2SDnjcoK9BL
В Bluetooth-шлюзе Amp’ed RF BT-AP 111 выявлена критическая уязвимость (CVE-2025-9994), позволяющая получить административный доступ без какой-либо аутентификации. Встроенный веб-интерфейс устройства, доступный через порт 80, не требует логина и пароля. Это значит, что любой пользователь локальной сети, а в ряде случаев и удалённый злоумышленник через неправильно настроенный VPN, может изменить конфигурацию устройства.
BT-AP 111 используется как мост между Bluetooth и Ethernet, поддерживая до семи подключений и работу через UPnP. Через веб-панель администраторы настраивают параметры сети, профили Bluetooth и обновления прошивки. Но отсутствие базовой защиты позволяет злоумышленникам отключить шифрование, перенаправить трафик на прокси, внедрить вредоносное ПО или полностью заблокировать устройство. В результате под угрозой оказываются и пользователи, и внутренняя сеть компании.
Эксперты отмечают, что такое упущение противоречит рекомендациям NIST, где подчёркивается необходимость аутентификации для всех административных интерфейсов, включая Bluetooth-устройства. Нарушение базовых правил безопасности создаёт риски не только для инфраструктуры, но и для соблюдения отраслевых стандартов и нормативных требований.
Производитель пока не выпустил исправления. CERT/CC также не сообщал о планах релиза обновлений. До появления патча специалисты рекомендуют изолировать BT-AP 111 в отдельный сегмент сети, ограничить доступ к порту 80 только доверенными машинами и использовать межсетевые экраны или IPS для блокировки несанкционированных запросов. Пока же единственной защитой остаётся грамотное сетевое разграничение и регулярный аудит устройств.
В рамках SOC Forum 2025 портал Cyber Media взял интервью у Андрея Жданухина, руководителя группы аналитики L1 GSOC компании «Газинформсервис» — как будет развиваться SOC в ближайшие годы на фоне бума технологий ИИ?
Журналист Simon Fondrie-Teitler разобрался в том, как работает Dekota - новый гаджет от Kohler за 600 долларов плюс подписка.
Исследователи Trend Micro обнаружили GhostPenguin - редкий многопоточный бекдор под Linux, который долгое время проходил мимо любых средств детектирования.
Еврокомиссия вынесла первое в истории решение по DSA и назначила X* штраф в размере 120 миллионов евро.
В Российском университете дружбы народов им.
Компания «ИнфоТеКС» объявляет о получении сертификата ФСБ России на программный комплекс ViPNet Client 5 for Linux.
Компания «Увеон – облачные технологии» объявляет о выходе Termidesk Connect 1.
Австралия готовится к внедрению федерального запрета на использование социальных сетей подростками младше 16 лет.
Специалисты Zimperium сообщили о новой волне распространения ClayRat - вредоносного ПО для Android, которое в свежей версии стало куда опаснее.
Исследователи Adex раскрыли новую схему распространения Android-трояна Triada через рекламные сети.
