Компания Nebula Security нашла не просто ошибку. Им удалось обнаружить GhostLock (CVE-2025-4349) — уязвимость типа use-after-free, которая существовала в ядре Linux пятнадцать лет. Скрытая. Незаметная. Она позволяет любому аутентифицированному пользователю получить права root.
Специальные привилегии не требуются. Доступ к сети не нужен.
С 2011 года эта уязвимость поставлялась практически со всеми популярными дистрибутивами. Её обнаружили благодаря инструменту ИИ от Nebula, VEGA. Эксплойт позволяет выходить за пределы контейнеров. В тестах он срабатывал в 97% случаев. За это компания получила $92 337 в рамках программы Google kernelCTF.
В апреле уязвимость была исправлена.
Но погодите.
Ваша система в безопасности? В начале июля Ubuntu указала, что версии с 20.04 по 24.04 остаются уязвимыми. Администраторам безопасности стоит проверить свои пакеты. Не предполагайте, что исправление уже применено автоматически.
Обнаружение VEGA стало частью общей тенденции: автоматизированные инструменты перебирают старый код, который мало кто из людей перечитывал.
Камеры Flock и ураган ошибок
«Руки на оружии».
Джоел Федер из The Drive оказался заблокирован четырьмя полицейскими машинами. Это произошло на парковке магазина Kohl’s. Конец июня. Плимут, Миннесота.
Камеры распознавания номеров от компании Flock пометили его Range Rover стоимостью $155 тыс. как украденный. Машина была тестовым прототипом, взятым напрокат у дилера. Полицейские следили за ним несколько дней.
Почему? Из-за опечатки.
В 2000 милях к западу, в Лос-Анджелесе, был зафиксирован факт утери номеров Jaguar Land Rover. В базе номер был указан как 34 03 DDT, но при вводе ошибочно записан как 34 DDT. Средние цифры пропали.
Flock считывал крупные символы. Игнорировал необычный формат. И начинал посылать уведомления полиции при каждом совпадении.
На той же неделе под наблюдением оказались еще четыре Land Rover. Федер был остановлен первым. Номер не был украден. Он был misplaced во время фотосессии.
Это случилось всего через две недели после того, как The Drive написали о чрезмерном вмешательстве Flock. Ирония очевидна.
Другой шум
На фоне предупреждений о хакерах Volt Typhoon, которые заранее позиционируют себя в критической инфраструктуре США, страховые компании провели учения. Они выявили угрожающую опасность.
Тем временем надзорное ведомство ICE (Служба по исполнению иммиграционных законов) открыло более 100 дел. Цель: онлайн-критики. Поводом послужили сообщения о доксинге и угрозы в адрес сотрудников.
ЕС голосовал по закону «Chat Control» (Контроль чатов). Теперь технологические компании снова могут сканировать личные сообщения. Цель — борьба с материалами детской порнографии. Палата представителей ЕС попыталась отложить закон. Большинство проголосовало против. Но закон всё равно прошел.
MSG (лейбл Taylor Swift) поддерживал базу данных фанатов. Гости на свадьбе Taylor Swift? Все категоризированы. Метки вроде «НЕ ПРИНИМАТЬ» (DO NOT HOST). Или «высокий риск».
На более легкой ноте.
Мошенники захватили правительственные сайты, чтобы распространять сливы с OnlyFans. Их активность была прекращена благодаря жалобам на нарушение авторских прав, поданными самими создателями контента. Люди остались в безопасности.
Инцидент с утечкой в Accenture
Accenture попала под удар. Актер из даркнета под псевдонимом «888» утверждает, что похитил 35 ГБ данных. Исходный код. Ключи. Токены.
Это дело обсуждается на форуме в даркнете. Accenture называет инцидент изолированным случай. Он устранен. Операционной деятельности не пострадало. Они не уточняют, что именно было похищено и как это произошло.
BleepingComputer увидел скриншот клонированного репозитория Azure DevOps.
Это не первый удар «888» по ним. И не первая атака на компанию. В 2021 году на Accenture атаковала группа LockBit.
Плохой тайминг. Именно Accenture ведет киберзащиту ICE. Контракт на $56,5 млн. Действует до этого августа. Сейчас идет процесс повторного конкурса.
Хакеры за $22 тыс.?
Пентагон ищет хакеров. Не выпускников вузов. Людей с определенными способностями.
Программа Cyber RAP предлагает 12-месячные контракты. Учитесь защищать сети Министерства обороны.
Оплата? $22 584 в год.
Не прошли обучение? Вы должны вернуть стоимость обучения. Главный информационный директор Кирстен Дэвис называет это отказом от барьеров доступа в пользу патриотического рвения.
Чистая способность. Без достаточной для жизни зарплаты.






























