В декабре 2025 года компания Check Point Research выявила группу ранее неизвестных образцов вредоносного ПО VoidLink для Linux. Фреймворк состоит из загрузчиков, написанного на Zig импланта, руткитов и десятков плагинов, доступных по умолчанию и привязанных к кастомному API. Гибкая и модульная архитектура позволяет злоумышленникам по мере надобности расширять и изменять функциональность инструментов. Рекомендуется заблаговременно обеспечивать безопасность сред Linux, облачных сервисов и контейнеров для защиты от сложных угроз, таких как VoidLink.
В декабре исследовательская группа Push Security обнаружила новую технику атаки ConsentFix, которая нацелена на получение токенов OAuth, необходимых для аутентификации пользователей Microsoft. Злоумышленник создает фишинговую страницу, на которой после ввода учетных данных пользователь перенаправляется на страницу проверки подлинности Microsoft, при этом взаимодействие инициируется с фишингового сайта. При входе пользователь получает код авторизации OAuth, который злоумышленник перехватывает и вводит в целевое приложение на своем устройстве, чтобы завершить процедуру авторизации и захватить учетную запись. Для борьбы с подобными браузерными атаками рекомендуется выявлять признаки вредоносной активности и блокировать атаки в режиме реального времени.
Node.js выпустил январское обновление для снижения вероятности воспроизведения ошибки переполнения стека, на которую фреймворки стали полагаться для обеспечения доступности сервисов. Уязвимость заключается в зависимости экосистемы от неопределенного поведения в языках программирования, которое приводит к переполнению стека (Категория уязвимостей CWE-758). Данная ошибка возможна только при включенном модуле async_hooks, который завершает работу с кодом 7, в случае если рекурсия в пользовательском коде исчерпывает пространство стека. Рекомендуется обновление до актуальной версии и ограничение глубины рекурсии.
Специалисты компании Horizon3 представили анализ критической уязвимости CVE-2025-64155 (CVSS: 9.8) в FortiSIEM. Уязвимость позволяет злоумышленнику удалённо выполнить произвольный код на сервере FortiSIEM без авторизации и получить права суперпользователя. В основе атаки опция --next в curl, которая дает возможность объединять запросы в одну команду и записывать произвольные файлы с правами admin. Исследователи использовали её для модификации файла phLicenseTool и внедрения своего кода. Администраторам систем FortiSIEM рекомендуется установить последние обновления безопасности и проверить phoenix.logs на записи PHL_ERROR с аномальными URL и путями.
Palo Alto Networks закрыла опасную уязвимость в своих межсетевых экранах, которая позволяла атакующим без аутентификации выводить защиту из строя. Уязвимость получила идентификатор CVE-2026-0227 (CVSS: 7.7) и затрагивала межсетевые экраны нового поколения под управлением PAN-OS версии 10.1 и выше, а также облачный сервис Prisma Access, если в конфигурации включен портал или шлюз GlobalProtect. Суть проблемы заключалась в ошибке, из‑за которой устройство переводилось в режим обслуживания. В таком состоянии функции фильтрации трафика отключались. Рекомендуется установить последние обновления для PAN‑OS, а если используется неподдерживаемая версия PAN‑OS, тообновить устройство до актуального релиза, где уязвимость устранена.
