Кибер седмица: Веригите за доставки под обсада

Ако управляваш малък или среден бизнес и досега си смятал киберсигурността за проблем на големите компании, тази седмица трябва да промени мнението ти. Имахме изтичане на идентификационни данни от Fortinet, което разкри 74,000+ устройства, атака по веригата за доставки на WordPress плъгин, която компрометира плащащи клиенти, критична уязвимост в Splunk, която се експлоатира в реални условия, и Salesforce OAuth пробив, започнал със забравена парола на доставчик. Общата нишка? Нито една от тези атаки не изискваше сложни операции на държавно ниво. Изискваха забравен администраторски акаунт, автоматична актуализация, на която си се доверил, и изложен VPN. Ето какво се случи, какво означава и какво да направиш по въпроса.

Това беше една от онези седмици, в които се отдръпваш и си казваш: добре, значи атакуващите не просто стават по-добри в проникването. Стават по-добри в проникването чрез нещата, на които всички се доверяваме.

Да минем през най-големите истории и какво всъщност означават те за бизнес като твоя.

Най-голямата: FortiBleed

Изследователят по сигурността Боб Дяченко откри нещо неприятно в отворения интернет тази седмица: криминален сървър, съдържащ идентификационни данни за 73,932 уникални Fortinet firewall и VPN URL-а от 194 държави. Потребителски имена, имейл адреси и пароли в отворен текст. Рускоезична група използва 45-GPU клъстер, за да разбие хешовете офлайн, правейки 1.16 милиарда опита за идентификация. Около 30,791 от тези данни са били потвърдени като все още работещи към момента на откритието.

CISA издаде спешен сигнал на 18 юни. Сред засегнатите организации са Chevron, Samsung, Foxconn, Comcast, AT&T и дълъг списък от държавни агенции. Но ето какво е важното: по-малки бизнеси, които използват FortiGate firewalls, също са в този набор от данни. Ако имаш такъв, твоите VPN идентификационни данни може вече да циркулират.

Какво да направиш веднага: Смени всяка VPN и администраторска парола на Fortinet устройствата си. Въведи MFA, ако още не си. Провери логовете си за необичайно странично придвижване. И се увери, че използваш PBKDF2 за съхранение на идентификационни данни, а не по-старото, по-слабо хеширане.

Атака по веригата за доставки на WordPress плъгин (ShapedPlugin)

Ако управляваш WordPress сайт и имаш отметната автоматична актуализация за плъгините си, тази история удря близо до дома. Атакуващи проникнаха в билд pipeline-а на ShapedPlugin около 21 май и вградиха backdoors в три платени Pro плъгина: Smart Post Show Pro, Product Slider for WooCommerce Pro и Real Testimonials Pro.

Атакуващите разпространиха заразените актуализации през собствената лицензионна система на ShapedPlugin, удряйки директно плащащи клиенти. Вредоносният софтуер, проследен като CVE-2026-10735 с CVSS резултат 9.8, краде администраторски идентификационни данни, 2FA тайни, данни за база данни и клиентска информация от WooCommerce. Също така инсталира скрит backdoor плъгин, който оцелява при нормално деактивиране. Атаката остана незабелязана около три седмици, преди Wordfence да я забележи на 11 юни.

Какво да направиш веднага: Ако използваш който и да е ShapedPlugin Pro продукт, нулирай всички администраторски пароли и генерирай наново 2FA тайните. Одитирай списъка си с WordPress потребители за подозрителен акаунт на име wp_support_sys. И може би преосмисли политиката актуализирай всичко автоматично.

Splunk Enterprise CVE-2026-20253: Твоят SIEM срещу теб

CISA добави тази уязвимост към каталога си с Known Exploited Vulnerabilities на 18 юни, потвърждавайки активна експлоатация. Недостатъкът позволява на неавтентикирани атакуващи да създават или изтриват файлове в уязвими Splunk Enterprise инстанции чрез PostgreSQL sidecar услуга без контрол на достъпа. WatchTowr публикува proof of concept на 12 юни, показвайки, че тя води до пълно отдалечено изпълнение на код. ShadowServer следи приблизително 1,400 изложени в интернет Splunk инстанции.

Помисли какво означава това. Един атакуващ може да компрометира инструмента ти за мониторинг на сигурността без нито една идентификационна данна. После да потисне алармите, да изтрие доказателства и да премине към останалата част от мрежата ти. Твоят инструмент за сигурност се превръща в тяхното скривалище.

Какво да направиш веднага: Ако ползваш Splunk Enterprise 10.0.0-10.0.6 или 10.2.0-10.2.3, ъпдейтни до 10.0.7 или 10.2.4 веднага. Ако не можеш да ъпдейтнеш веднага, деактивирай PostgreSQL sidecar услугата.

Klue OAuth пробив и връзката със Salesforce

Атакуващи използваха компрометирана legacy идентификационна данна, за да проникнат в backend-а на Klue на 11 юни, след което разположиха зловреден код, който събра OAuth токени за клиентски Salesforce инстанции. Групата зад атаката, наричаща себе си Icarus, използва автоматизирани Python скриптове, за да запитва Salesforce REST API-та в продължение на почти 24 часа, източвайки CRM данни, включително бизнес контакти, ценообразуване и търговски комуникации. Потвърдени жертви включват Huntress, Recorded Future, Tanium, Jamf и Gong.

Това е третата голяма кампания за злоупотреба със Salesforce OAuth през последната година. И подчертава една болезнена истина: всеки път, когато кликнеш Allow на SaaS интеграция, предаваш ключ, който никога не изтича и може да бъде откраднат от пробив на някой друг.

Какво да направиш веднага: Одитирай свързаните си OAuth приложения. Отмени токени за интеграции, които не използваш активно. И попитай доставчиците си: Какво се случва с данните ми, ако ви хакнат? Klue току-що демонстрира отговора.

Ransomware-ът The Gentlemen и 90% дял за афилиейт

Брайън Кребс идентифицира Александър Япаев, 36-годишен маркетинг специалист от Ижевск, Русия, като администратор на ransomware групата The Gentlemen. Бандата е обявила 478 жертви от средата на 2025 г., превръщайки се във втората най-активна ransomware операция.

Какво ги прави особено опасни за малкия и среден бизнес? Техният 90/10 дял от приходите за афилиейт. Това е доста над индустриалния стандарт от 80/20, което означава, че повече атакуващи се присъединяват към редиците им и удрят повече цели.

Групата се цели в изложени в интернет VPN-и и firewalls, след което криптира цели мрежи за часове. Наблюдавани са също да използват множество EDR убийци, за да деактивират защитите преди да разположат ransomware-а.

Какво да направиш веднага: Защитата не се е променила, но спешността се увеличи. Ъпдейтни периметъра си, въведи MFA, поддържай офлайн backups. Повече афилиейт означава повече атаки. Това е математически проблем и не искаш да си част от уравнението.

Ботнетът AryStinger и руутърът, който си забравил

Изследователи откриха ботнет на име AryStinger, който е компрометирал над 4,300 остарели D-Link руутъра, основно модели DIR-850L и DIR-818LW. Вредоносният софтуер експлоатира уязвимости от далечната 2013 г. Да, 2013. Превръща тези устройства в проксита, скенери и платформи за атаки и може да манипулира DNS настройки, за да следи целия мрежов трафик.

Много малки бизнеси все още работят с онзи D-Link руутър от преди половин десетилетие, защото още работи. Проблемът е, че не работи сигурно. Работи и за атакуващите.

Какво да направиш веднага: Провери възрастта на офис руутъра си и статуса на поддръжка от производителя. Ако е на повече от 3-4 години и вече не получава firmware актуализации, го смени. Не ъпдейтвай. Смени го. AryStinger експлоатира уязвимости на 13 години. Няма да излезе пач.

Останалото от седмицата накратко

  • Рекорден Patch Tuesday на Microsoft: 200+ уязвимости оправени, включително 6 zero-day-та и една wormable уязвимост в Windows Kernel (CVSS 9.8). Фокусирай се върху активно експлоатираните, ако времето ти е малко.
  • Грешка в LiteSpeed cPanel plugin: Бъг за повишаване на привилегии (CVE-2026-54420) добавен в KEV каталога на CISA. Ако уеб хостът ти ползва LiteSpeed cPanel plugin, попитай кога са го ъпдейтнали.
  • DragonForce злоупотребява с Microsoft Teams: Нов зловреден софтуер наречен Backdoor.Turn крие C2 трафик вътре в Microsoft Teams relay-та. Само мрежов мониторинг няма да го хване. Откриването на крайни точки е ключово.
  • FTC: 3.5 милиарда долара загубени от измами с представяне през 2025: Загубите почти са се утроили от 2020. AI гласови клонинги и deepfake видео обаждания го движат. Ако екипът ти по задължения няма out-of-band верификация за банкови преводи, я внедри тази седмица.

Това беше наситена седмица. И честно казано, седмици като тази започват да стават норма, а не изключение. Атакуващите се целят в нещата, на които се доверяваш: твоят firewall, плъгините ти, SaaS интеграциите ти, твоят SIEM. Стратегията за защита срещу това не се е променила драстично, но маржът за грешка продължава да се свива.

Ето какво бих проверил отново в твоя бизнес тази седмица:

  1. Дали firewalls-ът и VPN-ът ти са напълно ъпдейтнати и защитени с MFA?
  2. Знаеш ли всяка OAuth интеграция, свързана с критичните ти SaaS инструменти?
  3. Имаш ли офлайн, immutable backups, до които ransomware не може да докосне?
  4. Има ли екипът ти ясен процес за проверка на платежни нареждания по телефон, а не само по имейл?

Ако си отговорил не съм сигурен на някой от тези въпроси, не си сам. Повечето малки бизнеси нямат времето или капацитета да следят всичко това. Именно за това сме тук.


Резервирай 15-минутна консултация по сигурността
Ще прегледаме текущата ти настройка, ще идентифицираме най-важните пропуски и ще ти дадем ясен списък с приоритети. Без продажби, без технически жаргон, просто откровен разговор за това къде се намираш.