Știri
Știri din categoria Securitate cibernetică
O vulnerabilitate din pluginul Gravity SMTP expune chei API fără autentificare, iar atacatorii au industrializat rapid exploatarea, punând presiune operațională pe administratorii WordPress: simpla actualizare nu este suficientă dacă datele au fost deja extrase. Potrivit The Next Web, Wordfence a blocat peste 17 milioane de încercări de exploatare a breșei, iar pluginul este instalat pe aproximativ 100.000 de site-uri.
Vulnerabilitatea (CVE-2026-4020), evaluată la 5,3 pe scara CVSS de către Wordfence, afectează toate versiunile Gravity SMTP până la 2.1.4 inclusiv. Remedierea a fost livrată în versiunea 2.1.5, publicată pe 17 martie 2026, însă exploatarea „în sălbăticie” a început abia la începutul lunii mai, ceea ce sugerează că atacatorii au analizat patch-ul (actualizarea) sau au identificat independent problema după apariția acestuia.
Miza principală este că expunerea include credențiale reutilizabile — chei API, „secrete” și tokenuri OAuth (jetoane de autorizare) — pentru integrările de e-mail configurate în plugin. Gravity SMTP suportă, între altele, Amazon SES, Google, Mailjet, Resend și Zoho, iar dacă un site are conectate astfel de servicii, credențialele pot apărea în răspunsul serverului.
Consecința practică: un atacator care obține aceste date poate trimite e-mail în numele site-ului compromis, util pentru phishing și fraude de tip „business email compromise” (compromiterea corespondenței de business).
Cauza este un endpoint (punct de acces) din REST API înregistrat la:
/wp-json/gravitysmtp/v1/tests/mock-dataAcesta folosește o funcție de permisiuni care „returnează true” necondiționat, adică nu verifică autentificarea înainte de a procesa cererea. Dacă atacatorul adaugă parametrul ?page=gravitysmtp-settings, endpointul poate returna aproximativ 365 KB de JSON cu un raport complet de sistem.
Pe lângă credențiale, raportul include informații care reduc masiv efortul de recunoaștere pentru atacuri ulterioare: versiuni WordPress și PHP, extensii încărcate, versiunea serverului web, calea document root, tipul și versiunea serverului de baze de date, lista pluginurilor active cu versiuni, tema activă și nume de tabele din baza de date.
În analiza Wordfence, riscul este dublu: abuzarea serviciilor conectate și accelerarea atacurilor ulterioare prin „harta” detaliată a stack-ului software.
„Expunerea credențialelor API terțe în timp real înseamnă că un atacator ar putea abuza serviciile de e-mail conectate ale site-ului, iar raportul detaliat de sistem reduce semnificativ efortul necesar pentru a planifica atacuri suplimentare”, au scris cercetătorii Wordfence, potrivit articolului.
Wordfence spune că a observat un vârf puternic al volumului în jurul datei de 6 iunie 2026, iar pe 7 iunie a blocat peste 4 milioane de cereri într-o singură zi. Traficul ar proveni în principal dintr-un „cluster” de adrese IP, publicate de Wordfence pentru a fi adăugate în liste de blocare.
Indicatorul-cheie de compromitere menționat este prezența în logurile serverului a cererilor către endpointul de mai sus, în special cele care includ parametrul ?page=gravitysmtp-settings.
Platforma open-source CrowdSec a confirmat independent cronologia: a introdus detecție pentru CVE-2026-4020 pe 22 mai și a observat primele exploatări reale pe 27 mai; până la 1 iunie, activitatea era deja clasificată drept „zgomot de fundal”, semn că fusese integrată în scanări automate la scară.
Recomandarea din avertismentul Wordfence, preluată de publicație, este ca administratorii care rulează versiuni vulnerabile și au integrări de e-mail configurate să presupună compromiterea și să acționeze în doi pași:
Publicația notează și o problemă structurală: deși patch-ul a existat cu luni înainte de vârful exploatării, multe site-uri au rămas neactualizate, iar decalajul dintre disponibilitatea patch-urilor și instalarea lor rămâne un punct slab recurent, mai ales în ecosistemul de pluginuri WordPress.
Recomandate
Nintendo confirmă un incident de securitate la un furnizor terț, iar miza operațională este expunerea de date interne despre angajați, nu compromiterea sistemelor sau a datelor clienților , potrivit TechRadar . Compania spune că nu au fost accesate date personale ale clienților sau informații financiare și că sistemele Nintendo nu au fost compromise. Atacul este atribuit unui grup de tip „extortion-as-a-service” (un model în care infrastructura și „serviciile” de șantaj cibernetic sunt oferite ca pachet), numit Shadowbyt3$, care susține că ar fi extras aproape 1 GB de date dintr-o platformă folosită de Nintendo of America pentru sondaje interne de angajați ( TinyPulse ). Grupul ar fi cerut 2 milioane de dolari (aprox. 9,2 milioane lei) și ar fi dat companiei 48 de ore pentru a începe negocieri, înainte de a publica fișierele. Ce date ar fi fost vizate și de ce contează operațional Conform relatării, atacatorii susțin că setul de date ar include informații precum nume, adrese de e-mail, analitice și date din sondaje, precum și documente asociate angajaților (inclusiv formulare W-9 și alte rapoarte). Ei au afirmat că incidentul nu ar fi afectat departamentul de gaming, ci angajații care au folosit TinyPulse, o platformă de „engagement” intern care colectează feedback prin sondaje scurte și frecvente. Pentru companii, astfel de breșe la furnizori terți au un impact direct asupra operațiunilor: pot declanșa investigații interne, notificări și măsuri de remediere cu furnizorul, precum și riscuri de inginerie socială (tentative de fraudă bazate pe date despre angajați), chiar dacă infrastructura principală nu a fost penetrată. Poziția Nintendo și incertitudinile legate de scurgere Într-o declarație transmisă către BleepingComputer, Nintendo of America a confirmat incidentul la TinyPulse și a precizat că: „Suntem conștienți de o problemă care implică TinyPulse, un serviciu terț folosit pentru sondaje interne ale angajaților la Nintendo of America. Sistemele Nintendo nu au fost compromise și nu au fost accesate date personale ale clienților sau date financiare.” Compania a mai spus că datele implicate sunt limitate la conținutul sondajelor interne pentru „un subset mic” de angajați și că „majoritatea informațiilor” sunt vechi de câțiva ani, adăugând că lucrează cu furnizorul pentru a rezolva problema. Ulterior, Shadowbyt3$ ar fi publicat un link către un set de date care ar conține mesaje directe și conversații între angajați. TechRadar notează însă că autenticitatea acestor informații nu a fost confirmată de analiști, ceea ce lasă deschisă atât posibilitatea unei scurgeri reale, cât și cea a unei tentative de presiune în negocieri. [...]
SRI justifică atribuirea directă a unui acord-cadru de aproape 200 milioane euro (aprox. 1 miliard lei) către Digi pentru o platformă de inteligență artificială în securitate cibernetică , invocând proceduri accelerate permise de noile reguli SAFE, potrivit HotNews . Acordul vizează proiectul OCCULT-AI și, conform răspunsului transmis publicației, are ca obiect „dezvoltarea unei platforme integrate pentru evaluarea modelelor locale de tip Large Language Model (LLM) specializate în domeniul securității cibernetice” și crearea unui laborator de testare pentru astfel de modele. Pe înțelesul publicului, LLM este tipul de tehnologie din spatele unor produse precum ChatGPT, Claude sau Gemini, iar rularea „locală” (pe servere proprii) reduce riscul ca datele analizate să fie trimise către furnizori externi și poate funcționa și fără internet. Ce cumpără SRI și pe ce durată SRI precizează că acordul-cadru are o durată de 48 de luni și stabilește condițiile generale, urmând ca activitățile să fie derulate etapizat. Instituția mai spune că suma comunicată public reprezintă valoarea maximă a acordului-cadru, iar implementarea se face în limitele contractuale și ale obiectivelor asumate prin Instrumentul SAFE . În descrierea proiectului, SRI indică și un caracter „dual” al capabilităților dezvoltate: utilizare atât în scopuri de securitate și apărare, cât și pentru aplicații civile. Concret, soluțiile ar urma să fie folosite pentru protejarea infrastructurilor și sistemelor informatice relevante pentru securitatea națională, dar și pentru creșterea securității cibernetice a serviciilor publice digitale și a infrastructurilor critice. De ce fără licitație: baza legală invocată Punctul sensibil rămâne procedura: SRI explică faptul că a atribuit acordul-cadru prin „negociere fără publicarea prealabilă a unui anunț de participare”, susținând că legislația permite această abordare pentru achiziții din domeniul apărării și securității, în contextul SAFE. Instituția invocă, între altele, Articolul 19 din regulamentul european SAFE și ordonanța românească de aplicare (OUG 62/2025), precum și prevederi din Directiva 2009/81/CE și OUG 114/2011. SRI mai arată că a fost solicitată aprobarea prealabilă a Parlamentului pentru inițierea procedurilor, iar pe 13 mai 2026 comisiile de specialitate au aprobat demararea achiziției. „Procedura de achiziție utilizată pentru atribuirea acordului-cadru – negocierea fără publicarea prealabilă a unui anunț de participare – s-a derulat în baza art. 28 alineatul (1) litera (c) din Directiva 2009/81/CE (...)”, arată SRI în răspunsul redat de HotNews. Întrebarea fără răspuns: de ce Digi Deși HotNews a întrebat explicit de ce a fost ales Digi și nu un alt operator (precum Vodafone sau Orange, unde statul român este acționar cu 20%), SRI nu a oferit un răspuns pe această temă, limitându-se la justificarea cadrului legal și a pașilor de aprobare. În context, publicația amintește că Orange a transmis anterior că a aflat din presă despre contract, deși compania susține că are „peste 3.000 de experți”. Contextul bugetar: trei proiecte SAFE, 462 milioane euro Documentul SRI transmis în Parlament și consultat de HotNews indică trei proiecte SAFE cu o valoare estimată totală de 462 milioane euro, dintre care OCCULT-AI este cel mai mare, la 200 milioane euro. Celelalte două proiecte sunt „Mobile Capabilities To Provide Continuous Secure Essential Digital Services In Case Of Military Crisis” (130 milioane euro) și „Helicopters” (132 milioane euro), potrivit documentului și unei relatări Agerpres. Pentru proiectul OCCULT-AI, miza economică și de reglementare este dublă: pe de o parte, dimensiunea acordului-cadru și durata de patru ani, pe de altă parte, folosirea procedurilor accelerate SAFE, care reduc transparența tipică unei licitații deschise, dar sunt prezentate ca instrument pentru achiziții rapide în domenii strategice. Documentul SRI consultat de HotNews este disponibil aici , iar prima reacție publică a instituției din 4 iunie 2026 poate fi consultată pe site-ul SRI, aici . [...]
Ordinul SUA de a bloca accesul la Mythos nu s-a aplicat uniform , iar o parte dintre organizațiile selectate de Anthropic pentru testarea modelului au rămas conectate la o versiune „preview”, deși alte variante au fost oprite în baza unei directive de export, potrivit The Next Web . Miza este una de reglementare și guvernanță: decizia guvernului american a vizat suspendarea accesului pentru „cetățeni străini” invocând motive de securitate națională, însă, în practică, unele entități au păstrat accesul la Mythos Preview , ceea ce ridică întrebări despre cine controlează efectiv utilizarea unui instrument de securitate cu potențial „dublă utilizare” (atât defensiv, cât și ofensiv). Ce este Mythos Preview și de ce contează Anthropic a limitat Mythos Preview la aproximativ 200 de organizații, inclusiv guvernul SUA, prin programul Glasswing, după ce modelul a demonstrat o capacitate neobișnuită: identificarea a mii de vulnerabilități software. O versiune mai puțin puternică a fost disponibilizată mai larg, dar a fost ulterior dezactivată când Departamentul Comerțului a cerut suspendarea accesului pentru toți cetățenii străini. Diferența dintre „preview” și versiunile oprite este esențială: unele organizații au rămas cu acces la varianta avansată, chiar în timp ce restul accesului a fost restricționat. Cine a rămas cu acces și cine a fost scos Două companii au confirmat pentru Bloomberg că încă au acces la Mythos Preview: Dragos (companie de securitate cibernetică industrială, la care Accenture ar urma să achiziționeze o participație majoritară, conform articolului) Cisco Systems În schimb, Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), invitată anterior să se alăture programului Glasswing înainte de blocajul impus de Washington, a fost informată că nu va mai primi acces. Publicația notează că această decizie inversează o înțelegere discutată într-o întâlnire cu doar câteva zile înainte și sugerează că, „pentru moment”, o agenție europeană nu poate fi compatibilizată cu ordinul de export al SUA. Discreția rămasă la companie, în „spațiul” lăsat de directivă Articolul indică faptul că ordinul de export vizează cetățenii străini, dar nu pare să stabilească explicit, organizație cu organizație, cine dintre membrii existenți ai Glasswing își păstrează accesul la versiunea preview. Consecința practică este că Anthropic ajunge să facă evaluări de la caz la caz privind accesul la unul dintre cele mai capabile modele orientate spre securitate. Publicația subliniază că Anthropic nu a detaliat criteriile după care decide accesul, iar situația rămâne fluidă. Cert este că oprirea nu a fost totală, „supraviețuitorii” sunt concentrați în zona utilizatorilor americani din securitate defensivă, iar prima organizație europeană invitată a ajuns și prima exclusă. [...]
Identificarea sateliților ruși ca sursă a întreruperilor GPS din Europa schimbă riscul operațional pentru infrastructuri critice , pentru că mută bruiajul din zona locală (nave, vehicule) în spațiu, cu potențial de acoperire continentală, potrivit Focus . În ultimii ani, Europa a înregistrat întreruperi scurte ale comunicațiilor cu sateliții – de fiecare dată sub 10 secunde –, dar suficient de frecvente încât să devină un tipar. Între Islanda și Italia, respectiv între Norvegia și Spania, au fost contabilizate 75 de astfel de episoade din 2019. O echipă de cercetători de la Universitatea Texas a analizat cazurile și a concluzionat că perturbările vin de pe orbită, de la sateliți ruși. Conform coordonatorului proiectului, Todd Humphreys, ar fi vorba despre șase sateliți ruși, a căror misiune oficială este avertizarea timpurie a Rusiei privind rachete balistice și atacuri nucleare. Ce se știe și ce rămâne neclar despre atribuirea incidentelor Cu ajutorul unor colegi din Spania, cercetătorii au calculat care sateliți ar putea fi responsabili și au ajuns la „ Kosmos 2546 ”, parte a sistemului rusesc de avertizare timpurie. Din cele 75 de perturbări, trei au putut fi atribuite direct acestui grup de sateliți, în timp ce pentru restul incidentelor datele au fost considerate insuficiente pentru o atribuire fermă. În același timp, echipa susține că a putut demonstra un element de context constant: la fiecare impuls de bruiaj exista cel puțin un satelit de avertizare timpurie deasupra zonei afectate. De ce contează pentru economie și operațiuni: GPS ca „utilitate” critică Până acum, episoadele nu ar fi produs pagube majore, deoarece sateliții moderni pot compensa tehnic întreruperile foarte scurte. Riscul rămâne însă relevant, deoarece GPS este o componentă de bază pentru funcționarea economiilor moderne, inclusiv dincolo de navigația pentru consumatori. În material sunt menționate utilizări operaționale precum: coordonarea intervențiilor de urgență (ambulanță, poliție, pompieri); sincronizarea rețelelor electrice și a rețelelor radio. „Revoluția” în războiul electronic: bruiaj din spațiu, nu de la sol Un punct-cheie este schimbarea de paradigmă: tradițional, bruiajul era realizat cu emițătoare de pe nave sau vehicule, cu rază limitată și, de regulă, cu necesitatea unui contact vizual cu ținta. În schimb, un emițător aflat în spațiu ar putea extinde masiv aria de acțiune. Și intenția rămâne neclară. Articolul notează că nu este sigur dacă sateliții ruși bruiază deliberat comunicațiile europene; cercetătorul Richard Bowden indică și posibilitatea ca întreruperile să fie efectul unor mesaje scurte transmise de sateliții ruși. În aceeași logică, publicația austriacă Der Standard (citată de Focus) arată că sateliții de avertizare timpurie sunt esențiali pentru Rusia și, în mod obișnuit, nu li se adaugă „sarcini secundare”. În orice scenariu, concluzia operațională rămâne: sateliții care pot genera astfel de perturbări deschid opțiuni noi pentru războiul hibrid, iar Humphreys vorbește despre o „escaladare masivă” a conflictului de fond din zona războiului electronic. Potrivit șefului Royal Institute of Navigation din Londra, un bruiaj din spațiu ar putea, teoretic, „în fiecare zi să perturbe țintit un întreg continent”, ceea ce ar ridica amenințarea la un alt nivel. [...]
Un nou exploit „nepatchabil” din BootROM poate forța rularea de cod pe dispozitive Apple cu cipuri A12 și A13 , ceea ce ridică un risc operațional persistent pentru organizațiile care folosesc astfel de terminale și nu le pot scoate rapid din uz, potrivit 9to5Mac . Vulnerabilitatea, numită „usbliter8”, permite execuție arbitrară de cod pe dispozitive aflate în modul DFU (Device Firmware Update), iar fiind la nivel de BootROM (cod de pornire în hardware), nu poate fi remediată prin actualizări software. Ce înseamnă „nepatchabil” și de ce contează pentru companii Cercetătorii de la Paradigm Shift descriu usbliter8 ca un exploit care „folosește atât un bug hardware în controlerul USB, cât și o problemă de configurare în firmware”, ceea ce îl face imposibil de „peticit” prin update-uri. Practic, pentru flotele de dispozitive (telefoane, tablete, ceasuri) aflate încă în ciclul de utilizare, asta înseamnă că riscul nu dispare odată cu un update iOS/watchOS, ci rămâne atașat generațiilor de hardware afectate. Echipa Paradigm Shift spune că a lucrat cu Apple Product Security înainte de publicare pentru coordonarea dezvăluirii și a mulțumit echipei Apple pentru cooperare. Ce dispozitive sunt vizate Conform descrierii, bug-ul afectează SoC-urile (cipurile) Apple A12, S4, S5 și A13. Deși autorii menționează explicit iPhone în materialul tehnic, lista de dispozitive care folosesc aceste cipuri include: A12: iPhone XR, iPhone XS/XS Max, iPad Air 3, iPad mini 5, iPad 8, Apple TV 4K (generația a doua) S4: Apple Watch Series 4 S5: Apple Watch Series 5, Apple Watch SE (generația 1), HomePod mini A13: iPhone 11/11 Pro/11 Pro Max, iPhone SE (generația a doua), iPad 9, Studio Display Cercetătorii adaugă că suport tehnic pentru A12X/Z „este posibil”, dar „nu este implementat în prezent”, ceea ce ar putea extinde aria către iPad Pro din 2018 și 2020. Cum funcționează atacul și care sunt limitele lui Mecanismul descris: atacatorul trimite date special construite către dispozitiv prin USB, în timp ce acesta este în mod DFU , „derutând” controlerul USB și determinându-l să scrie date în zona greșită de memorie. Rezultatul este control asupra procesului de pornire: atacatorul poate rula cod înainte ca iOS să se încarce, poate ocoli verificări de semnătură și poate porni software de sistem modificat. O limitare importantă menționată de autori: exploitul nu compromite direct Secure Enclave (componenta care protejează chei criptografice și date sensibile), ceea ce înseamnă că parolele și datele criptate ale utilizatorilor „rămân sigure” în practică. Totuși, echipa avertizează că, deși nu afectează Secure Enclave în sine, poate „deschide vectori de atac mai largi” care să ducă la compromiterea acesteia. Ce măsuri rămân disponibile Pentru că este un exploit „nepatchabil”, cercetătorii indică drept cea mai eficientă măsură migrarea către hardware mai nou . În termeni operaționali, asta poate însemna accelerarea planurilor de înlocuire pentru dispozitivele din generațiile A12/A13 (și cele cu S4/S5), mai ales în medii unde există risc de acces fizic la terminale. În paralel, Paradigm Shift a publicat și un „proof of concept” pe GitHub (proiect demonstrativ), care a strâns peste 280 de „stars” în câteva ore, semnal că zona va fi urmărită îndeaproape de comunitatea de securitate — și, potențial, de dezvoltatorii de instrumente de tip jailbreak. Contextual, 9to5Mac amintește că exploitul nu afectează A11 sau mai vechi, unde există deja un alt exploit BootROM „nepatchabil”, cunoscut ca „checkm8”. [...]
Apple a început să distribuie un update de firmware pentru Beats Studio Buds care închide o vulnerabilitate Bluetooth ce ar fi putut permite ascultarea prin microfoane , potrivit BGR . Actualizarea a început pe 16 iunie și duce firmware-ul la versiunea 1B211. Vulnerabilitatea este identificată ca CVE-2025-20701 și este legată de un kit software (SDK) Bluetooth audio al Airoha, nu de un cod dezvoltat integral de Apple. Conform articolului, Beats Studio Buds folosesc cipul MT2821A, un cip Bluetooth cu consum redus dezvoltat de Airoha (companie deținută de MediaTek), ceea ce explică expunerea la această problemă. Ce permitea vulnerabilitatea și în ce condiții CVE-2025-20701 ar putea fi exploatată atunci când căștile nu sunt deja asociate (paired) și caută activ dispozitive pentru asociere. Pentru ca atacul să funcționeze, atacatorul ar trebui să fie în raza Bluetooth. Cercetătorii de la compania de securitate cibernetică ERNW au descoperit problema, iar cazul a fost raportat inițial în iunie 2025, cu detalii suplimentare făcute publice în decembrie, notează materialul. Într-un articol citat de BGR, Bleeping Computer arată că vulnerabilitatea poate permite conectarea la căștile victimei fără consimțământ și stabilirea unor conexiuni audio bidirecționale, care pot fi folosite pentru: a asculta sunetul captat de microfoanele căștilor; a trimite audio pentru redare (și alte acțiuni, potrivit descrierii cercetătorilor). Aceiași cercetători au catalogat vulnerabilitatea drept „necritică” și au precizat că ar necesita abilități tehnice avansate pentru realizarea conexiunii neautorizate, conform relatării Bleeping Computer preluate de BGR. Impact mai larg: nu doar Apple, ci și alte branduri BGR subliniază că Beats Studio Buds nu sunt singurele afectate: ar exista și alte modele de căști de la Sony, Bose, JBL, Marshall, Jabra și alți producători care folosesc același cip și ar fi vizate de aceeași clasă de problemă, iar „multe” ar fi fost deja remediate. În paralel, Apple a lansat firmware 8B41 pentru AirPods Pro 2 și AirPods Pro 3 , însă acesta nu include corecția pentru CVE-2025-20701, deoarece aceste modele folosesc cip audio proprietar Apple, nu platforma Airoha menționată în cazul Beats Studio Buds. Cum se face actualizarea și cum verifici versiunea Actualizarea de firmware pentru Beats Studio Buds se livrează automat când căștile sunt: asociate activ cu un dispozitiv Apple (de exemplu iPhone sau Mac), la încărcat sau complet încărcate, puse în carcasă, cu capacul închis. Procesul poate dura până la 30 de minute, în funcție de conexiunea la internet. Pentru utilizatorii de Android, BGR indică actualizarea prin aplicația Beats: căștile trebuie să fie pornite și asociate, apoi în aplicație apare un buton „Update” dacă există o versiune disponibilă. Verificarea versiunii se poate face pe iPhone/iPad din Settings, apăsând pe numele căștilor, apoi în secțiunea About, unde apare versiunea de firmware la „Under the Hood”. [...]
