10-летняя дыра в ColdFusion используется в атаках шифровальщика Cring

10-летняя дыра в ColdFusion используется в атаках шифровальщика Cring

10-летняя дыра в ColdFusion используется в атаках шифровальщика Cring

Две уязвимости в скриптовом языке программирования ColdFusion, которые Adobe пропатчила более десяти лет назад, теперь используются в атаках киберпреступников. О новых эксплойтах рассказали специалисты компании Sophos.

Исследователи зафиксировали использование старых брешей в ходе расследования кампаний операторов программы-вымогателя Cring. Sophos пока решила не раскрывать имя жертвы шифровальщика, но известно, что злоумышленники начинали со сканирования веб-сайта атакуемой компании и искали уязвимую установку ColdFusion.

Эксперты назвали идентификатор эксплуатируемой бреши класса «обход пути» — CVE-2010-2861, она приводит к раскрытию информации и позволяет украсть с сервера файл с паролями.

Затем в ход вступал второй эксплойт, но уже для другой уязвимости — CVE-2009-3960. С помощью последней киберпреступники загружали веб-шелл на сервер жертвы, а затем загружали пейлоад Cobalt Strike.

Спустя приблизительно 79 часов после первого проникновения атакующие разворачивали программу-вымогатель Cring, которая шифровала все файлы и оставляла записку с требованиями выкупа.

 

По словам Sophos, на атакованном сервере была запущена версия ColdFusion 9, которую разработчики не поддерживают с 2016 года.

Дипфейк может утяжелить приговор: в УК РФ хотят добавить новую норму

Группа сенаторов и депутатов внесла в Госдуму законопроект, который предлагает считать использование искусственного интеллекта отягчающим обстоятельством при совершении преступления. Речь прежде всего о дипфейках — поддельных видео, аудиозаписях и изображениях.

Авторы инициативы считают, что такие материалы выглядят достаточно правдоподобно, чтобы использовать их в мошенничестве, клевете и преступлениях против общественной безопасности.

Если закон примут, применение дипфейка сможет повлиять на строгость наказания.

Для этого статью 63 Уголовного кодекса предлагают дополнить новым пунктом. Отягчающим обстоятельством станет использование созданных ИИ материалов, которые приписывают человеку поступки или высказывания, которых в действительности не было.

Это уже не первая попытка ужесточить наказание за преступления с применением нейросетей. Похожий проект вносили в 2025 году, но Госдума вернула его авторам из-за несоблюдения требований Конституции и парламентского регламента.

У новой версии тоже нашлись шероховатости. В тексте говорится о воспроизведении высказываний и действий, которых человек не совершал, хотя воспроизвести то, чего не было, довольно сложно — можно лишь имитировать. Еще загадочнее выглядит формулировка «личность, сгенерированная технологиями».

Идея понятна: дипфейк в руках мошенника должен утяжелять приговор. Но законодателям еще предстоит объяснить это таким языком, чтобы потом суду не пришлось угадывать, что именно они имели в виду.

RSS: Новости на портале Anti-Malware.ru