31.07.2025
Липень видався насиченим на інциденти у сфері кібербезпеки. Провідні технологічні компанії, зокрема Google, Microsoft та Cisco, оголосили про усунення критичних вразливостей, частина з яких уже активно експлуатувалася зловмисниками. Деякі проблеми, як-от уразливість у Chrome чи SharePoint, стали об’єктами масштабних атак, що підкреслює: zero-day залишаються одним із головних викликів для корпоративного захисту.
У цьому дайджесті п’ять ключових новин про кіберзагрози, патчі та шахрайські кампанії. Читайте, щоб залишатися на крок попереду.
Google усунув критичну вразливість нульового дня, яку вже експлуатували хакери
1 липня 2025 року компанія Google випустила оновлення безпеки для веббраузера Chrome, яке виправляє критичну уразливість нульового дня – CVE-2025-6554. Помилка виявлена у рушії V8, який відповідає за виконання JavaScript і WebAssembly у Chrome.
Уразливість класифіковано як out-of-bounds write, що означає запис за межами допустимої області пам’яті, що може призвести до аварійного завершення роботи або до виконання довільного коду. Google підтвердив, що ця вразливість вже активно експлуатувалась у реальних атаках. Її виявив Клеман Лесіньє з команди Google Threat Analysis Group (TAG) 25 червня 2025 року.
У відповідь на це Google випустив оновлення Chrome для всіх платформ, а саме: 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для macOS та 138.0.7204.96 для Linux.
На даний момент компанія утримується від публікації технічних деталей, щоб дати змогу більшості користувачів оновити свої браузери та зменшити ризики подальшої експлуатації. CVE-2025-6554 – це вже четверта вразливість нульового дня в Chrome, яку Google усунув з початку року після CVE-2025-2783, CVE-2025-4664 та CVE-2025-5419.Користувачам рекомендується перевірити наявність оновлення через Меню → Довідка → Про Google Chrome та оновити браузер до останньої версії.
Джерело
Критична уразливість Cisco в Unified CM надає кореневий доступ через статичні облікові дані
Cisco випустила оновлення безпеки для усунення критичної вразливості в Unified Communications Manager (Unified CM) та Unified Communications Manager Session Management Edition (Unified CM SME). Ця вразливість, відома як CVE-2025-20309, може дозволити зловмиснику увійти на пристрій як root-користувач та отримати підвищені привілеї. Проблема виникла через статичні користувацькі облікові дані, призначені для використання під час розробки. Успішна експлуатація дозволить виконувати довільні команди з правами root.
Cisco заявила, що вразливість не використовувалася зловмисниками, і її виявили під час внутрішнього тестування. Проблема стосується версій Unified CM і Unified CM SME з 15.0.1.13010-1 по 15.0.1.13017-1, незалежно від конфігурації пристрою. Компанія також опублікувала індикатори компрометації, зазначивши, що успішна експлуатація залишить запис у журналі «/var/log/active/syslog/secure» для root-користувача.
Це оновлення випущено незадовго після виправлення інших двох вразливостей в Identity Services Engine та ISE Passive Identity Connector (CVE-2025-20281 та CVE-2025-20282), які могли дозволити неавторизованому зловмиснику виконувати довільні команди з правами root.
Джерело
CBI викрило шахрайський кол-центр, що маскувався під техпідтримку Microsoft
Центральне бюро розслідувань Індії (CBI) ліквідувало міжнародну шахрайську схему, яка діяла з території міста Ноїда та здійснила шахрайські дії щодо понад 100 громадян Великої Британії й Австралії.
Загальна сума завданих збитків перевищила £390 000 ($525 000).У рамках операції Chakra V, 7 липня 2025 року CBI провело обшуки на трьох об'єктах, зокрема у фальшивому кол-центрі FirstIdea. Шахраї видавали себе за співробітників техпідтримки Microsoft, демонстрували жертвам підроблені спливаючі вікна («ваш комп’ютер заражено») та закликали терміново зателефонувати. Дзвінки здійснювалися через VoIP і підроблені міжнародні номери до операторів, які діяли за спеціальними скриптами. Вони переконували користувачів надати віддалений доступ до пристрою та оплачувати «ремонт». Обман відбувався англійською, а сам центр функціонував як легальний бізнес.
Розслідування тривало 18 місяців і відбувалося за участі CBI, британського NCA, американського ФБР та компанії Microsoft.
Що робити, щоб не потрапити в пастку шахраїв:
● Ігноруйте заклики на будь-яких спливаючих вікнах з попередженнями нібито про віруси чи злам, особливо якщо вони закликають «негайно зателефонувати».● Не довіряйте «техпідтримці», яка ініціює контакт або просить встановити віддалене програмне забезпечення. ● Завжди перевіряйте контактну інформацію на офіційному сайті Microsoft або інших ІТ-компаній, перш ніж зв’язуватись. ● Перевіряйте номери телефонів вхідних дзвінків у відкритих джерелах. Якщо ви стали жертвою подібного шахрайства – звертайтесь до кіберполіції.
Джерело
Хакери експлуатують критичну вразливість CrushFTP для отримання прав адміністратора
Вразливість CVE‑2025‑54309 у CrushFTP активно використовується зловмисниками для отримання прав адміністратора через HTTPS-запити. Проблема стосується версій CrushFTP 10 (до 10.8.5) та 11 (до 11.3.4_23), якщо не використовується DMZ-проксі. Оцінка критичності – 9.0 за CVSS.Компанія CrushFTP повідомила про виявлення атаки 18 липня 2025 року. Зловмисники, ймовірно, дослідили вихідний код попередніх виправлень і знайшли спосіб обійти захист на серверах без оновлень. Вони змінюють конфігураційні файли (наприклад, user.xml), створюють облікові записи з правами admin, а також додають у вебінтерфейс панель адміністратора для звичайних користувачів.
Вразливість дозволяє повністю контролювати сервер, що несе ризики витоку даних, бекдорів і подальшого проникнення в мережу.
Рекомендації з безпеки:
● Оновити сервер CrushFTP до версії 10.8.5_12 або 11.3.4_26.● Перевірити файл user.xml, особливо поле last_logins, на ознаки змін.● Видалити або відновити обліковий запис default із резервної копії до 16 липня.● Проаналізувати журнали HTTP/S на предмет підозрілих запитів і змін у правах доступу.● Обмежити адміністративний доступ за IP-адресами або мережею.● Використовувати DMZ-проксі або інші ізолюючі мережеві засоби захисту.● Увімкнути автоматичні оновлення, щоб отримувати патчі без затримки.
Джерело
Критична zero‑day вразливість у SharePoint: зламано понад 75 організацій
У Microsoft SharePoint Server виявили критичну вразливість, яка стала об'єктом «активної, масштабної» експлуатаційної кампанії. Ця вразливість, відома як CVE-2025-53770 із високим рейтингом небезпеки (9.8 за CVSS), є варіантом попередньої CVE-2025-49706, яка була виправлена в липневому оновленні 2025 року. Проблема полягає у десеріалізації недовірених даних, що дозволяє неавторизованим зловмисникам виконувати код через мережу. Microsoft повідомляє про активні атаки на локальні сервери SharePoint і рекомендує вжити тимчасових заходів безпеки, таких як інтеграція Antimalware Scan Interface (AMSI) та використання Defender AV.
Microsoft підкреслила, що SharePoint Online у Microsoft 365 не постраждав. Для захисту рекомендується встановити Defender для виявлення та блокування активності після експлуатації. AMSI вже включена в деякі версії SharePoint за замовчуванням. Якщо ж AMSI не може бути активована, сервери SharePoint слід відключити від інтернету до виходу оновлення безпеки. Також попереджено про інші атаки, що використовують CVE-2025-49706 і CVE-2025-49704 для виконання команд на уразливих системах.
Компанії Eye Security та Palo Alto Networks повідомляють про атаки, кодовані як ToolShell, що можуть здійснювати віддалене виконання коду через отримання певних ключів із серверів. Внаслідок цього майже 75 організацій, включно з великими компаніями та урядовими установами, зазнали атак. Microsoft продовжує працювати над оновленням безпеки та надасть додаткову інформацію згодом.
Джерело
Кіберудар по «Аерофлоту»: тисячі серверів знищено, ключові системи – під контролем хакерів
Хакери з «Кіберпартизанів BY» та групи Silent Crow заявили про проведення багатомісячної операції зі знищення внутрішньої ІТ-інфраструктури російського авіаперевізника «Аерофлот». Протягом року група перебувала в корпоративній мережі компанії, поступово розширюючи доступ аж до ядра інфраструктури – рівня Tier 0.
У результаті кібератаки:
● знищено понад 7 000 серверів (фізичних і віртуальних);● повністю скомпрометовано системи: Exchange, 1С, CRM, DLP, Sirax, CREW, ERP, КАСУД, Sabre, SharePoint тощо;● отримано повний доступ до комп’ютерів працівників і топменеджменту;● викрадено понад 20 ТБ даних (включно з історією польотів, файлами, поштою, записами розмов, даними спостереження за персоналом);● зламано 122 гіпервізори, десятки кластерів Proxmox і ZVIRT, сотні iLO‑інтерфейсів.
Усі ключові системи управління «Аерофлотом» були виведені з ладу. Багато з них – без можливості відновлення. Подібна атака має прямий вплив на функціонування інфраструктури, і відповідно її вартість для супротивника вимірюється не лише ресурсами, необхідними для відновлення ІТ-компонентів. Вона може суттєво порушити роботу критичних сервісів, призвести до зупинки операційних процесів і створити загрозу для безпеки фізичних об’єктів, що підсилює масштаб збитків та ускладнює швидке відновлення повноцінної роботи.
Джерело