Впереди майские, но если радостного настроения хочется прямо сейчас, скорее открывайте новый выпуск нашего дайджеста. Так вышло, что в этот раз мы собрали в него не только самое интересное, но и самое праздничное.
Далее расскажем о том, как мы отметили День космонавтики, и подведём итоги нашей фантастической акции. А ещё погрузим в торжественную атмосферу награждения на Национальной премии ЦОДы.РФ и вместе порадуемся за проект CLO, которому в апреле исполнилось 5 лет.
Начнем, пожалуй, традиционно с подборки свежих инструкций и полезных статей.
Статьи и инструкции
Циклы в bash
При составлении скриптов часто требуется повторять последовательность действий с объектами, которые имеют общие признаки (расположение, имя, размер). Либо выполнять такие действия, пока истинно конкретное условие. В языке bash, как и в большинстве языков программирования, для этих целей существует управляющая конструкция — цикл.
В статье рассмотрим три типа циклов bash: for, while и until, а также команды для управления ходом цикла — break и continue.
firstvds.ru/technology/cikly-v-bash
Переменные окружения в Linux
Гибкий инструмент, который используется для настройки поведения системы и приложений. Также он применяется для хранения информации, необходимой для работы программ и доступа к ресурсам. По сути, переменные окружения — это пары «ключ-значение», которые могут прописываться в конфигах, задаваться вручную или автоматически. В статье подробнее разберём, что это такое и как с ними работать.
firstvds.ru/technology/peremennye-okruzheniya-v-linux
Аккредитация IT-компаний в 2025 году: что изменится, кого и как это коснётся
Сотрудники IT-компаний знают, что работать в аккредитованной компании, значит, иметь право на определённые льготы от государства. Однако в 2025 году процедуру продления аккредитации ждут изменения. Разбираемся, какие нововведения ожидаются, как и на кого это повлияет.
firstvds.ru/blog/akkreditaciya-it-kompaniy-v-2025-godu-chto-izmenitsya-kogo-i-kak-eto-kosnyotsya
Habr: самое интересное за апрель
Когда человек в одиночку предотвращает глобальную угрозу, открытия переживают свои эпохи, а маленькие игроки бросают вызов корпорациям, чтобы отстоять идеалы, — это ли не повод для праздника? Ведь технологический прогресс пишется не только громкими победами, но и тихими подвигами, которые меняют правила игры. И об этом наша сегодняшняя подборка статей из блога на Хабре.
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема мая: законодательство в IT.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz
Новости апреля
Space Day: подводим итоги космической акции
Если мы отмечаем праздники, то обычно делаем это с размахом. Почти половину месяца длилась акция, которую мы запустили в честь Дня космонавтики. До 28 апреля каждый желающий мог приобрести эксклюзивный VDS Восток 3.0 и попытать счастья в космической игре, преодолевая самые разнообразные преграды по пути с Марса на Землю.
За успешное завершение миссии каждый путешественник мог получить классные призы — скидку на заказ новых VDS, сертификат на пополнение баланса, мерч с уникальным дизайном и крутой набор LEGO. Последний подарок — только за сбор поинтов, иначе говоря, достижений. И сегодня мы наконец определили тех, кому достанутся 5 крутых марсоходов из серии LEGO Technic.
firstvds.ru/blog/itogi-akcii-space-adventure-put-domoy
Национальная премия «ЦОДы.РФ 2024/2025»: победа в номинации «Золотое перо года»
7 апреля в банкетном зале Loft Hall прошла церемония награждения номинантов ежегодной Национальной премии ЦОДы.РФ — уже девятой по счёту.
Мы оказались в числе тех, кто не только дошел до финала, но и одержал победу — в номинации «Золотое перо года». Спасибо всем, кто голосовал за нас и поддерживал во время онлайн-трансляции. Вы лучшие!
firstvds.ru/blog/rdca-win-2025
День рождения проекта CLO: объявляем победителей розыгрыша
В апреле облачный проект CLO отметил своё 5-летие, запустив в честь праздника розыгрыш среди своих клиентов. Чтобы получить шанс выиграть приз, участник должен был иметь любую активную услугу от CLO на время проведения акции.
И сегодня пришло время подводить итоги и объявлять победителей, которые получат подарки:
- гранты на пополнение баланса,
- крутой фирменный мерч.
Великий рандом скоро определит счастливчиков — заглядывайте на страницу акции CLO после 15:00 по мск, чтобы узнать, кому же достанутся призы.
clo.ru/happy-birthday-2025
Топ новостей из мира технологий и безопасности
Уязвимости в ingress-nginx: выполнение кода и захват кластеров Kubernetes
В популярном ingress-контроллере ingress-nginx обнаружены критические уязвимости (CVSS 9.8/10), позволяющие злоумышленникам выполнять произвольный код и получать полный контроль над кластером Kubernetes. Проблемы, получившие название IngressNightmare, затрагивают около 43% облачных сред. Исправления выпущены в версиях 1.11.5 и 1.12.1.
Ingress-nginx служит шлюзом для доступа к сервисам Kubernetes извне. Уязвимости позволяют атакующему без аутентификации выполнить код в контексте контроллера, если доступен веб-обработчик Admission. В сети обнаружено более 6500 уязвимых кластеров Kubernetes, которые используют уязвимые контроллеры с обработчиком Admission.
Как происходит атака. Через специально сформированный ingress-объект злоумышленник может внедрить произвольные настройки в конфигурацию NGINX, используя параметры:
- mirror-target, mirror-host (CVE-2025-1098),
- auth-tls-match-cn (CVE-2025-1097),
- auth-url (CVE-2025-24514).
Например, через auth-url можно передать вредоносные команды, которые попадут в конфигурационный файл. Также при проверке конфигурации (nginx -t) загружаются вредоносные библиотеки с модулями, включая SSL-движки. Атакующий может отправить большой запрос, чтобы NGINX создал временный файл (который остаётся доступным через /proc) и указать путь к этому файлу в директиве ssl_engine, заставив NGINX загрузить вредоносный код. Сложностью может стать необходимость угадать PID и дескриптор файла, но в контейнере это возможно за несколько попыток простого подбора.
Специалисты рекомендуют, обновить ingress-nginx до 1.11.5 или 1.12.1. или отключить функцию Validating Admission Controller, если обновление невозможно.
www.opennet.ru/opennews/art.shtml?num=62946
Выпущен Exim 4.98.2 с исправлением уязвимости
Опубликовано обновление почтового сервера Exim 4.98.2, устраняющее уязвимость CVE-2025-30232, которая потенциально позволяет повысить привилегии. Возможность удалённой эксплуатации не подтверждена.
Уязвимость затрагивает версии начиная с Exim 4.96, включая Debian 12, Ubuntu 24.04/24.10, openSUSE 15.6, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы не уязвимы, так как Exim отсутствует в их стандартных репозиториях (в EPEL обновление пока не доступно).
Причиной уязвимости стала ошибка типа use-after-free в pretrigger-обработчике. После освобождения памяти под буфер отладочных данных (debug_pretrigger_buf) указатель не обнулялся, что могло приводить к обращению к уже освобождённой памяти.
Чтобы избежать проблем с безопасностью, советуем установить обновление Exim 4.98.2.
www.opennet.ru/opennews/art.shtml?num=62960
Уязвимость EntrySign: затронуты даже Zen 5
AMD признала, что недавно обнаруженная уязвимость EntrySign оказалась гораздо масштабнее, чем предполагалось. Изначально считалось, что баг затрагивает только первые четыре поколения архитектуры Zen, но теперь выяснилось, что уязвимыми оказались и самые свежие процессоры Zen 5 — включая десктопные Ryzen 9000, серверные EPYC 9005 (Turin), мобильные чипы серии Ryzen AI 300, а также Ryzen 9000HX для игровых ноутбуков.
Уязвимость позволяет загружать неподписанные (вредоносные) обновления микрокода в процессор, обходя встроенный механизм проверки цифровой подписи. Проблема кроется в использовании алгоритма CMAC вместо криптостойкой хэш-функции, что позволяет подобрать коллизии и внедрить вредоносный код. Для атаки злоумышленнику требуется доступ к уровню ядра (Ring 0), что делает EntrySign особенно опасной в среде серверов и дата-центров.
AMD уже выпустила микрокодовые патчи в составе обновления ComboAM5PI 1.2.0.3c AGESA, направленные партнёрам и производителям плат. Однако финальные версии BIOS могут появиться у пользователей только через недели или месяцы. Также AMD предложила патч для ядра Linux, запрещающий загрузку неофициальных микрокодов. Владельцам систем с AMD SEV-SNP рекомендовано обновить прошивку.
3dnews.ru/1121112/amd-priznala-chto-vprotsessorah-zen-5-imeetsya-opasnaya-uyazvimost-entrysign/#67f81942742eec13c88b4572
WhatsApp для Windows: спуфинг-файл с исполняемым кодом
В мессенджере WhatsApp (версия для Windows) была устранена критическая уязвимость CVE-2025-30401, позволяющая выполнить произвольный код при открытии вложения с подделанными расширениями. Проблема заключалась в несоответствии между MIME-типом файла и расширением, что могло привести к выполнению скриптов и программ без ведома пользователя. Пользователям рекомендовано обновиться минимум до версии 2.2450.6.
xakep.ru/2025/04/08/whatsapp-code-execution/
WordPress-плагин OttoKit: массовая атака на 100 000 сайтов
Популярный плагин OttoKit (ранее SureTriggers), используемый более чем на 100 000 сайтов WordPress, оказался уязвим к обходу аутентификации (CVE-2025-3102). Баг позволяет атакующим без авторизации создавать новые учётные записи с правами администратора — достаточно отправить специальный HTTP-запрос с пустым полем st_authorization.
Атаки начались в течение нескольких часов после публикации PoC-эксплойта, и эксперты уже фиксируют попытки массового автоматизированного взлома. Всем пользователям OttoKit настоятельно рекомендуется обновиться до версии 1.0.79.
xakep.ru/2025/04/14/ottokit-auth-bypass/
Срок действия SSL-сертификатов сократят до 47 дней
CA/Browser Forum принял решение о поэтапном сокращении срока действия SSL/TLS-сертификатов. К 2029 году их срок службы сократится до 47 дней (а проверка домена — до 10). Это изменение поддержали крупнейшие браузеры и удостоверяющие центры (Google, Apple, Mozilla, Sectigo и др.).
Новая политика направлена на снижение рисков, связанных с устаревшими ключами и скомпрометированными сертификатами. Ожидается, что это вынудит компании внедрять автоматизированную ротацию сертификатов, сделав инфраструктуру интернета в целом надёжнее.
xakep.ru/2025/04/15/ca-browser-forum-voted/
SSH-уязвимость в Erlang/OTP: произвольный код на устройствах
В системе Erlang/OTP была найдена уязвимость CVE-2025-32433, которая позволяет злоумышленникам запускать произвольный код на устройствах с установленным SSH-демоном без авторизации. Эта проблема затрагивает все системы, использующие версии OTP ниже 27.3.3, 26.2.5.11 и 25.3.2.20. Уязвимость связана с неправильной обработкой сообщений протокола предварительной аутентификации в SSH-демоне.
Злоумышленники могут выполнять команды с правами суперпользователя, что может привести к компрометации системы.
Команда Horizon сообщает о том, что ей удалось воссоздать уязвимость и найти «поразительно лёгкий» метод её использования.
Эксперты рекомендуют обновить систему до исправленной версии или ограничить доступ к SSH до доверенных IP-адресов, а при невозможности установки патчей — временно отключить SSH.
xakep.ru/2025/04/18/cve-2025-32433/
Windows NTLM: выполнение произвольного кода на уязвимых устройствах
Уязвимость позволяет злоумышленникам осуществлять спуфинг-атаки, раскрывая NTLM-хеш, при распаковке вредоносного ZIP-архива. Для успешной эксплуатации достаточно выбрать или кликнуть на файл.
Уязвимость была использована в кампаниях, направленных на государственные и частные учреждения Польши и Румынии, с использованием вредоносных .library-файлов для сбора NTLMv2-хешей и повышения привилегий. Microsoft выпустила обновление 11 марта, но менее чем через две недели уязвимость уже применялась.
Организации должны немедленно устранить уязвимости NTLM, так как минимальное взаимодействие с пользователем делает эту угрозу серьёзной.
research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/
WordPress: мошеннические плагины создают 1,4 млрд рекламных запросов в день
Human выявили серьёзную мошенническую схему Scallywag, которая позволяет пиратским веб-сайтам и ресурсам с короткими URL-адресами получать прибыль с помощью специальных плагинов для WordPress. Они создают огромное количество мошеннических запросов — пике активность достигала 1,4 миллиарда запросов в день.
Схема включает четыре плагина: Soralink, Yu Idea, WPSafeLink и Droplink. Злоумышленники перенаправляют пользователей через множество промежуточных страниц с рекламой на пиратский контент.
Многие сайты используют Scallywag через партнёрские соглашения, а не напрямую. Исследователи выявили схему через анализ трафика WordPress-блогов и заблокировали её, что привело к прекращению доходов Scallywag. В ответ операторы схемы пытались скрыться, но были обнаружены.
Сейчас трафик Scallywag практически нулевой, а её клиенты перешли к другим нелегальным методам монетизации.
xakep.ru/2025/04/22/scallywag/
Удостоверяющий центр SSL.com: уязвимость, позволяющая получить сертификат для чужого домена
В системе проверки владения доменом SSL.com была обнаружена брешь в безопасности, позволяющая злоумышленникам получать сертификаты TLS для любых доменов, зная адрес электронной почты владельца. Это происходит из-за ошибки в процессе подтверждения владения через DNS-запись.
Исследователь успешно получил сертификат для домена aliyun.com, используя домен d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и адрес электронной почты myusername@aliyun.com.
SSL.com временно заблокировал уязвимый режим и отозвал 11 сертификатов, выданных с его использованием, включая домены medinet.ca, help.gurusoft.com.sg и другие
Был отозван только сертификат для aliyun.com. SSL.com планирует опубликовать отчёт об инциденте до 2 мая.
www.opennet.ru/opennews/art.shtml?num=63116
Прослезилась, пока читала в тг-чате все поздравления с победой на ЦОДах — Алёна Морозова
