Pavel Georgiev · 30 юни 2026 г.

Кибер седмица: FortiBleed, cPanel и Ubiquiti атакуват МСП

Миналата седмица беше от онези, в които заплахите идват на пластове. Първо излезе историята за FortiGate с цифри, които накараха всички да спрат. После cPanel. После Ubiquiti. До четвъртък вече не можеше да игнорираш модела: атакуващите бяха разбрали, че най-лесният път към малкия бизнес минава през инфраструктурата, която той използва всеки ден. Ето какво се случи, какво означава наистина и единственото нещо, което да проверите, преди да довършите тази статия.

430 000+ FortiGate защитни стени атакувани. 40 000+ cPanel сървъра компрометирани. 3 критични уязвимости (CVSS 10.0) в Ubiquiti UniFi. 110 милиона идентификационни данни източени. Това беше една седмица.

FortiBleed: Когато защитната ви стена се превръща в теч

Това е историята, която доминира миналата седмица с основателна причина. Кампания за кражба на идентификационни данни с кодовото име FortiBleed работи от поне февруари, атакувайки Fortinet FortiGate защитни стени в световен мащаб. Нападателите пробиха управленските интерфейси, внедриха персонализиран снифер на Golang, който пасивно улавяше трафик за удостоверяване през 24 протокола, и разбиха хешовете чрез нает GPU клъстер през Vast.ai. Всичко оркестрирано чрез Telegram бот.

Цифрите са зашеметяващи. 430 000+ защитни стени бяха атакувани. 80 553 бяха компрометирани. 110 милиона+ идентификационни данни бяха събрани от 23 466 уникални домейна. И ето частта, която всяко МСП трябва да чуе: 66% от жертвите имат под 200 служители. Приблизително 90% генерират под 100 милиона долара годишно. Тази кампания беше целенасочено насочена към бизнеси като вашия, защото управленските интерфейси бяха оставени изложени и идентификационните данни никога не бяха сменяни.

Ако вашият FortiGate има управленски интерфейс в публичния интернет, приемете, че вашите данни са в този набор. Просто го приемете.

В списъка попаднаха и големи имена: Oracle, Comcast, Foxconn, Lenovo, Samsung, Siemens, PwC, Accenture и един свързан с НАТО защитен изпълнител. Но нападателите не правеха разлика. Те изградиха 659 канала за кражба на данни и все още активно следяха трафика на 19 000+ устройства към 22 юни.

Как да реагирате: Незабавно прекратете всички административни и VPN сесии. Сменете всяка парола. Премахнете управленските интерфейси от пряк достъп в интернет. Включете MFA на всичко. Ако не сте сигурни дали вашият FortiGate е бил засегнат, CISA и Fortinet издадоха спешни препоръки с индикатори за компрометиране, които да проверите.

cPanel: 40 000 сървъра и продължава

Втората бомба за седмицата беше CVE-2026-41940, заобикаляне на удостоверяване с CVSS 9.8 в cPanel и WHM, засягаща всяка версия след 11.40. Това са почти всички cPanel сървъри на планетата. Експлоатация беше забелязана още през февруари, цели два месеца преди излизането на пача в края на април.

До миналата седмица броят на потвърдените компрометирания надмина 40 000 сървъра. Веригата на атаката включва CRLF инжекция в session writer плюс заобикаляне на криптирането чрез манипулирана бисквитка, което позволява на неудостоверени нападатели да получат администраторски достъп до cPanel. Веднъж влезли, те контролират целия сървър: всяка база данни, всеки уебсайт, всеки имейл акаунт.

Shodan и Rapid7 изчисляват, че има около 1,5 милиона изложени в интернет cPanel инстанции. Големи хостинг доставчици като Namecheap, KnownHost, HostPapa и InMotion превантивно блокираха управленските портове. Но ако управлявате собствен cPanel сървър или ползвате по-малък хостинг, има голяма вероятност никой да не е проверил вашата инстанция вместо вас.

Как да реагирате: Актуализирайте cPanel незабавно чрез /scripts/upcp --force. След това сменете всяка парола, съхранявана в WHM. Проверете сесионните файлове в /var/cpanel/sessions/raw за признаци на компрометиране.

Ubiquiti: Три критични уязвимости (CVSS 10.0), един пач

Понякога за една седмица получавате една критична уязвимост. Миналата седмица Ubiquiti ни даде три. CVE-2026-34908, CVE-2026-34909 и CVE-2026-34910 всяка има перфектна оценка 10.0 по скалата на CVSS. Комбинирани, те дават на неудостоверен мрежов атакуващ root-ниво контрол над устройства с UniFi OS. Това включва Cloud Gateways, Network Controllers, Protect NVRs, Access Hubs, Talk устройства и Dream Machines. Накратко, ако работи с UniFi OS, уязвимо е.

CISA добави и трите в каталога си с известни експлоатирани уязвимости на 23 юни с федерален краен срок 26 юни. Потвърдена е активна експлоатация в реални условия. За МСП това е особено болезнено, защото Ubiquiti е най-популярната мрежова платформа за малкия бизнес в световен мащаб. Устройствата стоят във вътрешната мрежа и веднъж компрометирано, атакуващият има опорна точка във вашата мрежа.

Това не е теория. CISA потвърди активна експлоатация. Ако имате UniFi оборудване, обновете го днес.

Как да реагирате: Обновете всички устройства с UniFi OS до фърмуер версия 5.0.8 или 5.1.12+, налични в UniFi Network Controller под System Settings. Изолирайте управленските VLAN мрежи, така че административните интерфейси да не са достъпни от общата мрежа.

Пробивът в Klue: Една стара парола, стотици жертви

Групата за изнудване Icarus компрометира Klue, платформа за пазарно разузнаване, използвайки една-единствена остаряла идентификационна данна от 2022 г. Те откраднаха OAuth токени, които Klue съхраняваше от името на стотици клиентски организации, и ги използваха за изтегляне на CRM данни директно от Salesforce инстанциите на клиентите. Резултатът: компании като LastPass, Recorded Future, Tanium, Jamf, Huntress, HackerOne, BeyondTrust, OneTrust и десетки други останаха с изтекли CRM данни чрез трета страна, на която бяха дали достъп.

Имена, имейли, телефонни номера, физически адреси, длъжности, търговски записи и истории на клиентска поддръжка излязоха през интеграция, която никой не се сети да одитира. После нещата станаха още по-странни: втори атакуващ открадна данните от самия Icarus и започна втора кампания за изнудване. Цялата верига прилича на казус за това как всъщност работи рискът във веригата на доставки, а не как го описват в презентациите. Миналоседмичният ни обзор разгледа точно този тип атаки по веригата на доставки в детайли.

Какво да запомните: Всяка OAuth интеграция, която сте свързали преди три години и сте забравили, е потенциален канал за вашите данни. Одитирайте ги. Оттеглете тези, които не използвате активно. А тези, които запазвате, подновявайте токените периодично.

Потребители на Signal: Вашият ключ за възстановяване е новата цел

ФБР и CISA актуализираха препоръката си относно руското разузнаване, насочено към потребители на Signal, и тактиката се е променила. Атакуващите вече целенасочено изискват Backup Recovery Keys, представяйки се за поддръжка на Signal и настоявайки за задължителна двуфакторна верификация. Фишинг страниците изглеждат убедително и предаването на ключа за възстановяване позволява на нападателите да възстановят цялата ви история на съобщения, включително групови чатове, споделени файлове и лични съобщения. Дори и след като смените телефонния си номер.

Ако екипът ви използва Signal за бизнес комуникация, всеки трябва да разбере това. Генерирането на нов ключ за възстановяване в настройките на Signal отнема пет секунди и анулира всеки ключ, който атакуващ е успял да изфишира. Но работи само ако го направите преди атакуващият да възстанови историята ви, не след това.

Основното правило: Никога не въвеждайте вашия Signal recovery key в който и да е уебсайт. Истинската поддръжка на Signal никога няма да се свърже с вас в приложението. Генерирайте нов ключ от Settings, Privacy, Advanced и споделете този съвет с екипа си.

Операция Endgame: Сваляне, което наистина удари целта

Digital Crimes Unit на Microsoft, съвместно с Europol, ESET, BitSight, IBM X-Force и Proofpoint, едновременно разрушиха инфраструктурата на две големи зловредни платформи: Amadey, loader активен от 2018 г., и StealC, крадец на информация активен от 2023 г. Анализ с помощта на ИИ разкри, че те споделят една и съща командно-контролна инфраструктура, така че прокурорите третираха и двете като част от единен конспиративен план.

Цифрите: 200+ C2 сървъра неутрализирани. 18 000+ заразени машини идентифицирани и защитени. 25 милиона+ идентификационни данни възстановени. 47 милиона долара в криптоактиви маркирани. И само за първите две седмици на май бяха проследени 140 000 инфекции.

Крадци на информация като StealC са начинът, по който брокерите за първоначален достъп получават корпоративни VPN данни, SSO токени и сесионни бисквитки, често от личните устройства на служителите. Това сваляне е наистина добра новина, но мащабът показва колко широко разпространена е заплахата.

Bluekit еволюира: Фишинг с директен поток

Bluekit, платформа за фишинг като услуга, добави възможности тип browser-in-the-middle (BitM). Използвайки библиотеката с отворен код rrweb, атакуващите вече могат да сериализират целия DOM на страницата и да го предават през WebSocket, наблюдавайки как жертвите пишат в реално време с интервали от пет секунди. Само за миналата седмица се появиха близо 70 нови Bluekit хост имена. Китът включва още рандомизирани CSS филтри за заобикаляне на скрийншот детекцията, обфусциран JavaScript пакет над 1MB, който се сменя често, персонализирани CAPTCHA и браузър фингърпринтинг за разпознаване на изследователи и сигурностни скенери преди зареждане на полезния товар.

За МСП това е важно, защото фишингът остава номер едно входна точка. Само бизнес имейл компрометирането източи 2,77 милиарда долара миналата година — същата входна точка, по-стара тактика. А инструментите, насочени срещу вас, стават по-умни, не по-глупави.

Останалото за седмицата в един кратък обзор

  • Нови добавки в CISA KEV: Критично RCE в PTC Windchill и FlexPLM (CVSS 9.3) и неудостоверен SSRF в Cisco Unified Communications Manager получиха краен срок за корекция 28 юни. И двете имат потвърдена активна експлоатация.
  • cURL 8.21.0: Коригира рекордните 18 CVE, включително CVE-2026-8932, бъг, който се беше спотайвал в кодовата база в продължение на 25 години (от curl 7.7 през март 2001 г.). cURL присъства на около 20 милиарда устройства, което прави тази версия може би най-значимият пач за месеца.
  • Предупреждение на Петте очи за ИИ: САЩ, Великобритания, Канада, Австралия и Нова Зеландия издадоха рядко съвместно изявление, определящо ИИ като спешна киберзаплаха и предупреждавайки, че водещите модели ще трансформират както атаката, така и защитата в рамките на месеци, а не на години.
  • BlueHammer се експлоатира: CISA предупреди, че ransomware групи активно експлоатират пропуск за повишаване на привилегии в Windows, известен като BlueHammer, даващ на атакуващите SYSTEM достъп на напълно обновени системи.
  • Пробив в MSG: 26 милиона записа на посетители, включително данни за разпознаване на лица, бяха публикувани от ShinyHunters след vishing обаждане, което заблуди служител на ниско ниво. Векторът на пробива беше телефонно обаждане, а не сложна експлоатация.

Ако миналата седмица доказа нещо, то е, че атакуващите са разбрали на каква инфраструктура разчита малкият бизнес: FortiGate защитни стени, cPanel хостинг, Ubiquiti мрежи, SaaS интеграции с OAuth токени. Това са системите, които пипате всеки ден и точно те са мишената в момента.

Знаете ли кои от тях важат за вашия бизнес?


Запазете 30-минутна проверка на инфраструктурата
Ще прегледаме вашите изложени управленски интерфейси, OAuth интеграции и състоянието на пачовете. Без продажби, просто практичен преглед на ситуацията ви.