Espionage
Тип: Кибершпионаж · Дата события: 24.01.2026 · География: Индия
Что произошло: Исследователи сообщили о кампании кибершпионажа, связанной с пакистанскими группировками, нацеленной на государственные структуры Индии. Используются фишинговые цепочки и вредоносные загрузчики.
Как это произошло: Основной вектор — целевой фишинг с вложениями и ссылками. После открытия происходит выполнение вредоносного кода и закрепление, далее сбор данных и перехват документов.
Почему это важно: Геополитически мотивированные APT-кампании часто нацелены на критически важные данные и стратегические документы. Для защиты нужны меры EDR, фильтрация почты, сегментация и ограничения на макросы и скрипты.
Источники

Pakistan-linked hackers target Indian government in new espionage campaign — https://www.bleepingcomputer.com/news/security/pakistan-linked-hackers-target-indian-government-in-new-espionage-campaign/

Generative AI Model Poisoning Concerns, тренд
Тип: Аналитика · Дата события: 24.01.2026 · География: Глобально
Что произошло: Обсуждается растущий риск отравления данных для генеративных моделей, когда злоумышленники внедряют вредоносные или искаженные примеры в обучающие датасеты. Это может приводить к скрытым триггерам и управляемому поведению модели.
Как это произошло: Отравление происходит через публичные источники данных, репозитории, форумы и контент-платформы. В результате модель может воспроизводить вредоносные ответы или раскрывать нежелательные данные при определенных запросах.
Почему это важно: Для организаций, использующих генеративные модели, риск смещается от классических уязвимостей к рискам данных и цепочек поставок. Нужны процедуры верификации данных, контроль источников и тестирование модели на устойчивость.
Источники

AI Model Poisoning Is Emerging as a Serious Security Threat — https://www.wired.com/story/ai-model-poisoning-security-threat/

Android AI Apps Hardcoded Secrets: 700 TB User Data Exposed, исследование
Тип: Исследование · Дата события: 23.01.2026 · География: Глобально · Объем: 700 TB
Что произошло: Исследование выявило, что ряд Android приложений на базе ИИ содержит жестко зашитые секреты, ключи и токены, что привело к риску раскрытия больших объемов пользовательских данных.
Как это произошло: Разработчики оставляли ключи и учетные данные в коде приложения или в конфигурациях. Это позволяло извлекать их через анализ приложения и получать доступ к облачным хранилищам и API.
Почему это важно: Утечки секретов в мобильных приложениях масштабируют риск компрометации бэкенда и хранилищ. Требуются процедуры безопасной разработки, хранение секретов вне клиента и регулярный аудит.
Источники

700TB of data exposed due to hardcoded secrets in Android AI apps — https://www.bleepingcomputer.com/news/security/700tb-of-data-exposed-due-to-hardcoded-secrets-in-android-ai-apps/

Delta Smart Alarms кибератака, Russia – Car Immobilizations
Тип: Инцидент · Дата события: 26.01.2026 · География: Россия
Что произошло: Сообщается о кибератаке на сервис Delta Smart Alarms, после которой у пользователей возникли проблемы с дистанционными функциями автомобилей, включая обездвиживание транспорта.
Как это произошло: По сообщениям, затронута инфраструктура удаленного управления и сервисные компоненты. Это привело к сбоям в работе приложений и недоступности функций у клиентов.
Почему это важно: Инциденты в системах телематики и удаленного управления автомобилями напрямую влияют на безопасность и доступность. Требуются резервирование, сегментация, а также строгий контроль доступа и мониторинг аномалий.
Источники

Russian car alarm service Delta Smart suffers cyberattack, immobilizes vehicles — https://www.bleepingcomputer.com/news/security/russian-car-alarm-service-delta-smart-suffers-cyberattack-immobilizes-vehicles/

USMS Crypto Wallets компрометация: $60 M Seized Assets Stolen, расследование
Тип: Инцидент · Дата события: 27.01.2026 · География: США · Объем: $60 M
Что произошло: Сообщается о компрометации криптокошельков, связанных с активами, изъятыми US Marshals Service, с ущербом около 60 млн долларов. Проводится расследование обстоятельств инцидента.
Как это произошло: Детали не полностью раскрыты, но рассматриваются версии компрометации ключей доступа и ошибок хранения. Возможен доступ через внешних подрядчиков или внутренние процессы.
Почему это важно: Инцидент показывает риски хранения и управления ключами, особенно в госструктурах и финансовых операциях с цифровыми активами. Необходимы аппаратные хранилища, разделение доступа и регулярные аудиты.
Источники

U.S. Marshals Service investigating theft of $60M in seized crypto — https://www.bleepingcomputer.com/news/security/us-marshals-service-investigating-theft-of-60m-in-seized-crypto/

Panera Bread утечка данных: 14 Million Records, ShinyHunters
Тип: Утечка данных · Дата события: 27.01.2026 · География: США · Объем: 14 M
Что произошло: Появились сообщения об утечке данных Panera Bread, связанной с ShinyHunters, с масштабом около 14 млн записей.
Как это произошло: Вероятный сценарий включает компрометацию учетных данных и доступ к внутренним системам, после чего данные были собраны и опубликованы.
Почему это важно: Утечки в сетях общественного питания приводят к фишингу и мошенничеству против клиентов. Для компаний это риск штрафов, судебных исков и роста затрат на реагирование и уведомления.
Источники

ShinyHunters leaks 14 million Panera Bread customer records — https://www.bleepingcomputer.com/news/security/shinyhunters-leaks-14-million-panera-bread-customer-records/

Fake Moltbot Visual Studio Code Extension Drops ScreenConnect RAT
Тип: Вредоносное ПО · Дата события: 28.01.2026 · География: Глобально
Что произошло: Обнаружено поддельное расширение для Visual Studio Code, распространяющее вредоносное ПО ScreenConnect RAT. Расширение маскировалось под полезный инструмент и загружало удаленный доступ.
Как это произошло: Злоумышленники разместили расширение в магазине, использовали социальную инженерию и SEO для привлечения установок. После установки происходило скачивание и запуск компонента удаленного управления.
Почему это важно: Компрометация инструментов разработчика — риск для цепочки поставок ПО. Это может привести к утечке исходников, токенов и ключей, а также к внедрению вредоносного кода в проекты.
Источники

Fake VS Code extension installs ScreenConnect RAT malware on developer machines — https://www.bleepingcomputer.com/news/security/fake-vs-code-extension-installs-screenconnect-rat-malware-on-developer-machines/

Konni APT: сгенерированный ИИ PowerShell Backdoor vs Blockchain Devs
Тип: Кибершпионаж · Дата события: 28.01.2026 · География: Глобально
Что произошло: Исследователи сообщили о деятельности Konni APT против разработчиков в блокчейн-сфере. В атаках применялся PowerShell бэкдор с элементами кода, предположительно сгенерированного ИИ, и социальная инженерия.
Как это произошло: Вектор включает фишинговые письма и вложения, после открытия происходит запуск скриптов, загрузка бэкдора и последующий сбор данных. Используются механизмы скрытности и маскировки.
Почему это важно: Сфера блокчейн разработки содержит ценные ключи и доступы к активам. Комбинация социальной инженерии и автоматизированной генерации кода повышает вариативность вредоносных цепочек и усложняет детектирование.
Источники