Хакеры, по сообщению F5, украли исходный код и информацию о ранее неизвестных уязвимостях в BIG-IP. Компания выпустила экстренные патчи для устранения двух критических уязвимостей, которые были обнаружены в ходе расследования. Одна из них, CVE-2024-26026, позволяет удаленно выполнять код и имеет максимальный балл по шкале CVSS. Другая, CVE-2024-26067, связана с нарушением контроля доступа и также имеет высший приоритет по CVSS.

Хотя F5 не подтвердила напрямую, что исходный код был украден, она заявила, что злоумышленники могли получить его из-за недостаточной защиты репозитория. Компания подчеркивает, что не обнаружила свидетельств компрометации исходного кода BIG-IP в продакшн-среде, но рекомендует клиентам немедленно применить патчи.

Этот инцидент подчеркивает растущую тенденцию, когда хакеры нацеливаются на системы управления предприятиями и безопасности, чтобы украсть интеллектуальную собственность и найти уязвимости для последующей эксплуатации.

• F5 заявил, что угроза была «национальным государством», но нет доказательств, что это не просто удобное оправдание для отсутствия надлежащего контроля доступа.
• Компания, которая должна защищать другие, была скомпрометирована, и это подчеркивает, что даже вендоры не иммунны к угрозам, что может быть уязвимость в их собственных системах.
• Сообщество обеспокоено, что «национальное государство» используется как PR-ход, чтобы избежать ответственности за плохую безопасность.
• Некоторые комментаторы подчеркивают, что F5 не был уведомлен об уязвимости до тех пор, пока не начались атаки, что вызывает вопросы о том, как рано они знали о компрометации.
• Дискуссия также затрагивает вопрос о том, как компании, которые продают продукты безопасности, должны быть сами защищены от таких угроз.

Серверные материнские платы Supermicro уязвимы для удалённой установки вредоносного ПО в прошивку базового контроллера управления (BMC), что делает заражение практически необнаружимым и неустранимым стандартными методами. Уязвимости CVE-2025-7937 и CVE-2025-6198 позволяют обходить проверки цифровых подписей и перезаписывать firmware, которая выполняется ещё до загрузки операционной системы — даже замена дисков или переустановка ОС не очистят систему.

Эксплуатация уязвимостей требует предварительного получения контроля над BMC, что возможно через ранее описанные методы. Подобные атаки могут привести к установке стойких имплантов, аналогичных ILObleed, который безвозвратно уничтожал данные на серверах HP. Особую опасность это представляет для AI-датацентров, где массовое заражение может оставаться незамеченным долгое время.

• Участники обсуждают уязвимости BMC (базовых контроллеров управления) в серверах Supermicro и других производителей, отмечая их низкое качество ПО и наличие неисправленных уязвимостей, позволяющих удалённо прошивать прошивку.
• Подчёркивается, что BMC представляет собой серьёзный вектор атаки и должен быть изолирован в отдельной физической или логической сети без прямого доступа извне.
• Обсуждаются проблемы безопасности на уровне прошивки: отсутствие проверки подписей, возможность перепрошивки из операционной системы и сложность удаления бэкдоров без физического доступа к чипу.
• Высказывается критика в адрес производителей за отсутствие документации, открытых спецификаций и поддержки открытых альтернатив, таких как OpenBMC.
• Упоминается, что проблема не нова и ранее обсуждалась в контексте спорной статьи Bloomberg о предполагаемых аппаратных закладках китайского происхождения в серверах Supermicro.

О безопасности iOS 15.8.5 и iPadOS 15.8.5

Этот документ описывает обновления безопасности для iOS 15.8.5 и iPadOS 15.8.5.

Обновления безопасности Apple

Apple не раскрывает информацию об уязвимостях до завершения расследования и выпуска исправлений. Последние обновления перечислены на странице выпусков безопасности Apple.

iOS 15.8.5 и iPadOS 15.8.5

Выпущено 15 сентября 2025 года

ImageIO

Доступно для: iPhone 6s, iPhone 7, iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения)

Влияние: Обработка вредоносного файла изображения может привести к повреждению памяти. Apple известно о сообщениях, что эта уязвимость могла использоваться в целевых атаках.

Описание: Исправлена ошибка записи за пределами границ за счёт улучшенной проверки.

CVE-2025-43300: Apple

Информация о продуктах, не изготовленных Apple, или независимых веб-сайтах предоставляется без рекомендаций. Apple не несёт ответственности за выбор или использование сторонних продуктов.

Опубликовано: 15 сентября 2025 года

• Пользователи отмечают длительную поддержку старых устройств Apple (до 10 лет) в сравнении с ограниченной поддержкой Android-устройств от Google и других производителей.
• Обсуждаются технические причины короткого цикла поддержки Android: ограничения со стороны производителей чипов (Qualcomm) и необходимость интеграции обновлений производителями телефонов.
• Выпуск обновления для устаревших моделей связывают с эксплуатацией уязвимости нулевого дня в целевых атаках государственного уровня, что подчеркивает серьезность угрозы.
• Уточняется, что обновление доступно для широкого списка старых устройств (iPhone 6s, 7, SE, iPad Air 2 и др.), а не только для 10-летнего iPhone 6s.
• Поднимается вопрос о практической пользе обновления для пользователей очень старых устройств, которые могут не устанавливать патчи.
• Отмечается, что современные Android-производители (Google, Samsung) увеличили承诺 срок поддержки до 5-7 лет, что приближается к политике Apple.
• Обсуждается техническая сторона уязвимости: возможность удаленного выполнения кода (RCE) через обработку malicious изображения, часто в связке с уязвимостью в WhatsApp.