Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 30 июня и 1 июля 2025.
Три новые уязвимости ставят под угрозу конфиденциальность пользователей Bluetooth
Исследователи обнаружили три уязвимости в чипсетах Airoha Bluetooth, используемых во многих популярных аудиоустройствах, таких как беспроводные динамики, наушники и микрофоны десяти крупных производителей оборудования, включая Bose, Sony, JBL, Jabra и других.
Уязвимости были впервые обнаружены на конференции по безопасности TROOPERS, прошедшей в конце июня 2025 года в Гейдельберге, Германия, и были вызваны рядом проблем, в том числе отсутствием аутентификации в службах Bluetooth и критической уязвимостью в пользовательском протоколе.
Выявлены следующие проблемы:
- CVE-2025-20700 – отсутствие аутентификации для служб GATT
- CVE-2025-20701 – отсутствие аутентификации для Bluetooth BR/EDR
- CVE-2025-20702 – критическая уязвимость в пользовательском протоколе
Злоумышленник, находящийся в зоне действия Bluetooth, может воспользоваться этими уязвимостями, чтобы получить контроль над устройствами, прослушивать встроенные микрофоны и даже извлекать конфиденциальные данные, такие как история звонков и контактная информация, с телефонов, подключенных к устройствам. Исследователи на конференции продемонстрировали доказательства концепции (PoC) уязвимостей, позволяющих им получить доступ к мультимедиа, воспроизводимому на целевых наушниках, перехватить Bluetooth-соединения и использовать профиль Hands-Free Profile (HFP) для инициирования произвольных телефонных звонков или прослушивания разговоров.
Несмотря на потенциальную угрозу конфиденциальности, которую представляют эти уязвимости, для их использования требуется высокий уровень технических навыков, а злоумышленники должны находиться в непосредственной близости от цели. Однако эти недостатки могут быть полезны тем, кто заинтересован в шпионаже за ценными целями, такими как правительственные чиновники, журналисты и активисты. Эти же группы часто становятся мишенью пользователей коммерческих шпионских продуктов, таких как шпионское ПО Predator, поставляемое подвергнутой санкциям компанией NSO Group.
Airoha выпустила обновленный комплект для разработчиков программного обеспечения (SDK) с необходимыми мерами по устранению этих проблем для производителей устройств. Пользователи затронутых устройств должны будут обратиться к производителю своего оборудования для получения необходимых обновлений, чтобы исправить эти проблемы.
Злоумышленники RansomHub нацелены на общедоступные RDP-серверы
Злоумышленники, использующие программу-вымогатель RansomHub, проводят атаки методом «спрей-паролей» против незащищенных RDP-серверов с целью получить доступ к сетям потенциальных жертв.
В новом исследовании DFIR подробно описана атака, произошедшая в ноябре 2024 года, которая началась с распыления паролей на RDP-сервер, подключенный к Интернету. Атака длилась несколько часов, в течение которых злоумышленники пытались войти в несколько учетных записей, пока не получили доступ к одной из них.
После входа в систему они запустили команды обнаружения и установили инструменты для сбора учетных данных Nirsoft и Mimikatz, которые затем использовались для сбора учетных данных из памяти подсистемы локальной службы безопасности (LSASS). Затем злоумышленники переместились в доменные контроллеры, а затем перешли к другим компьютерам в сети.
Извлечение данных было выполнено с помощью Rclone. К шестому дню вторжения злоумышленники развернули RansomHub по всей сети в виде исполняемого файла с именем amd64.exe, который не только шифровал файлы на локальном хосте, но и связывался с другими удаленными хостами для передачи данного файла через SMB.
Google выпускает экстренное исправление для новой уязвимости движка JavaScript в Chrome
Google выпустила экстренное обновление безопасности для Chrome, чтобы исправить критическую уязвимость нулевого дня, отслеживаемую как CVE-2025-6554. Уязвимость представляет собой ошибку типа путаницы, которая находится в движке JavaScript V8 браузера. Она была недавно обнаружена в реальной среде членом собственной группы анализа угроз Google (TAG) 25 июня 2025 года.
Успешное использование этой уязвимости может позволить удаленному злоумышленнику выполнять произвольные операции чтения и записи в памяти браузера и потенциально привести к полному взлому системы. Для этого злоумышленнику достаточно привлечь пользователей с помощью обычных методов, таких как SEO-поисковое отравление, социальные сети или фишинг, на специально созданную веб-страницу, содержащую эксплойт, чтобы выполнить атаку.
Уязвимость затрагивает версии Chrome, работающие на всех основных платформах Windows, macOS и Linux.
Чтобы снизить риск атаки, Google выпустила обновления для Chrome версий 138.0.7204.96 и 138.0.7204.97 для Windows, 138.0.7204.92 и 138.0.7204.93 для macOS и 138.0.7204.96 для Linux. Обновление, требующее перезапуска браузера, в настоящее время распространяется среди пользователей. Google настоятельно рекомендует всем немедленно установить обновление в своих браузерах, так как атаки уже начались.
Технические детали об ошибке не разглашаются до тех пор, пока Google не определит, что обновление было широко применено.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
