На прошлой неделе в ходе пресс-конференции глава Wikileaks, Джулиан Ассанж, признал, что компаниям будет сложно исправить уязвимости в своих продуктах, основываясь только на информации, почерпнутой из документов ЦРУ.
Тот факт, что сами хакерские инструменты спецслужб не были опубликованы, сильно ограничивает разработчиков. Поэтому в Wikileaks приняли решение пойти производителям навстречу.
«Мы приняли решение сотрудничать с ними, предоставить эксклюзивный доступ к дополнительной технической информации, которой мы обладаем, чтобы они смогли разработать исправления и выпустить их, тем самым обезопасив людей. После этого, когда мы “разоружим” эти программы, удалив критические компоненты, мы опубликуем дополнительные детали случившегося», — пообещал Ассандж.
После этого СМИ сообщили, что представители Wikileaks действительно вышли на связь с Google, Apple, Microsoft и другими компаниями-разработчиками, чьи продукты фигурируют в опубликованных недавно документах ЦРУ. Однако делиться эксплоитами и данными о них Wikileaks не торопится.
Журналисты издания Vice Motherboard, со ссылкой на многочисленные собственные источники, сообщают, что теперь Wikileaks выдвигает ряд требований или же условий, и компании получат доступ к информации, лишь согласившись с ними и приняв их,
Доподлинно неизвестно, каковы требования Wikileaks. Источники издания в частности упоминают срок в 90 дней, который отводится компаниям на исправление проблем. По истечении этого периода времени компании будут обязаны публично раскрыть информацию о багах, которые эксплуатировало ЦРУ. То есть исправления должны быть разработаны и выпущены за 90 дней. Представители ЦРУ, в свою очередь, связываться с компаниями вообще не торопятся.
«У Wikileaks и правительства на руках все карты, технические компании мало что могут сделать сами по себе, разве что лихорадочно просматривать свой код в поисках любых проблем, которые могут иметь отношение к делу», — говорит один из источников Vice Motherboard.
Судя по всему, источник прав. К примеру, специалисты Cisco решили не ждать, пока Wikileaks предоставит факты, и провели аудит кода самостоятельно, опираясь на информацию из опубликованной секретной документации. Результатом стало обнаружение проблемы в IOS и IOS XE, которая затрагивает более 300 устройств компании. Баг обнаружили в CMP (Cluster Management Protocol) и исправлений для него пока нет. Пока специалисты Cisco лишь рекомендуют отключить Telnet.
Напомню, что все началось 7 марта 2017 года, когда сайт Wikileaks начал публикацию дампа под кодовым названием Vault 7, содержащего подробности работы Центрального разведывательного управления (ЦРУ) США. Первая публикация получила название «Год зеро» (Year Zero) и содержала 8761 документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли.
В итоге достоянием общественности стала информация о хакерском арсенале ЦРУ, включая вредоносное ПО, вирусы, трояны, эксплоиты для уязвимостей нулевого дня и так далее. Само кибероружие опубликовано не было, но документация проливает свет на конкретные техники и методы спецслужб, дает понять, какие уязвимости имеются в арсенале ЦРУ, и рассказывает, например, о том, что даже «умный» телевизор может шпионить за своим владельцем.
Эксперты «Лаборатории Касперского» разобрали новую волну атак на серверы Microsoft SharePoint и пришли к выводу, что в её основе лежит старая уязвимость пятилетней давности. Исследователи изучили эксплойт ToolShell, который использовался в атаках, и обнаружили сходство с CVE-2020-1147.
Напомним, CVE-2020-1147 — уязвимость, обнаруженная в SharePoint ещё в 2020 году. Похоже, тогда брешь закрыли не до конца, и только обновление 2025 года (CVE-2025-53770) устранило проблему полностью.
Дополнительный анализ показал, что уязвимости CVE-2025-49704 и CVE-2025-49706, которые были закрыты 8 июля, тоже имели общий корень с CVE-2020-1147.
Причём обойти защиту можно было, просто добавив один символ — «/» — в код эксплойта. Microsoft позже выпустила заплатки, устранившие этот обход, и присвоила им отдельные номера.
Атаки на SharePoint фиксировались по всему миру — в том числе в России, Египте, Иордании, Вьетнаме и Замбии. Под удар попали организации из разных сфер: финансы, госсектор, промышленность, а также сельское и лесное хозяйство.
Специалисты напоминают, что старые уязвимости вроде ProxyLogon, PrintNightmare и EternalBlue до сих пор активно используются злоумышленниками.
Если обновления не установлены вовремя, система остаётся уязвимой. С ToolShell, по всей видимости, может случиться то же самое: эксплойт уже опубликован, прост в использовании и, скорее всего, скоро появится в инструментах, которыми пользуются хакеры.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
