Ноябрь — запуск статус-панели, мануалы для сисадминов и обзор свежих уязвимостей
Ноябрь — время, когда список дел длиннее, чем световой день: догорают отчёты и дедлайны, всем надо что-то успеть. Если вы, как и мы, чувствуете, что стресс достиг критического уровня, пора применять техники самопомощи. Например, покричать в лесу или просто расслабиться и попытаться поймать дзен.
А пока вы выбираете, предлагаем свой способ для передышки — полистайте наш заботливый ноябрьский дайджест. Он поможет переключиться и сэкономить силы.
В блоге рассказываем, как разгрузить рабочий день и поручить хотя бы часть рутины роботам. Инструкции в базе знаний помогут настроить сложную систему и потратить на это минимум нервных клеток, а на Хабре ждёт подборка свежих статей для вдохновения и перезагрузки.
Теперь обо всём по порядку: заварите ромашкового чаю, и поехали!
Статьи и инструкции
Как создать telegram-бота на Python
В инструкции — как собрать на Python верного помощника, который будет сообщать данные о сервере. А ещё разберём, как сделать так, чтобы он работал круглосуточно, а вы — нет.
firstvds.ru/blog/kak-sozdat-telegram-bota-na-python
Что такое Swagger и как он облегчает работу с API
Swagger — тоже один из способов автоматизировать работу и облегчить себе жизнь. Это набор инструментов для проектирования API-сервисов, который будет полезен разработчикам, аналитикам, тестировщикам и техническим писателям. В статье рассказываем, как использовать инструмент, и разбираем работу самых востребованных приложений в этой экосистеме.
firstvds.ru/blog/chto-takoe-swagger-i-kak-oblegchaet-rabotu-s-api
Подборка мануалов для системных администраторов
Мы знаем, как бывает сложно разобраться в настройках, поэтому наши специалисты подготовили для вас шпаргалки. Они помогут освоить работу с Systemd — инструментом для управления ОС на базе Linux, подключаться к БД MySQL — удалённо или локально, настраивать файрвол и переносить данные между облачными хранилищами. Сохраните их, чтобы заглянуть, когда появится задача.
Habr: самое интересное за ноябрь
Когда рабочие задачи накрывают с головой, лучшее лекарство — отвлечься. Приходите к нам на Хабр, чтобы обсудить актуальные и просто интересные темы.
Разберемся, как эффективнее использовать AI-инструменты в разработке на примере Vue SFC, и расскажем про демокит для тестирования RF-плат. Если хочется чего-то более легкого, припасли научный нон-фикшен — трогательную историю создания кардиомонитора и статью о поразительной случайности, которая привела к открытию реликтового излучения.
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар.
Тема декабря: IT-компании.
firstvds.ru/avtoram
Новости ноября
Запустили новый сервис — статус-панель
Статус-панель FirstVDS — инструмент, который позволяет оперативно оценить состояние вашей инфраструктуры: кластеров с тарифными планами, панелей виртуализации, сетей и сервисов. В случае внезапных проблем панель сразу поможет понять: это локальная неисправность или масштабный инцидент.
Перейти в статус-панель можно с главной страницы нашего сайта. Для этого в верхнем меню нажмите на индикатор статус-панели.
firstvds.live
О том, как работает инструмент и какие задачи решает, рассказали в подробной инструкции.
firstvds.ru/technology/status-panel-firstvds
Временно приостанавливаем продажи VDS в Казахстане
Локация Алматы показала настолько высокий спрос, что наши клиенты за короткое время заняли всю стартовую инфраструктуру. Поэтому мы временно приостанавливаем продажу новых серверов в Казахстане. Сейчас ведём работы по расширению мощностей: двигаемся максимально быстро, не жертвуя качеством.
Топ новостей из мира безопасности
Отличные новости для всех, кто полыхает в огне дедлайнов: в плане безопасности ноябрь выдался довольно тихим и мирным. Но всё-таки специалисты по безопасности обнаружили несколько критических уязвимостей. Мы советуем проверить свои системы, чтобы избежать проблем:
Угроза для пользователей браузеров на базе Chromium
ИБ-исследователь Хосе Пино обнаружил серьезную уязвимость в движке Blink, которая позволяет за секунды вывести из строя многие браузеры на базе Chromium или вызвать зависание системы. Уязвимость подтверждена в браузерах на движке Chromium, начиная с версии 143.0.7483.0. В том числе в Microsoft Edge, Brave, Opera и Vivaldi, OpenAI ChatGPT Atlas, Perplexity Comet и другие. Исключение — Firefox, Safari, которые используют собственные движки — Gecko и WebKit соответственно.
Как работает атака. Проблема заключается в том, что Blink не ограничивает частоту обновлений API document.title. Это приводит к миллионам мутаций DOM в секунду: они перегружают CPU, приводя к внезапному завершению работы браузера и падению производительности системы.
Атака включает три этапа:
Подготовка. В память загружаются данные для циклической смены заголовка вкладки.
Инъекция. Скрипт выполняет массовые обновления document.title, создавая огромную нагрузку.
Перегрузка. Главный поток браузера перегружается, что приводит к зависанию интерфейса, вкладок и последующему аварийному завершению работы.
Brash можно активировать по таймеру, превратив в логическую бомбу — достаточно кликнуть по вредоносной ссылке.
Защита пока только одна: не переходить по подозрительным ссылкам и закрывать зависшие вкладки. Разработчики Chromium планируют ограничить частоту обновлений document.title и улучшить управление ресурсами Blink.
xakep.ru/2025/10/31/brash/
Плагин безопасности Wordpress оказался уязвимым
В плагине Anti-Malware Security and Brute-Force Firewall для Wordpress обнаружена уязвимость CVE-2025-11705. Она позволяет пользователям с минимальными правами (например, подписчикам) читать любые файлы на сервере. Например, получить доступ к конфигурационному файлу wp-config.php, где хранится имя базы данных и учетные данные. В этом случае злоумышленник может украсть хеши паролей, email-адреса, содержимое постов и другие конфиденциальные данные, что может привести к полному захвату сайта.
Проблема — в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — используется только nonce, который может перехватить атакующий. Это позволяет любому авторизованному пользователю вызвать функцию и прочитать критически важные файлы.
Сейчас плагин Anti-Malware Security and Brute-Force Firewall установлен более чем на 100 000 сайтов. Уязвимость затрагивает версии 4.23.81 и более ранние. Чтобы защититься, необходимо обновить плагин Anti-Malware Security and Brute-Force Firewall до версии 4.23.83 или выше, где добавлена проверка прав пользователя. Поскольку уязвимость уже раскрыта публично, атаки могут начаться в любой момент, поэтому обновление следует установить как можно скорее.
xakep.ru/2025/11/01/secure-plugin-bug/
Уязвимость в плагине Wordpress ставит тысячи сайтов под удар
Злоумышленники атакуют сайты на Wordpress, используя критическую уязвимость CVE-2025-11833 в популярном плагине Post SMTP (более 400 000 установок), который применяется для отправки почты. Хакеры перехватывают письма для сброса паролей, получая полный контроль над ресурсами. Уязвимость затрагивает все версии плагина от 3.6.0 и выше.
Дело в том, что плагин передаёт логи писем по любому запросу без проверки прав. Это позволяет злоумышленникам читать письма для сброса паролей администраторов, переходить по ссылкам и захватывать учетные записи. Уязвимость оценивается в 9.8 баллов из 10 по шкале CVSS.
Для защиты необходимо срочно обновить плагин Post SMTP до версии 3.6.1, где эта уязвимость исправлена. Поскольку атаки уже фиксируются в активной фазе (тысячи попыток взлома), мы советуем не откладывать обновление.
xakep.ru/2025/11/06/post-smtp-flaw/
Побег из контейнера: обнаружены три уязвимости в runC для Docker и Kubernetes
Инженер SUSE и член совета Open Container Initiative (OCI) Алекса Сарай обнаружил три критические уязвимости (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) в контейнерном рантайме runC — ключевом компоненте Docker и Kubernetes, отвечающем за низкоуровневые операции управления контейнерами.
Уязвимости связаны с манипуляцией символьными ссылками при монтировании файлов и позволяют злоумышленнику, имеющему возможность запускать контейнеры с кастомными настройками, обойти изоляцию и получить права root на хост-системе:
CVE-2025-31133 — позволяет атакующему заменить /dev/null на символьную ссылку для записи произвольных данных в /proc.
CVE-2025-52565 — через манипуляции с /dev/console и символьные ссылки возможна запись критических данных в procfs.
CVE-2025-52881 — обход LSM-защиты позволяет перенаправлять запись данных в /proc на контролируемые файлы, включая опасные вроде /proc/sysrq-trigger.
Уязвимости требуют возможности настраивать монтирование в контейнерах через вредоносные образы или Dockerfile.
Как защититься:
Обновить runC до версий 1.2.8, 1.3.3, 1.4.0-rc.3 или новее.
Включить user namespace для всех контейнеров без предоставления root-прав хоста.
Использовать rootless-контейнеры где это возможно.
Мониторить подозрительную работу с символьными ссылками.
На текущий момент активных атак не зафиксировано, но лучше как можно скорее установить обновление.
xakep.ru/2025/11/11/runc-bugs/
Критическая уязвимость в W3 Total Cache: полный контроль над сайтом через комментарии
В популярном плагине WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501. Она позволяет выполнять произвольные PHP-команды на сервере без аутентификации и получить полный контроль над сайтом. Уязвимость затрагивает все версии плагина до 2.8.13.
Уязвимость связана с функцией _parse_dynamic_mfunc(), которая обрабатывает динамические вызовы функций в кешированном контенте. Для атаки достаточно оставить на сайте специально подготовленный комментарий с вредоносной нагрузкой — плагин выполнит содержащиеся в нем PHP-команды.
Чтобы защититься:
обновите W3 Total Cache до версии 2.8.13;
если обновление невозможно, деактивируйте плагин;
в качестве дополнительной меры отключите комментарии на сайте или включите их премодерацию.
Разработчики выпустили исправление 20 октября 2025 года, но сотни тысяч сайтов до сих пор остаются уязвимыми. Исследователи намеренно отложили публикацию PoC-эксплоита до 24 ноября, чтобы администраторы успели обновить системы.
xakep.ru/2025/11/20/w3-total-cache-injection/
Критическая уязвимость в Grafana Enterprise позволяет получить права администратора
В Grafana Enterprise обнаружена критическая уязвимость CVE-2025-41115 (CVSS 10/10), позволяющая злоумышленнику выдать себя за администратора или другого пользователя системы. CVE-2025-41115 затрагивает Grafana Enterprise версий 12.0.0–12.2.1.
Атака работает, если включена функция SCIM provisioning (опции enableSCIM и user_sync_enabled установлены в true). В этом случае вредоносный SCIM-клиент может создать пользователя с числовым externalId, который Grafana соотносит с внутренним идентификатором user.uid. Такая подмена позволяет получить права администратора или другого привилегированного пользователя.
Для защиты необходимо как можно скорее обновить Grafana Enterprise до версии 12.3.0 или патчевых релизов 12.2.1, 12.1.3, 12.0.6. В качестве временной меры рекомендуется отключить SCIM provisioning. Уязвимость в Grafana была обнаружена и устранена 4 ноября 2025 года. По данным компании, злоумышленники не использовали её в атаках на облачный сервис Grafana Cloud.
xakep.ru/2025/11/24/grafana-flaw/
Опасная атака на npm: Sha1-Hulud крадёт данные и уничтожает файлы
Специалисты по ИБ обнаружили волну атак Sha1-Hulud на реестр npm, которая затронула уже более 25 000 репозиториев. Принцип её работы напоминает атаку Shai-Hulud, выявленную ранее в 2025 году. Но новый вредонос может не только красть учётную информацию и получать контроль над системами, но и даёт возможность полностью удалять данные на заражённых устройствах.
Как работает атака Sha1-Hulud на npm:
Злоумышленники добавляют в пакеты вредоносный скрипт preinstall, который выполняется автоматически при установке пакета. Этот скрипт обнаруживает или устанавливает среду Bun.
Запускается вложенный вредоносный код, который регистрирует заражённую машину как GitHub self-hosted runner с именем SHA1HULUD.
Далее создаётся и добавляется в репозиторий вредоносный GitHub workflow (например, .github/workflows/discussion.yaml) с уязвимостью внедрения команд. Этот workflow позволяет злоумышленникам запускать произвольные команды на runner.
Вредоносный код запускает утилиту TruffleHog для локального сканирования машины на предмет поиска токенов npm, ключей облачных платформ AWS, GCP, переменных окружения и других секретов.
Workflow собирает все секреты из GitHub Secrets и сохраняет их в файл actionsSecrets.json, который скачивается обратно на заражённую машину. Workflow удаляется для сокрытия следов.
Собранные секреты и конфиденциальные данные отправляются злоумышленникам, в том числе создаётся публичный репозиторий Shai-Hulud с украденными данными от имени жертвы.
Если вредонос не может получить доступ к токенам или аутентифицироваться в GitHub (или получить npm токены), запускается функция уничтожения всех доступных для записи файлов в домашнем каталоге (wiper). Для повышения привилегий вирус пытается получить root-доступ через Docker, монтируя корневую файловую систему в привилегированном контейнере и копируя вредоносный файл sudoers для беспарольного доступа. Подробнее о механизме атаки и её рисках рассказывали в нашей статье на Хабре.
Как защититься:
просканировать все конечные точки на наличие заражённых пакетов и немедленно удалить их;
обновить все учётные данные и проверить репозитории на наличие подозрительных файлов workflow, таких как shai-hulud-workflow.yml;
внимательно следить за необычными ветками и действиями в .github/workflows для выявления скрытого заражения.
thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html
А пока вы выбираете, предлагаем свой способ для передышки — полистайте наш заботливый ноябрьский дайджест. Он поможет переключиться и сэкономить силы.
В блоге рассказываем, как разгрузить рабочий день и поручить хотя бы часть рутины роботам. Инструкции в базе знаний помогут настроить сложную систему и потратить на это минимум нервных клеток, а на Хабре ждёт подборка свежих статей для вдохновения и перезагрузки.
Теперь обо всём по порядку: заварите ромашкового чаю, и поехали!
Статьи и инструкции
Как создать telegram-бота на Python
В инструкции — как собрать на Python верного помощника, который будет сообщать данные о сервере. А ещё разберём, как сделать так, чтобы он работал круглосуточно, а вы — нет.
firstvds.ru/blog/kak-sozdat-telegram-bota-na-python
Что такое Swagger и как он облегчает работу с API
Swagger — тоже один из способов автоматизировать работу и облегчить себе жизнь. Это набор инструментов для проектирования API-сервисов, который будет полезен разработчикам, аналитикам, тестировщикам и техническим писателям. В статье рассказываем, как использовать инструмент, и разбираем работу самых востребованных приложений в этой экосистеме.
firstvds.ru/blog/chto-takoe-swagger-i-kak-oblegchaet-rabotu-s-api
Подборка мануалов для системных администраторов
Мы знаем, как бывает сложно разобраться в настройках, поэтому наши специалисты подготовили для вас шпаргалки. Они помогут освоить работу с Systemd — инструментом для управления ОС на базе Linux, подключаться к БД MySQL — удалённо или локально, настраивать файрвол и переносить данные между облачными хранилищами. Сохраните их, чтобы заглянуть, когда появится задача.
- Systemd: основы управления службами
- Как подключиться к базе данных MySQL
- Настройка iptables в Linux
- Перенос данных в объектное хранилище S3 с помощью Rclone
Habr: самое интересное за ноябрь
Когда рабочие задачи накрывают с головой, лучшее лекарство — отвлечься. Приходите к нам на Хабр, чтобы обсудить актуальные и просто интересные темы.
Разберемся, как эффективнее использовать AI-инструменты в разработке на примере Vue SFC, и расскажем про демокит для тестирования RF-плат. Если хочется чего-то более легкого, припасли научный нон-фикшен — трогательную историю создания кардиомонитора и статью о поразительной случайности, которая привела к открытию реликтового излучения.
- Vue SFC — идеальный формат для AI-разработки и вот почему
- Тестируем плату RF Demo Kit for NanoVNA-F
- Инженер, который научил компьютер слушать сердце: история Хейвуда и его кардиомонитора
- Космический шум, или как случайно нашли реликтовое излучение
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар.
Тема декабря: IT-компании.
firstvds.ru/avtoram
Новости ноября
Запустили новый сервис — статус-панель
Статус-панель FirstVDS — инструмент, который позволяет оперативно оценить состояние вашей инфраструктуры: кластеров с тарифными планами, панелей виртуализации, сетей и сервисов. В случае внезапных проблем панель сразу поможет понять: это локальная неисправность или масштабный инцидент.
Перейти в статус-панель можно с главной страницы нашего сайта. Для этого в верхнем меню нажмите на индикатор статус-панели.
firstvds.live
О том, как работает инструмент и какие задачи решает, рассказали в подробной инструкции.
firstvds.ru/technology/status-panel-firstvds
Временно приостанавливаем продажи VDS в Казахстане
Локация Алматы показала настолько высокий спрос, что наши клиенты за короткое время заняли всю стартовую инфраструктуру. Поэтому мы временно приостанавливаем продажу новых серверов в Казахстане. Сейчас ведём работы по расширению мощностей: двигаемся максимально быстро, не жертвуя качеством.
Топ новостей из мира безопасности
Отличные новости для всех, кто полыхает в огне дедлайнов: в плане безопасности ноябрь выдался довольно тихим и мирным. Но всё-таки специалисты по безопасности обнаружили несколько критических уязвимостей. Мы советуем проверить свои системы, чтобы избежать проблем:
- уязвимости в браузерах на Chromium, а также в Wordpress, Docker и Kubernetes;
- опасные уязвимости в WordPress и Grafana Enterprise.
Угроза для пользователей браузеров на базе Chromium
ИБ-исследователь Хосе Пино обнаружил серьезную уязвимость в движке Blink, которая позволяет за секунды вывести из строя многие браузеры на базе Chromium или вызвать зависание системы. Уязвимость подтверждена в браузерах на движке Chromium, начиная с версии 143.0.7483.0. В том числе в Microsoft Edge, Brave, Opera и Vivaldi, OpenAI ChatGPT Atlas, Perplexity Comet и другие. Исключение — Firefox, Safari, которые используют собственные движки — Gecko и WebKit соответственно.
Как работает атака. Проблема заключается в том, что Blink не ограничивает частоту обновлений API document.title. Это приводит к миллионам мутаций DOM в секунду: они перегружают CPU, приводя к внезапному завершению работы браузера и падению производительности системы.
Атака включает три этапа:
Подготовка. В память загружаются данные для циклической смены заголовка вкладки.
Инъекция. Скрипт выполняет массовые обновления document.title, создавая огромную нагрузку.
Перегрузка. Главный поток браузера перегружается, что приводит к зависанию интерфейса, вкладок и последующему аварийному завершению работы.
Brash можно активировать по таймеру, превратив в логическую бомбу — достаточно кликнуть по вредоносной ссылке.
Защита пока только одна: не переходить по подозрительным ссылкам и закрывать зависшие вкладки. Разработчики Chromium планируют ограничить частоту обновлений document.title и улучшить управление ресурсами Blink.
xakep.ru/2025/10/31/brash/
Плагин безопасности Wordpress оказался уязвимым
В плагине Anti-Malware Security and Brute-Force Firewall для Wordpress обнаружена уязвимость CVE-2025-11705. Она позволяет пользователям с минимальными правами (например, подписчикам) читать любые файлы на сервере. Например, получить доступ к конфигурационному файлу wp-config.php, где хранится имя базы данных и учетные данные. В этом случае злоумышленник может украсть хеши паролей, email-адреса, содержимое постов и другие конфиденциальные данные, что может привести к полному захвату сайта.
Проблема — в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — используется только nonce, который может перехватить атакующий. Это позволяет любому авторизованному пользователю вызвать функцию и прочитать критически важные файлы.
Сейчас плагин Anti-Malware Security and Brute-Force Firewall установлен более чем на 100 000 сайтов. Уязвимость затрагивает версии 4.23.81 и более ранние. Чтобы защититься, необходимо обновить плагин Anti-Malware Security and Brute-Force Firewall до версии 4.23.83 или выше, где добавлена проверка прав пользователя. Поскольку уязвимость уже раскрыта публично, атаки могут начаться в любой момент, поэтому обновление следует установить как можно скорее.
xakep.ru/2025/11/01/secure-plugin-bug/
Уязвимость в плагине Wordpress ставит тысячи сайтов под удар
Злоумышленники атакуют сайты на Wordpress, используя критическую уязвимость CVE-2025-11833 в популярном плагине Post SMTP (более 400 000 установок), который применяется для отправки почты. Хакеры перехватывают письма для сброса паролей, получая полный контроль над ресурсами. Уязвимость затрагивает все версии плагина от 3.6.0 и выше.
Дело в том, что плагин передаёт логи писем по любому запросу без проверки прав. Это позволяет злоумышленникам читать письма для сброса паролей администраторов, переходить по ссылкам и захватывать учетные записи. Уязвимость оценивается в 9.8 баллов из 10 по шкале CVSS.
Для защиты необходимо срочно обновить плагин Post SMTP до версии 3.6.1, где эта уязвимость исправлена. Поскольку атаки уже фиксируются в активной фазе (тысячи попыток взлома), мы советуем не откладывать обновление.
xakep.ru/2025/11/06/post-smtp-flaw/
Побег из контейнера: обнаружены три уязвимости в runC для Docker и Kubernetes
Инженер SUSE и член совета Open Container Initiative (OCI) Алекса Сарай обнаружил три критические уязвимости (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) в контейнерном рантайме runC — ключевом компоненте Docker и Kubernetes, отвечающем за низкоуровневые операции управления контейнерами.
Уязвимости связаны с манипуляцией символьными ссылками при монтировании файлов и позволяют злоумышленнику, имеющему возможность запускать контейнеры с кастомными настройками, обойти изоляцию и получить права root на хост-системе:
CVE-2025-31133 — позволяет атакующему заменить /dev/null на символьную ссылку для записи произвольных данных в /proc.
CVE-2025-52565 — через манипуляции с /dev/console и символьные ссылки возможна запись критических данных в procfs.
CVE-2025-52881 — обход LSM-защиты позволяет перенаправлять запись данных в /proc на контролируемые файлы, включая опасные вроде /proc/sysrq-trigger.
Уязвимости требуют возможности настраивать монтирование в контейнерах через вредоносные образы или Dockerfile.
Как защититься:
Обновить runC до версий 1.2.8, 1.3.3, 1.4.0-rc.3 или новее.
Включить user namespace для всех контейнеров без предоставления root-прав хоста.
Использовать rootless-контейнеры где это возможно.
Мониторить подозрительную работу с символьными ссылками.
На текущий момент активных атак не зафиксировано, но лучше как можно скорее установить обновление.
xakep.ru/2025/11/11/runc-bugs/
Критическая уязвимость в W3 Total Cache: полный контроль над сайтом через комментарии
В популярном плагине WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501. Она позволяет выполнять произвольные PHP-команды на сервере без аутентификации и получить полный контроль над сайтом. Уязвимость затрагивает все версии плагина до 2.8.13.
Уязвимость связана с функцией _parse_dynamic_mfunc(), которая обрабатывает динамические вызовы функций в кешированном контенте. Для атаки достаточно оставить на сайте специально подготовленный комментарий с вредоносной нагрузкой — плагин выполнит содержащиеся в нем PHP-команды.
Чтобы защититься:
обновите W3 Total Cache до версии 2.8.13;
если обновление невозможно, деактивируйте плагин;
в качестве дополнительной меры отключите комментарии на сайте или включите их премодерацию.
Разработчики выпустили исправление 20 октября 2025 года, но сотни тысяч сайтов до сих пор остаются уязвимыми. Исследователи намеренно отложили публикацию PoC-эксплоита до 24 ноября, чтобы администраторы успели обновить системы.
xakep.ru/2025/11/20/w3-total-cache-injection/
Критическая уязвимость в Grafana Enterprise позволяет получить права администратора
В Grafana Enterprise обнаружена критическая уязвимость CVE-2025-41115 (CVSS 10/10), позволяющая злоумышленнику выдать себя за администратора или другого пользователя системы. CVE-2025-41115 затрагивает Grafana Enterprise версий 12.0.0–12.2.1.
Атака работает, если включена функция SCIM provisioning (опции enableSCIM и user_sync_enabled установлены в true). В этом случае вредоносный SCIM-клиент может создать пользователя с числовым externalId, который Grafana соотносит с внутренним идентификатором user.uid. Такая подмена позволяет получить права администратора или другого привилегированного пользователя.
Для защиты необходимо как можно скорее обновить Grafana Enterprise до версии 12.3.0 или патчевых релизов 12.2.1, 12.1.3, 12.0.6. В качестве временной меры рекомендуется отключить SCIM provisioning. Уязвимость в Grafana была обнаружена и устранена 4 ноября 2025 года. По данным компании, злоумышленники не использовали её в атаках на облачный сервис Grafana Cloud.
xakep.ru/2025/11/24/grafana-flaw/
Опасная атака на npm: Sha1-Hulud крадёт данные и уничтожает файлы
Специалисты по ИБ обнаружили волну атак Sha1-Hulud на реестр npm, которая затронула уже более 25 000 репозиториев. Принцип её работы напоминает атаку Shai-Hulud, выявленную ранее в 2025 году. Но новый вредонос может не только красть учётную информацию и получать контроль над системами, но и даёт возможность полностью удалять данные на заражённых устройствах.
Как работает атака Sha1-Hulud на npm:
Злоумышленники добавляют в пакеты вредоносный скрипт preinstall, который выполняется автоматически при установке пакета. Этот скрипт обнаруживает или устанавливает среду Bun.
Запускается вложенный вредоносный код, который регистрирует заражённую машину как GitHub self-hosted runner с именем SHA1HULUD.
Далее создаётся и добавляется в репозиторий вредоносный GitHub workflow (например, .github/workflows/discussion.yaml) с уязвимостью внедрения команд. Этот workflow позволяет злоумышленникам запускать произвольные команды на runner.
Вредоносный код запускает утилиту TruffleHog для локального сканирования машины на предмет поиска токенов npm, ключей облачных платформ AWS, GCP, переменных окружения и других секретов.
Workflow собирает все секреты из GitHub Secrets и сохраняет их в файл actionsSecrets.json, который скачивается обратно на заражённую машину. Workflow удаляется для сокрытия следов.
Собранные секреты и конфиденциальные данные отправляются злоумышленникам, в том числе создаётся публичный репозиторий Shai-Hulud с украденными данными от имени жертвы.
Если вредонос не может получить доступ к токенам или аутентифицироваться в GitHub (или получить npm токены), запускается функция уничтожения всех доступных для записи файлов в домашнем каталоге (wiper). Для повышения привилегий вирус пытается получить root-доступ через Docker, монтируя корневую файловую систему в привилегированном контейнере и копируя вредоносный файл sudoers для беспарольного доступа. Подробнее о механизме атаки и её рисках рассказывали в нашей статье на Хабре.
Как защититься:
просканировать все конечные точки на наличие заражённых пакетов и немедленно удалить их;
обновить все учётные данные и проверить репозитории на наличие подозрительных файлов workflow, таких как shai-hulud-workflow.yml;
внимательно следить за необычными ветками и действиями в .github/workflows для выявления скрытого заражения.
thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html
