В популярных наборах эксплоитов обнаружено более 13 уязвимостей

В популярных наборах эксплоитов обнаружено более 13 уязвимостей

Специалисты из TEHTRI-Security провели анализ уязвимостей в популярных средствах автоматизации атак на основе веб-интерфейсов. Исследованию подверглись такие популярные комплексы как Neon, Eleonore, Liberty, Lucky и Yes. Рассматриваемые комплексы автоматизации атак как правило состоят из набора эксплоитов к популярным уязвимостям и веб-интерфейса, облегчающего управление и мониторинг процесса инфицирования скомпрометированных систем.

Обычно, такие комплексы продаются или сдаются в аренду на хакерских форумах, где стоимость может достигать нескольких тысяч долларов США, в зависимости от комплектации и набора функций. Но существует миф, что разработкой таких средств занимаются группы пионеров-хакеров, которые занимаются "завёртыванием" существующих эксплоитов в эргономичный веб-интерфейс. Именно этот миф и попытались изучить исследователи из TEHTRI-Security.

Результат анализа подтвердил наличие множественных уязвимостей в рассматриваемых средствах автоматизации атак. Всего было обнаружено 13 различных уязвимостей, которые позволяли бы получить права администратора системы, произвести инъекцию HTML-кода, выполнить произвольный SQL-запрос. В пакетах эксплоитов NEON и Liberty были обнаружены возможности проведения XSS+XSRF атаки и SQL-инъекции.

Безграмотная система распределения прав доступа к файлам комплекса YES позволяет получить неавторизированный доступ к данным комплекса, а ошибки в его веб-интерфейсе провести XSS+XSRF атаку и выполнить SQL-инъекцию. Комплекс автоматизации атак Lucky оказался более устойчив к рассмотренным выше атакам, однако в нем были обнаружены возможности неавторизированного удаленного управления. Один из популярнейших наборов эксплоитов Eleonore также может похвастаться множественными XSS уязвимостями и возможностью проведения SQL-инъекции. Таким образом, миф о недостаточном образовании разработчиков пакетов эксплоитов с веб-интерфейсом оказался реальностью.

Источник

Дипфейк может утяжелить приговор: в УК РФ хотят добавить новую норму

Группа сенаторов и депутатов внесла в Госдуму законопроект, который предлагает считать использование искусственного интеллекта отягчающим обстоятельством при совершении преступления. Речь прежде всего о дипфейках — поддельных видео, аудиозаписях и изображениях.

Авторы инициативы считают, что такие материалы выглядят достаточно правдоподобно, чтобы использовать их в мошенничестве, клевете и преступлениях против общественной безопасности.

Если закон примут, применение дипфейка сможет повлиять на строгость наказания.

Для этого статью 63 Уголовного кодекса предлагают дополнить новым пунктом. Отягчающим обстоятельством станет использование созданных ИИ материалов, которые приписывают человеку поступки или высказывания, которых в действительности не было.

Это уже не первая попытка ужесточить наказание за преступления с применением нейросетей. Похожий проект вносили в 2025 году, но Госдума вернула его авторам из-за несоблюдения требований Конституции и парламентского регламента.

У новой версии тоже нашлись шероховатости. В тексте говорится о воспроизведении высказываний и действий, которых человек не совершал, хотя воспроизвести то, чего не было, довольно сложно — можно лишь имитировать. Еще загадочнее выглядит формулировка «личность, сгенерированная технологиями».

Идея понятна: дипфейк в руках мошенника должен утяжелять приговор. Но законодателям еще предстоит объяснить это таким языком, чтобы потом суду не пришлось угадывать, что именно они имели в виду.

RSS: Новости на портале Anti-Malware.ru