FirstVDS Хостинг

Пока все отправляют друг другу сердечки, у нас тут более серьёзный повод.

14 февраля 1946 года состоялась презентация первого работающего электронного компьютера ENIAC I. Прошло всего-то 78 лет, а мы уже не представляем жизнь без ПК.

Предлагаем отметить это событие подарками:

• Скидку 20% на заказ новых VDS по промокоду ENIACPC — сработает на любой срок заказа VDS при единовременной оплате за этот период (1, 3, 6 или 12 месяцев).
• Сертификаты на пополнение баланса номиналом 150 рублей для тех, кто с нами больше года.

firstvds.ru/actions/computer_day_2024

Хеллоу, парни!
31 марта не Новый год, но тоже большой праздник — День бэкапа. Вслед за ним День дурака, и, кажется, это не случайность.

От подколов про белую спину в воскресенье мы вас не спасём. А вот от горьких шуток про тех, кто уже делает бэкапы, можем. Собрали всё для успеха в резервном копировании.

Аргументы — зачем делать бэкапы:

• чтобы не потерять данные,
• чтобы не потерять клиентов,
• чтобы не потерять миллионы,
• чтобы не потерять работу,
• … а потом и девушку, квартиру, машину, кошку… Забавная шутка?

Пока данные при вас.

Инструкции — как делать бэкапы
Статья про настройку бэкапов в панели ISPmanager

Инструменты — чем делать бэкапы

Автоматические бэкапы

Продумали все за вас. Просто поставьте галочку в панели ISPmanager, и бэкапы заработают, как — подробности в статье.
Стоимость — 20% от цены тарифа. Пока доступно на Старте, Разгоне, Отрыве и Улёте в актуальных конфигурациях (Кроме VDS-Лето, VDS-2015 и других).
firstvds.ru/technology/autobackup

Диск для бэкапов

Хранить резервные копии на том же сервере, что и сайт, — небезопасно. Случись что, и всё пропало. В нашем ДЦ есть отдельный сервер для бэкапов, место на нём стоит от 3 рублей за гигабайт. Ещё можно подключаться к диску по FTP-протоколу и использовать для хранения любых других файлов.
Если есть панель ISPmanager, настроим резервное копирование бесплатно. Если нет — за 500 рублей.
firstvds.ru/services/backup

Добавьте лицензию Битрикс в список новогодних покупок! До конца месяца можно приобрести любую лицензию со скидкой:

• 20% на «1С-Битрикс: Управление сайтом».
• 15% на «1С-Битрикс24: Интернет-магазин + CRM» и «1С-Битрикс: Корпоративный портал».

Акция распространяется на первую покупку любой лицензии «1С-Битрикс: Управление сайтом» в редакциях «Старт», «Стандарт», «Малый бизнес» и «Бизнес», а также «1С-Битрикс24: Интернет-магазин + CRM» и «1С-Битрикс: Корпоративный портал» на 50, 100, 250 и 500 пользователей.
firstvds.ru/services/bitrix-license

Но это ещё не всё! Также до 31 декабря можно повысить тариф действующей лицензии со скидкой 25%. Для этого напишите тикет в Личном кабинете с темой «Апгрейд лицензии Битрикс».

Рады сообщить, что в линейке наших виртуальных серверов появилась новая услуга — аренда серверов с графическими ускорителями. Это отличное решение для задач, требующих высокой вычислительной мощности: от работы с нейросетями и машинным обучением до 3D-моделирования, рендеринга и обработки видео.

Что мы предлагаем:

• Мощные видеокарты NVIDIA: RTX 4090, L4 и L40S.
• Готовые шаблоны операционных систем с драйвером NVIDIA и CUDA.
• Все ресурсы GPU под вашим контролем.
• Посуточная/помесячная оплата.

Готовые конфигурации на выбор:


Серверы на базе процессоров Intel Xeon Scalable до 3.3 ГГц и AMD EPYC до 3.9 ГГц. Виртуализация KVM.

firstvds.ru/products/vps-vds-gpu

Ноябрь — время, когда список дел длиннее, чем световой день: догорают отчёты и дедлайны, всем надо что-то успеть. Если вы, как и мы, чувствуете, что стресс достиг критического уровня, пора применять техники самопомощи. Например, покричать в лесу или просто расслабиться и попытаться поймать дзен.



А пока вы выбираете, предлагаем свой способ для передышки — полистайте наш заботливый ноябрьский дайджест. Он поможет переключиться и сэкономить силы.

В блоге рассказываем, как разгрузить рабочий день и поручить хотя бы часть рутины роботам. Инструкции в базе знаний помогут настроить сложную систему и потратить на это минимум нервных клеток, а на Хабре ждёт подборка свежих статей для вдохновения и перезагрузки.

Теперь обо всём по порядку: заварите ромашкового чаю, и поехали!

Статьи и инструкции
Как создать telegram-бота на Python
В инструкции — как собрать на Python верного помощника, который будет сообщать данные о сервере. А ещё разберём, как сделать так, чтобы он работал круглосуточно, а вы — нет.
firstvds.ru/blog/kak-sozdat-telegram-bota-na-python

Что такое Swagger и как он облегчает работу с API
Swagger — тоже один из способов автоматизировать работу и облегчить себе жизнь. Это набор инструментов для проектирования API-сервисов, который будет полезен разработчикам, аналитикам, тестировщикам и техническим писателям. В статье рассказываем, как использовать инструмент, и разбираем работу самых востребованных приложений в этой экосистеме.
firstvds.ru/blog/chto-takoe-swagger-i-kak-oblegchaet-rabotu-s-api

Подборка мануалов для системных администраторов
Мы знаем, как бывает сложно разобраться в настройках, поэтому наши специалисты подготовили для вас шпаргалки. Они помогут освоить работу с Systemd — инструментом для управления ОС на базе Linux, подключаться к БД MySQL — удалённо или локально, настраивать файрвол и переносить данные между облачными хранилищами. Сохраните их, чтобы заглянуть, когда появится задача.

• Systemd: основы управления службами
• Как подключиться к базе данных MySQL
• Настройка iptables в Linux
• Перенос данных в объектное хранилище S3 с помощью Rclone

Habr: самое интересное за ноябрь
Когда рабочие задачи накрывают с головой, лучшее лекарство — отвлечься. Приходите к нам на Хабр, чтобы обсудить актуальные и просто интересные темы.
Разберемся, как эффективнее использовать AI-инструменты в разработке на примере Vue SFC, и расскажем про демокит для тестирования RF-плат. Если хочется чего-то более легкого, припасли научный нон-фикшен — трогательную историю создания кардиомонитора и статью о поразительной случайности, которая привела к открытию реликтового излучения.

• Vue SFC — идеальный формат для AI-разработки и вот почему
• Тестируем плату RF Demo Kit for NanoVNA-F
• Инженер, который научил компьютер слушать сердце: история Хейвуда и его кардиомонитора
• Космический шум, или как случайно нашли реликтовое излучение

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар.
Тема декабря: IT-компании.
firstvds.ru/avtoram


Новости ноября
Запустили новый сервис — статус-панель
 
Статус-панель FirstVDS — инструмент, который позволяет оперативно оценить состояние вашей инфраструктуры: кластеров с тарифными планами, панелей виртуализации, сетей и сервисов. В случае внезапных проблем панель сразу поможет понять: это локальная неисправность или масштабный инцидент.
Перейти в статус-панель можно с главной страницы нашего сайта. Для этого в верхнем меню нажмите на индикатор статус-панели.
firstvds.live
О том, как работает инструмент и какие задачи решает, рассказали в подробной инструкции.
firstvds.ru/technology/status-panel-firstvds

Временно приостанавливаем продажи VDS в Казахстане

Локация Алматы показала настолько высокий спрос, что наши клиенты за короткое время заняли всю стартовую инфраструктуру. Поэтому мы временно приостанавливаем продажу новых серверов в Казахстане. Сейчас ведём работы по расширению мощностей: двигаемся максимально быстро, не жертвуя качеством.

Топ новостей из мира безопасности
Отличные новости для всех, кто полыхает в огне дедлайнов: в плане безопасности ноябрь выдался довольно тихим и мирным. Но всё-таки специалисты по безопасности обнаружили несколько критических уязвимостей. Мы советуем проверить свои системы, чтобы избежать проблем:

• уязвимости в браузерах на Chromium, а также в Wordpress, Docker и Kubernetes;
• опасные уязвимости в WordPress и Grafana Enterprise.

Специалисты по ИБ также обнаружили новую волну атак на реестр npm — затронуто уже 25 000 репозиториев. По принципу действия он напоминает вредонос Shai Hulud: подробный обзор атаки — в нашей статье на Хабре habr.com/ru/companies/first/articles/969916/

Угроза для пользователей браузеров на базе Chromium
ИБ-исследователь Хосе Пино обнаружил серьезную уязвимость в движке Blink, которая позволяет за секунды вывести из строя многие браузеры на базе Chromium или вызвать зависание системы. Уязвимость подтверждена в браузерах на движке Chromium, начиная с версии 143.0.7483.0. В том числе в Microsoft Edge, Brave, Opera и Vivaldi, OpenAI ChatGPT Atlas, Perplexity Comet и другие. Исключение — Firefox, Safari, которые используют собственные движки — Gecko и WebKit соответственно.
Как работает атака. Проблема заключается в том, что Blink не ограничивает частоту обновлений API document.title. Это приводит к миллионам мутаций DOM в секунду: они перегружают CPU, приводя к внезапному завершению работы браузера и падению производительности системы.
Атака включает три этапа:
Подготовка. В память загружаются данные для циклической смены заголовка вкладки.
Инъекция. Скрипт выполняет массовые обновления document.title, создавая огромную нагрузку.
Перегрузка. Главный поток браузера перегружается, что приводит к зависанию интерфейса, вкладок и последующему аварийному завершению работы.
Brash можно активировать по таймеру, превратив в логическую бомбу — достаточно кликнуть по вредоносной ссылке.
Защита пока только одна: не переходить по подозрительным ссылкам и закрывать зависшие вкладки. Разработчики Chromium планируют ограничить частоту обновлений document.title и улучшить управление ресурсами Blink.
xakep.ru/2025/10/31/brash/

Плагин безопасности Wordpress оказался уязвимым
В плагине Anti-Malware Security and Brute-Force Firewall для Wordpress обнаружена уязвимость CVE-2025-11705. Она позволяет пользователям с минимальными правами (например, подписчикам) читать любые файлы на сервере. Например, получить доступ к конфигурационному файлу wp-config.php, где хранится имя базы данных и учетные данные. В этом случае злоумышленник может украсть хеши паролей, email-адреса, содержимое постов и другие конфиденциальные данные, что может привести к полному захвату сайта.
Проблема — в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — используется только nonce, который может перехватить атакующий. Это позволяет любому авторизованному пользователю вызвать функцию и прочитать критически важные файлы.
Сейчас плагин Anti-Malware Security and Brute-Force Firewall установлен более чем на 100 000 сайтов. Уязвимость затрагивает версии 4.23.81 и более ранние. Чтобы защититься, необходимо обновить плагин Anti-Malware Security and Brute-Force Firewall до версии 4.23.83 или выше, где добавлена проверка прав пользователя. Поскольку уязвимость уже раскрыта публично, атаки могут начаться в любой момент, поэтому обновление следует установить как можно скорее.
xakep.ru/2025/11/01/secure-plugin-bug/

Уязвимость в плагине Wordpress ставит тысячи сайтов под удар
Злоумышленники атакуют сайты на Wordpress, используя критическую уязвимость CVE-2025-11833 в популярном плагине Post SMTP (более 400 000 установок), который применяется для отправки почты. Хакеры перехватывают письма для сброса паролей, получая полный контроль над ресурсами. Уязвимость затрагивает все версии плагина от 3.6.0 и выше.
Дело в том, что плагин передаёт логи писем по любому запросу без проверки прав. Это позволяет злоумышленникам читать письма для сброса паролей администраторов, переходить по ссылкам и захватывать учетные записи. Уязвимость оценивается в 9.8 баллов из 10 по шкале CVSS.
Для защиты необходимо срочно обновить плагин Post SMTP до версии 3.6.1, где эта уязвимость исправлена. Поскольку атаки уже фиксируются в активной фазе (тысячи попыток взлома), мы советуем не откладывать обновление.
xakep.ru/2025/11/06/post-smtp-flaw/

Побег из контейнера: обнаружены три уязвимости в runC для Docker и Kubernetes
Инженер SUSE и член совета Open Container Initiative (OCI) Алекса Сарай обнаружил три критические уязвимости (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) в контейнерном рантайме runC — ключевом компоненте Docker и Kubernetes, отвечающем за низкоуровневые операции управления контейнерами.
Уязвимости связаны с манипуляцией символьными ссылками при монтировании файлов и позволяют злоумышленнику, имеющему возможность запускать контейнеры с кастомными настройками, обойти изоляцию и получить права root на хост-системе:
CVE-2025-31133 — позволяет атакующему заменить /dev/null на символьную ссылку для записи произвольных данных в /proc.
CVE-2025-52565 — через манипуляции с /dev/console и символьные ссылки возможна запись критических данных в procfs.
CVE-2025-52881 — обход LSM-защиты позволяет перенаправлять запись данных в /proc на контролируемые файлы, включая опасные вроде /proc/sysrq-trigger.
Уязвимости требуют возможности настраивать монтирование в контейнерах через вредоносные образы или Dockerfile.
Как защититься:
Обновить runC до версий 1.2.8, 1.3.3, 1.4.0-rc.3 или новее.
Включить user namespace для всех контейнеров без предоставления root-прав хоста.
Использовать rootless-контейнеры где это возможно.
Мониторить подозрительную работу с символьными ссылками.
На текущий момент активных атак не зафиксировано, но лучше как можно скорее установить обновление.
xakep.ru/2025/11/11/runc-bugs/

Критическая уязвимость в W3 Total Cache: полный контроль над сайтом через комментарии
В популярном плагине WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501. Она позволяет выполнять произвольные PHP-команды на сервере без аутентификации и получить полный контроль над сайтом. Уязвимость затрагивает все версии плагина до 2.8.13.
Уязвимость связана с функцией _parse_dynamic_mfunc(), которая обрабатывает динамические вызовы функций в кешированном контенте. Для атаки достаточно оставить на сайте специально подготовленный комментарий с вредоносной нагрузкой — плагин выполнит содержащиеся в нем PHP-команды.
Чтобы защититься:
обновите W3 Total Cache до версии 2.8.13;
если обновление невозможно, деактивируйте плагин;
в качестве дополнительной меры отключите комментарии на сайте или включите их премодерацию.
Разработчики выпустили исправление 20 октября 2025 года, но сотни тысяч сайтов до сих пор остаются уязвимыми. Исследователи намеренно отложили публикацию PoC-эксплоита до 24 ноября, чтобы администраторы успели обновить системы.
xakep.ru/2025/11/20/w3-total-cache-injection/

Критическая уязвимость в Grafana Enterprise позволяет получить права администратора
В Grafana Enterprise обнаружена критическая уязвимость CVE-2025-41115 (CVSS 10/10), позволяющая злоумышленнику выдать себя за администратора или другого пользователя системы. CVE-2025-41115 затрагивает Grafana Enterprise версий 12.0.0–12.2.1.
Атака работает, если включена функция SCIM provisioning (опции enableSCIM и user_sync_enabled установлены в true). В этом случае вредоносный SCIM-клиент может создать пользователя с числовым externalId, который Grafana соотносит с внутренним идентификатором user.uid. Такая подмена позволяет получить права администратора или другого привилегированного пользователя.
Для защиты необходимо как можно скорее обновить Grafana Enterprise до версии 12.3.0 или патчевых релизов 12.2.1, 12.1.3, 12.0.6. В качестве временной меры рекомендуется отключить SCIM provisioning. Уязвимость в Grafana была обнаружена и устранена 4 ноября 2025 года. По данным компании, злоумышленники не использовали её в атаках на облачный сервис Grafana Cloud.
xakep.ru/2025/11/24/grafana-flaw/

Опасная атака на npm: Sha1-Hulud крадёт данные и уничтожает файлы
Специалисты по ИБ обнаружили волну атак Sha1-Hulud на реестр npm, которая затронула уже более 25 000 репозиториев. Принцип её работы напоминает атаку Shai-Hulud, выявленную ранее в 2025 году. Но новый вредонос может не только красть учётную информацию и получать контроль над системами, но и даёт возможность полностью удалять данные на заражённых устройствах.
Как работает атака Sha1-Hulud на npm:
Злоумышленники добавляют в пакеты вредоносный скрипт preinstall, который выполняется автоматически при установке пакета. Этот скрипт обнаруживает или устанавливает среду Bun.
Запускается вложенный вредоносный код, который регистрирует заражённую машину как GitHub self-hosted runner с именем SHA1HULUD.
Далее создаётся и добавляется в репозиторий вредоносный GitHub workflow (например, .github/workflows/discussion.yaml) с уязвимостью внедрения команд. Этот workflow позволяет злоумышленникам запускать произвольные команды на runner.
Вредоносный код запускает утилиту TruffleHog для локального сканирования машины на предмет поиска токенов npm, ключей облачных платформ AWS, GCP, переменных окружения и других секретов.
Workflow собирает все секреты из GitHub Secrets и сохраняет их в файл actionsSecrets.json, который скачивается обратно на заражённую машину. Workflow удаляется для сокрытия следов.
Собранные секреты и конфиденциальные данные отправляются злоумышленникам, в том числе создаётся публичный репозиторий Shai-Hulud с украденными данными от имени жертвы.
Если вредонос не может получить доступ к токенам или аутентифицироваться в GitHub (или получить npm токены), запускается функция уничтожения всех доступных для записи файлов в домашнем каталоге (wiper). Для повышения привилегий вирус пытается получить root-доступ через Docker, монтируя корневую файловую систему в привилегированном контейнере и копируя вредоносный файл sudoers для беспарольного доступа. Подробнее о механизме атаки и её рисках рассказывали в нашей статье на Хабре.
Как защититься:
просканировать все конечные точки на наличие заражённых пакетов и немедленно удалить их;
обновить все учётные данные и проверить репозитории на наличие подозрительных файлов workflow, таких как shai-hulud-workflow.yml;
внимательно следить за необычными ветками и действиями в .github/workflows для выявления скрытого заражения.
thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html

Локация Алматы показала гораздо более высокий спрос, чем мы закладывали: стартовая инфраструктура была полностью занята за короткое время. Чтобы сохранить стабильную работу всех действующих VDS, мы временно приостанавливаем продажу новых серверов в Казахстане.

Мы расширяем мощности, используя современное оборудование, а поставки в регионе идут по длинным цепочкам и занимают время. Поэтому назвать точные сроки возобновления продаж пока невозможно. Работа уже идёт, двигаемся максимально быстро, не жертвуя качеством.

О возобновлении продаж сообщим на сайте и в телеграм t.me/TakeFirstNews

Чтобы не пропустить новое поступление, подпишитесь на интересующую конфигурацию — и мы сообщим, как только она снова будет доступна.

Чтобы подписаться на уведомления, перейдите на сайт, выберите сервер с локацией «Алматы» и нажмите «Уведомить о наличии».

Долгожданная статус-панель FirstVDS уже доступна. Это ваш инструмент для быстрой и прозрачной оценки работы сервисов в реальном времени.

• Отображает текущее состояние кластеров, панелей виртуализации, сети и ключевых сервисов.
• Помогает определить, возникшая проблема на вашем сервере носит локальный характер или это масштабный инцидент.
• Доступна 24/7 — всегда под рукой, когда нужно проверить стабильность инфраструктуры.

Перейти в статус-панель можно с главной страницы нашего сайта. Для этого в верхнем меню нажмите на индикатор статус-панели.

firstvds.live

В серверных замечены таинственные сбои и вспышки активности — похоже, духи Хэллоуина не собираются уходить просто так.

Наша бригада зачистки трудится день и ночь, чтобы вернуть спокойствие в дата-центры. Вы можете нам помочь!

До 13 ноября закажите VDS со скидкой 25%. Акция действует на серверы в Москве, Амстердаме и Казахстане.



Промокод со скидкой 25% на заказ новых VDS для всех.
Сертификаты на пополнение баланса номиналом 150 ₽ для тех, кто с нами больше года.
Срок проведения акции — с 31.10.2025 10:00 по 13.11.2025 23:50 по мск.

firstvds.ru/actions/halloween-2025-prizraki-v-servernoy

Призраки захватили дата-центры FirstVDS и устроили там настоящий шабаш! Мы уже собираем бригаду из самых смелых сотрудников, чтобы очистить ДЦ.

Вы можете нам помочь! Скорее изгоняйте злых духов — заказывайте новый сервер по приятной цене.
У нас как раз есть все необходимое для этого:

• скидка 25% на заказ новых VDS;
• сертификаты номиналом 150 рублей на пополнение баланса.

Акция действует до 13 ноября — именно в этот день мы закроем потусторонний портал. Времени на покупку с каждым днем все меньше!
firstvds.ru/actions/halloween-2025-prizraki-v-servernoy

Главный ужас октября — это не предстоящий Хэллоуин, а бесконечная шестидневная рабочая неделя! Зато сразу за ней — длинные выходные: можно устроиться поудобнее, налить себе кофе, включить на фон ужастик и прочитать наш октябрьский дайджест.



В этом выпуске собрали страшно полезные статьи. Рассказываем, как написать нейросеть, справиться с Keycloak и защититься от новых штрафов. Если хочется по-настоящему острых ощущений, загляните в подборку свежих уязвимостей — вдруг пропустили важные обновления. А самых смелых и любознательных читателей ждём на Хабре, чтобы испугать невероятной эрудицией наших авторов.

Статьи и инструкции
AI-помощники и нейросеть своими руками
Искусственный интеллект — это удобный рабочий инструмент. Для тех, кто хочет приручить эту гидру, подготовили руководство, как с помощью языка Python и библиотек написать и обучить собственную модель — это проще, чем кажется.
firstvds.ru/blog/kak-napisat-svoyu-pervuyu-nejroset-na-python-poshagovoe-rukovodstvo

А тем, кому некогда разбираться, и нужна помощь в работе прямо сейчас, рассказываем, как выбрать AI-помощника для своих задач и на что обратить внимание.
firstvds.ru/blog/populyarnye-ai-pomoschniki-i-servisy-2025-goda

Как установить Keycloak на виртуальный сервер
Вместе с разработчиками подготовили инструкцию по установке и настройке Keycloak в контейнере: от подготовки виртуального сервера до настройки доступа по HTTPS и доменного имени.
firstvds.ru/technology/ustanovka-keycloak-na-virtualnyy-server

Новые законы с 1 сентября 2025: SIM-ку не отдавай, аккаунтом не делись, звонки маркируй
Обсуждаем новые поправки, которые затрагивают работу в интернете, использование мобильной связи и приложений. Изменения вводят дополнительные запреты и штрафы для всех — и физлиц, и компаний.
firstvds.ru/blog/novye-zakony-s-1-sentyabrya-2025

Habr: самое интересное за октябрь
В Хабре никакой жути: только полезные практические советы и научпоп. В этот раз получилась подборка статей о безопасности. Разбираемся, как защитить Active Directory от тёмных сил, и показываем свой кейс о настройке доступа к внутренним сервисам: от выбора решения до результата.
Тем, кто больше интересуется не виртуальным, а материальным, советуем заглянуть в статью о радиочастотных измерениях и прочитать очередной пост о настройке зрения для робота.

Повышение защищённости Active Directory — часть 2: MFA, подпись и шифрование SMB, сертификаты и логирование
habr.com/ru/companies/first/articles/954150/

Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии
habr.com/ru/companies/first/articles/960862/

Веб-камера — глаза робота. Пишу веб-приложение на FastApi для управления DIY-проектом. Часть 5
habr.com/ru/companies/first/articles/958686/

Векторный анализатор NanoVNA для радиолюбителей
habr.com/ru/companies/first/articles/954842/

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема ноября: Машинное обучение.
firstvds.ru/avtoram

Новости октября
Призраки в серверной: 31 октября запускаем акцию для новых и старых клиентов

Чтобы вы могли усилить свою серверную инфраструктуру и не бояться никакой нечисти, в канун Хэллоуина запускаем акцию:

• дарим промокод со скидкой 25% на заказ новых VDS всем клиентам;
• выдаём сертификаты на пополнение баланса номиналом 150 ₽ тем, кто с нами больше года.

Акция начнётся 31 октября и продлится до 13 ноября. Подпишитесь на наш тг-канал, чтобы не пропустить запуск!
firstvds.ru/products/vds_vps_hosting

Открыли новую локацию в Казахстане

Расширяемся: теперь можно заказать VDS с локацией в Алматы — в дата-центре Ahost.kz.
Все VDS в ДЦ Алматы открываются на базе процессоров Intel Xeon Scalable до 4.1 ГГц. Сейчас можно заказать тарифы с NVMe-накопителями: VDS в готовых конфигурациях и гибкий VDS Форсаж. Чтобы заказать сервер с локацией «Алматы», выберите её при настройке параметров VDS на сайте или включите нужный фильтр в Личном кабинете.
firstvds.ru/products/vds_vps_hosting

Добавили возможность настройки CORS для бакетов в S3 Manager

Настраивайте CORS прямо в S3 Manager и гибко управляйте безопасным доступом к вашим данным из любых приложений.
Политика одного источника (Same-Origin Policy) блокирует междоменные запросы в браузерах в целях безопасности — это ограничивает использование объектного хранилища для многих задач. Теперь в S3 Manager мы добавили настройки CORS для бакетов. Настройка позволяет точечно указать, каким доменам разрешён доступ к ресурсам бакета, используя специальные HTTP-заголовки, без ущерба для безопасности.
firstvds.ru/services/s3

Новости из мира технологий и безопасности

Как и полагается самому жуткому месяцу в году, октябрь выдался богатым на уязвимости:

Критическая уязвимость в sudo
Агентство кибербезопасности США (CISA) предупредило о массовой эксплуатации критической уязвимости (CVE-2025-32463) в утилите sudo для Linux. Она предоставляет любому локальному пользователю с обычными правами полный контроль над системой (привилегии root).
Суть уязвимости связана с опцией -R (chroot), которая позволяет пользователю выполнять команды в изолированном каталоге, выступающем в качестве корневого. Злоумышленник может создать в контролируемом им каталоге поддельный конфигурационный файл /etc/nsswitch.conf. Когда sudo с опцией chroot обращается к этому файлу, он загружает вредоносную библиотеку, что приводит к выполнению произвольных команд с правами суперпользователя.
Уязвимость затрагивает sudo до версии 1.9.17p1: чтобы защитить систему, обновите утилиту. В будущих релизах проблемная опция chroot будет полностью удалена.
xakep.ru/2025/10/01/cve-2025-32463/

Аппаратная атака Battering RAM, которая обходит защиту процессоров Intel и AMD
Специалисты из KU Leuven (Лёвенского католического университета) и Бирмингемского университета продемонстрировали аппаратную атаку Battering RAM. Она может обойти защиту новейших процессоров Intel и AMD, используемых в облачных сервисах. Для атаки нужен физический доступ к оборудованию, но для неё не требуется много времени. Это делает инфраструктуру уязвимой для инсайдеров: технического персонала дата-центров, сотрудников правоохранительных органов или других людей, имеющих даже краткосрочный доступ к серверам.
Атака разрушает работу защитных механизмов Intel SGX и AMD SEV-SNP. Как всё работает:
Злоумышленник устанавливает между процессором и модулем оперативной памяти (DRAM) специальное устройство-интерпозер. Оно работает только с памятью DDR4, но более продвинутая версия может атаковать и DDR5.
Интерпозер невидим для операционной системы: он скрытно перенаправляет обращения к защищённой памяти в области, контролируемые злоумышленником. Это позволяет обойти шифрование памяти и получить доступ к незашифрованным данным.
Поскольку проблема носит аппаратный характер, её нельзя исправить обновлением ПО или прошивки. Основная защита — организационные меры:

• Обеспечение физической безопасности: строгий контроль доступа к серверным стойкам в дата-центрах, проверка персонала и мониторинг цепочки поставок оборудования.
• Использование дополнительных функций защиты: для некоторых серверных процессоров Intel Xeon существует функция TME-MK (Total Memory Encryption – Multi-Key), которая может обеспечить дополнительный уровень защиты.

xakep.ru/2025/10/03/battering-ram/

Патчи для устранения критической уязвимости Redis
Команда безопасности Redis выпустила патчи для устранения критической уязвимости CVE-2025-49844 (10 баллов из 10 возможных по шкале CVSS). Она сохранялась в коде около 13 лет и позволяла аутентифицированным злоумышленникам выполнять произвольный код на удалённом хосте.
Тип уязвимости — use-after-free баг. С его помощью можно выйти из песочницы Lua, используя специально подготовленный Lua-скрипт, получить постоянный доступ к Redis-хосту и добиться удалённого выполнения кода. А дальше — украсть конфиденциальные данные, развернуть вредоносное ПО или перемещаться по сетевой инфраструктуре.
Специалисты Redis и Wiz рекомендуют как можно скорее установить патчи, чтобы устранить уязвимость. Для дополнительной защиты Redis от удалённых атак также рекомендуется:

• включить обязательную аутентификацию;
• отключить Lua-скриптинг и функции, которые не используются;
• запускать Redis от имени пользователя без root-прав;
• настроить логирование и мониторинг активности Redis;
• предоставить доступ только авторизованным сетям;
• внедрить контроль доступа на сетевом уровне с помощью брандмауэров и VPC.

xakep.ru/2025/10/07/redishell/

Redis и Valkey: опасная ошибка, которую не замечали 13 лет
Исследователи из компании Wiz обнаружили критическую уязвимость в системе управления базами данных Redis (CVE-2025-49844) с наивысшим уровнем опасности — 10 баллов по CVSS. Уязвимость позволяет злоумышленнику выполнить произвольный код (RCE) на сервере с помощью Lua-скриптов. Для эксплуатации требуется доступ к Redis-серверу, допускающему выполнение пользовательских Lua-скриптов. Это характерно для серверов с открытым или слабым доступом. Уязвимость также проявляется в проекте Valkey, развивающем форк Redis.
Проблема связана с ошибкой обращения к освобождённой памяти (use-after-free), возникающей при взаимодействии сборщика мусора с вредоносным Lua-скриптом. Это позволяет злоумышленнику обойти изоляцию Lua-песочницы и выполнить код с правами пользователя, под которым работает Redis.
Атака может скомпрометировать публично доступные экземпляры Redis, а также сервисы облачных провайдеров и хостингов, использующих эту СУБД. Уязвимость оставалась незамеченной почти 13 лет. Сейчас она устранена в версиях Redis 8.2.2, 8.0.4, 7.4.6, 7.2.11 и 6.2.20, а также в форке Valkey версии 8.1.4 и новее. Поэтому для защиты стоит обновить ПО до этих версий и отключить выполнение Lua-скриптов, запретив команды EVAL и EVALSHA через ACL. Рекомендуется также ограничить доступ к командам FAMILY EVAL и FUNCTION через ACL для защиты от этих проблем.
Проверить статус обновлений по дистрибутивам можно на официальных страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.
www.opennet.ru/opennews/art.shtml?num=64022

Критическая уязвимость в figma-developer-mcp: риск утечки данных
Исследователи из компании Imperva рассказали о критической уязвимости (CVE-2025-53967, 7.5 баллов CVSS) в сервере figma-developer-mcp. Это инструмент для взаимодействия ИИ-ассистентов с популярным графическим редактором Figma. Уязвимость позволяла злоумышленникам выполнять произвольный код на компьютере пользователя, чтобы получить доступ к чувствительным данным. Сейчас её уже устранили.
Уязвимость заключалась в инъекции команд — проблема возникала из-за неэкранированного пользовательского ввода. Сервер некорректно обрабатывал внешние данные, подставляя их в системные команды без проверки. Атакующий должен был находиться в той же сети, что и жертва (например, в общественном Wi-Fi или скомпрометированной корпоративной сети), или использовать технику DNS Rebinding. Он отправлял специально сформированный запрос, чтобы заставить сервер выполнить на устройстве жертвы потенциально вредоносную команду.
Как защититься:

• Уязвимость устранили в figma-developer-mcp версии 0.6.3, поэтому советуем проверить обновления.
• Избегайте использования child_process.exec с недоверенным вводом и перейдите на child_process.execFile.

xakep.ru/2025/10/10/cve-2025-53967/

RMPocalypse наступает: уязвимость в процессорах AMD EPYC
Эксперты из Швейцарской высшей технической школы Цюриха (ETH Zurich) обнаружили уязвимость CVE-2025-0033 (RMPocalypse) в процессорах AMD EPYC — она позволяет взломать защиту конфиденциальных вычислений SEV-SNP. Уязвимость оценивается в 5,9 балла CVSS и затрагивает процессоры:

• AMD EPYC серий 7003, 8004, 9004, 9005;
• AMD EPYC Embedded серий 7003, 8004, 9004, 9005.

В системе с SEV-SNP есть таблица RMP (Reverse Map Table) в DRAM. Она сопоставляет системные физические адреса (sPA) с гостевыми (gPA) и содержит атрибуты безопасности страниц. Управление и конфигурацию RMP осуществляет гипервизор с помощью аппаратных средств и прошивки Platform Security Processor (PSP). Инициализация RMP выполняется PSP при запуске виртуальной машины (ВМ) с защитой SEV-SNP. Уязвимость возникает из-за состояния гонки (race condition) в процессе инициализации RMP, когда таблица ещё не полностью защищена.
Атакующий с удалённым доступом может изменить содержимое RMP, нарушить целостность и конфиденциальность ВМ. Манипулируя таблицей, злоумышленник обходит защиту SEV-SNP, активирует скрытые функции (например, отладку), подделывает проверки безопасности (attestation forgery), откатывает ВМ к прежним состояниям (replay attack) и внедряет чужой код в защищённой среде. В итоге RMPocalypse позволяет получить полный контроль над конфиденциальными ВМ и доступ к чувствительным данным.
Компания AMD уже выпустила исправления, Microsoft работает над обновлениями для Azure Confidential Computing на базе AMD, а Supermicro готовит обновления BIOS для уязвимых материнских плат. Следите за новостями!
xakep.ru/2025/10/15/rmpocalypse/

Уязвимость в Samba с максимальным уровнем опасности
Уязвимость (CVE-2025-10230, уровень опасности — 10 из 10) позволяет запускать произвольный код на сервере без аутентификации. Для её устранения выпущены экстренные обновления.
Уязвимость возникает при изменении имени в WINS: система запускает служебное приложение, указанное в «wins hook», с помощью команды «sh -c», но не проверяет передаваемые в него аргументы командной строки. Имена NetBIOS в этих аргументах не очищаются от спецсимволов — это позволяет выполнить произвольные shell-команды через специально сформированное имя NetBIOS. Клиент без аутентификации может отправить WINS-серверу имя с символами '<', '>' и ';'. Например, имя «name;id>file» выполнит команду «id» и направит её вывод в файл «file».
Уязвимость активна только в конфигурации, где Samba используется в роли контроллера домена с включённым WINS-сервером (wins support = yes) и заданным параметром wins hook. В системах, где WINS-сервер работает без роли контроллера домена, уязвимость не проявляется.
Чтобы обезопаситься, обновите Samba до версий 4.23.2, 4.22.5 или 4.21.9. В обновлениях также устранена менее опасная уязвимость (CVE-2025-9640), приводящая к утечке неинициализированной памяти.
www.opennet.ru/opennews/art.shtml?num=64062

Флаг O_Direct: важная уязвимость без официального исправления
В Linux обнаружена критическая уязвимость, существующая более 10 лет. Она позволяет обычному пользователю без прав администратора необратимо повредить программный RAID-массив.
Как это работает:

• Приложение с доступом к файлу на RAID-массиве использует флаг O_DIRECT для прямого доступа к диску, минуя кеш ядра.
• При записи данных каждый диск в программном RAID (MD RAID, DRBD, LVM RAID) независимо обращается к одной и той же области памяти.
• На уровне драйверов разные диски массива получают различные версии данных, и синхронизация данных между дисками нарушается, хотя с точки зрения системы массив работает нормально. Повреждение остаётся незамеченным до момента чтения данных, когда проявляются расхождения.

Проблема пока не имеет официального исправления и может быть активирована даже при штатной работе приложений. Поэтому советуем следить за новостями.
www.linux.org.ru/news/linux-general/18114137

Критическая уязвимость ASP.NET Core
Microsoft исправила критическую уязвимость CVE-2025-55315 в ASP.NET Core, позволяющую злоумышленникам красть секретные данные и нарушать работу серверов через уязвимость в веб-сервере Kestrel.
Злоумышленник, авторизованный в системе, внедряет дополнительные HTTP-запросы в сервер Kestrel. С помощью этих запросов он перехватывает чужие сессии и обходит функции безопасности. Это позволяет получить доступ к конфиденциальным данным, включая учётные записи пользователей, вносить изменения в файлы на сервере, вызывая сбои и нарушая работу приложения. Кроме того, злоумышленник может повысить уровень привилегий и выполнить скрытые внутренние запросы в зависимости от архитектуры приложения.
Для устранения уязвимости Microsoft выпустила патчи для следующих продуктов: Visual Studio 2022, ASP.NET Core 2.3, 8.0, 9.0, а также пакет Microsoft.AspNetCore.Server.Kestrel.Core для приложений на ASP.NET Core 2.x.
Порядок обновления зависит от используемой версии:

• Пользователям .NET 8 и новее необходимо установить патч через Microsoft Update и перезагрузить устройство.
• Пользователям .NET 2.3 требуется обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core, перекомпилировать и заново развернуть приложение.
• Для самодостаточных и однофайловых приложений нужно установить патч, а затем перекомпилировать и развернуть приложение заново.

3dnews.ru/1131056/microsoft-ispravila-kriticheskuyu-uyazvimost-aspnet-core-pozvolyavshey-krast-sekretnie-dannie-i-lomat-serveri/#68f4f938742eecdb218b4568

Критическая уязвимость в WSUS позволяет хакерам контролировать серверы Windows
В службе обновления Windows Server Update Service (WSUS) обнаружена критическая уязвимость CVE-2025-59287 на серверах Windows с включённой ролью WSUS Server. Она позволяет удалённо выполнять произвольный код с правами SYSTEM без аутентификации, что может привести к захвату контроля над сервером. По информации специалистов компании Eye Security, уже были обнаружены попытки сканирования и эксплуатации свежего бага.
Уязвимость работает так:

• Сначала злоумышленник сканирует сеть в поисках WSUS-серверов с открытыми портами 8530/TCP и 8531/TCP. Исследования показывают, что в интернете доступно около 2500 таких серверов.
• После обнаружения цели атакующий отправляет специально созданное событие, которое запускает небезопасную десериализацию в устаревшем механизме WSUS. Для атаки не требуется аутентификация или взаимодействие с пользователем.
• Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM, что даёт полный контроль над сервером. На этапе пост-эксплуатации злоумышленники выполняют команды whoami, net user /domain и ipconfig /all для сбора информации о домене и сети, передавая данные через вебхуки.

Особую опасность уязвимости придает возможность самораспространения по принципу червя между WSUS-серверами корпоративной сети.
Главный метод защиты — как можно скорее установить экстренные обновления для всех затронутых версий Windows Server. Патчи доступны для:

• Windows Server 2025 (KB5070881);
• Windows Server, версия 23H2 (KB5070879);
• Windows Server 2022 (KB5070884);
• Windows Server 2019 (KB5070883);
• Windows Server 2016 (KB5070882);
• Windows Server 2012 R2 (KB5070886);
• Windows Server 2012 (KB5070887).

Если нет возможности незамедлительно установить обновления, можно использовать временные меры: отключить WSUS Server Role или заблокировать весь входящий трафик на порты 8530 и 8531, что сделает WSUS неработоспособным. Правда, после отключения WSUS или блокировки трафика конечные устройства Windows перестанут получать обновления с локального сервера.
xakep.ru/2025/10/27/cve-2025-59287/

Уязвимости в BIND 9 позволяют отравлять DNS-кеш и вызывать отказ в обслуживании
В DNS-сервере BIND 9 обнаружены сразу три опасные уязвимости, две из которых позволяют отравлять DNS-кеш, а третья — вызывать отказ в обслуживании. Они затрагивают только резолверы — серверы, обрабатывающие DNS-запросы клиентов, в то время как авторитативные серверы не подвержены риску.
Наиболее опасные — уязвимости отравления кеша:

• CVE-2025-40780 (8.6 CVSS) ослабляет защиту, внедренную после исследований Дэна Камински в 2008 году — позволяет предсказывать исходный порт и ID запроса, что упрощает спуфинг-атаки.
• CVE-2025-40778 (8.6 CVSS) связана с недостаточной валидацией входящих данных, позволяя злоумышленникам внедрять поддельные записи прямо в кеш DNS-сервера.

Третья уязвимость CVE-2025-8677 (7.5 CVSS) позволяет вызвать отказ в обслуживании через специально подготовленные DNSKEY-записи, которые исчерпывают ресурсы процессора.
ISC выпустила обновления для всех актуальных версий BIND: 9.18.41, 9.20.15 и 9.21.14. Организация настоятельно рекомендует немедленно обновиться, особенно тем, кто использует неподдерживаемые версии. Существующие меры защиты, включая DNSSEC, ограничение частоты запросов и настройки файрвола, также остаются эффективными против потенциальных атак.
xakep.ru/2025/10/27/bind-patches/

Мошенники научились подделывать голос в режиме реального времени
Компания NCC Group, которая занимается кибербезопасностью, опубликовала новый отчёт. В нём говорится, что технологии создания голосовых дипфейков достигли нового уровня: теперь они могут имитировать голос в реальном времени с помощью общедоступных инструментов и оборудования. Это открывает новые возможности для фишинга, и злоумышленники смогут имитировать голос конкретного человека в звонках и обходить традиционные средства защиты.
Конечно, аудиодипфейки — это не что-то новое, но раньше они не использовались в режиме реального времени. Как правило, злоумышленники заранее строили диалог и записывали реплики. Но если разговор отклонялся от ожидаемого сценария, мошенникам приходилось экстренно генерировать дипфейк, и появлялась задержка, как минимум несколько секунд (а часто и гораздо дольше).
Сейчас такой проблемы нет. Инженеры NCC Group разработали собственный метод воссоздания голоса и протестировали его на клиентах с их разрешения, и никто не заметил подмены. В отличие от голосовых, дипфейки с видеорядом пока не работают в реальном времени. Их слабая сторона — недостаточная согласованность картинки и звукового ряда — мимика не всегда соответствует интонациям.
Новые решения заставляют задуматься о необходимости совершенствовать средства защиты: методы аутентификации теперь не должны полагаться на голосовые и видеозвонки, предупреждают эксперты.
spectrum.ieee.org/real-time-audio-deepfake-vishing

Писала дайджест, пока все вырезали тыквы — Ксения Н.