Исследователь СайберОК обнаружил 0-day уязвимость в SCADA-системе Пульт.онлайн.

Уязвимость связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом брутфорса.

Несмотря на то, что SCADA-системы по своей природе не должны торчать в Интернет, мы регулярно встречаем компоненты АСУ ТП при сканировании — включая Пульт.онлайн.

Затронутые версии: все до 3230
Исправлено в версии: 3230 и выше

Уязвимости присвоен идентификатор BDU:2025-01130

Рекомендации:
• Немедленно обновить систему до версии 3230.

В популярной веб-почте Roundcube Webmail обнаружена критическая уязвимость CVE-2025-49113 с базовым баллом CVSS 9.9 из 10.0.

Эксплуатация уязвимости тривиальна, и мы уверены, что боевой эксплойт не заставит себя долго ждать.

На радарах СКИПА мы наблюдаем более 78 тысяч уникальных инсталляций с Roundcube Webmail на просторах Рунета, из которых около 85% оказались потенциально уязвимыми к CVE-2025-49113.

Уязвимость позволяет аутентифицированным пользователям выполнять произвольный код через PHP Object Deserialization.

Проблема заключается в отсутствии валидации параметра _from в URL-адресах, что происходит в файле program/actions/settings/upload.php. Это приводит к небезопасной десериализации PHP-объектов, позволяя злоумышленникам с действующими учетными данными выполнять удаленный код на сервере.

Затронутые версии:
• Все версии Roundcube Webmail до 1.5.10
• Версии 1.6.x до 1.6.11

Особенности уязвимости:
Уязвимость была обнаружена исследователем Kirill Firsov из компании FearsOff, которая планирует опубликовать технические детали и proof-of-concept после предоставления пользователям достаточного времени для применения патчей.

Несмотря на то, что для эксплуатации требуется аутентификация, критический CVSS-балл обусловлен возможностью полной компрометации системы при успешной атаке.

Рекомендации:
• Немедленно обновите Roundcube Webmail до версий 1.6.11 или 1.5.10 LTS
• Проверьте логи веб-сервера на подозрительные запросы к /program/actions/settings/upload.php
• Ограничьте права загрузки файлов только доверенным пользователям
• Рассмотрите возможность временного отключения функций загрузки до обновления
• Проведите аудит всех установленных плагинов и расширений Roundcube

Roundcube Webmail широко используется хостинг-провайдерами и корпоративными инфраструктурами для предоставления веб-интерфейса электронной почты.

В апреле 2025 года в популярном PHP-фреймворке Yii 2 была раскрыта критическая уязвимость CVE-2024-58136 с базовым баллом CVSS 9.0, активно используемая в реальных атаках начиная с февраля 2025 года.

Уязвимость представляет собой регрессию ранее исправленной CVE-2024-4990 и затрагивает механизм прикрепления поведений (behaviors) к компонентам через обработку class array key.

Проблема возникает в магическом методе set() класса yii\base\Component при обработке свойств, начинающихся с префикса "as ". Злоумышленник может обойти патч CVE-2024-4990, добавив свойство "class" с ссылкой на легитимный Behavior класс, что позволяет инстанцировать произвольные объекты и достичь удаленного выполнения кода (RCE).

Условия эксплуатации:
• Приложение должно принимать пользовательский ввод в формате JSON.
• Наличие эндпоинтов, обрабатывающих параметры с префиксом "as ".
• Доступность классов для инстанцирования в контексте приложения.

Активная эксплуатация:
Уязвимость активно эксплуатируется в реальных атаках с февраля 2025 года, особенно в связке с CVE-2025-32432 для компрометации CraftCMS-инсталляций, о чем ранее сообщали специалисты СайберОК.

Рекомендации:
• Немедленно обновите Yii 2 до версии 2.0.52 или более поздней.
• Проверьте логи приложения на подозрительные запросы с параметрами "as ".
• Реализуйте дополнительную валидацию входных данных JSON.
• Ограничьте доступные для инстанцирования классы в конфигурации приложения.
• Рассмотрите временное отключение динамического прикрепления поведений.

Фреймворк Yii 2 широко используется в корпоративных веб-приложениях. В подтверждение этому, на просторах Рунета СКИПА фиксирует около 5 тысяч уникальных инсталляций этого ПО.

Несмотря на то, что потенциально уязвимые версии ПО обнаружены на 45% хостов, в связи с дополнительными условиями, которые необходимы для успешной эксплуатации, мы оцениваем, что реально уязвимых сервисов существенно меньше.

Спешим поделиться итогами участия CyberOK в международном киберфестивале PHDays!

Наши эксперты выступили с тремя докладами — делились опытом, свежими находками и практическими подходами.

Смотрите записи и листайте презентации у нас в телеграм:
• Опыт участия в создании индекса киберустойчивости
• А был ли патчик? Или как долго живут уязвимости в Рунете
• Предсказуемывай это! Анализируем интернет быстро, качественно, дешево

А также, эксперты СайберОК приняли участие в кибербитве Standoff 15 в составе команды Dataeli&only_f4st и вошли в первую тройку, разделив с другими игроками призовой фонд в $50 000. Гордимся.

До скорых встреч на следующих фестивалях!

Специалист компании СайберОК обнаружил уязвимость в Mozilla Thunderbird, связанную с некорректной обработкой заголовков электронной почты, используемого для указания отправителя.

Эксплуатация уязвимости позволяет злоумышленнику, действующему удалённо, проводить спуфинг атаки, что может привести к подмене отправителя в письмах.

Уязвимость затрагивает версии Thunderbird < 128.10.1 и Thunderbird < 138.0.1.

Уязвимости присвоены идентификаторы:
• CVE-2025-3875
• BDU:2025-04709

Вендор рекомендует немедленно обновить Thunderbird до версии 138.0.1, чтобы обеспечить защиту от данной уязвимости.

Полезные ссылки:
• GitHub
• NIST

Исследователь СайберОК – Алексей Седой – выявил уязвимость типа IDOR (Insecure Direct Object Reference) в механизмах интеграции чат-центра компании edna.

Уязвимость позволяет неаутентифицированному пользователю получить несанкционированный доступ к любым чатам, содержащим конфиденциальные данные.

По данным системы мониторинга СКИПА, в Рунете насчитывается около 100 ресурсов, подверженных данной проблеме.

Клиенты СайберОК СКИПА PentOps были уведомлены об уязвимости 15 января.

Рекомендации:
Рекомендуем связаться с производителем для устранения проблемы.

Полезные ссылки:
• Интеграция виджета Чата
• Настройка Android
• Настройка ios

В новой статье рассказали, как на Кибериспытаниях на Standoff365 наша команда нашла открытую Grafana у заказчика и добилась недопустимого события — всё на этапе начального рекона и без особых сложностей.

В статье:
• Как провести рекон Grafana и собрать инфу о сети.
• Использование плагинов для SSRF, портскана и брутфорса.
• Потенциал SQL-инъекций и проксирования через Grafana.
• Чеклисты для Red Team и Blue Team.

Читать на Хабре или на сайте.