How did the #Russia Ministry of Defence’s narrative on the ‘raid on Putin’s residence’ change? On 29 December at 04:44 BST, the Ministry of Defence published a routine report on the shooting down of a total of 89 drones over various Russian regions, 18 of which were over the Novgorod region between midnight and 07:00 MSK.

Two hours later, at 06:30 BST, the Ministry of Defence published another report for the period 07:00-09:00 MSK on the shooting down of another 23 drones over the Novgorod Oblast.

Then, routine publications follow throughout the day - Putin’s appearance on conscription, countless successes on the front, Putin’s speech, Putin’s congratulations, interviews with soldiers.

And only at 18:29 BST does the news arrive… BREAKING news, actually, that all those drones flying last night were actually a ‘terrorist attack’ on poor Putin’s headquarters, who is, after all, constantly fighting for peace.

More about the “attack on #Putin residence”: pravda.com.ua/eng/news/2025/12…

And make no mistake, in the fourth year of the war Russia needs no casus belli to mercilessly bomb #Ukraine towns, hospitals, schools and residential houses - it’s been doing it consistently since 2022.

P.S. MSK = BST/GMT +3 hours, the timestamp on the screenshots is from my Telegram in the UK, so BST

La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM

È stata scoperta una serie di vulnerabilità nel popolare ecosistema di distributori automatici di cibo per animali domestici Petlibro. Nel peggiore dei casi, queste vulnerabilità consentivano a un aggressore di accedere all’account di qualcun altro, accedere ai dati degli animali domestici e controllare i dispositivi collegati, modificando persino i programmi di alimentazione e il funzionamento della videocamera.

Il ricercatore che ha pubblicato l’analisi afferma che l’azienda ha rapidamente risolto alcuni dei problemi, ma la falla principale nel meccanismo di accesso all’account di terze parti è rimasta attiva per oltre due mesi “per motivi di compatibilità” ed è stata disattivata solo dopo la pubblicazione.

Secondo l’autore, l’indagine è iniziata con un’analisi dell’app mobile Petlibro, utilizzata dai proprietari di mangiatoie, abbeveratoi e altri dispositivi IoT intelligenti per animali domestici. Tali dispositivi vengono spesso installati in casa e utilizzati da remoto, ad esempio per dare da mangiare a un gatto o a un cane durante i viaggi.

Ecco perché eventuali errori nei controlli di autorizzazione e accesso sono particolarmente sensibili in questo caso: non stiamo parlando solo di dati, ma del controllo effettivo sul dispositivo e sulla vita della persona.

Il ricercatore cita come principale scoperta un bypass dell’autenticazione in uno degli scenari di accesso “social”. Il problema, descrive, era che il server non verificava la validità del token OAuth , ma si fidava dei dati inviati dal client.

Di conseguenza, conoscendo gli identificatori pubblici, era possibile ottenere una sessione di lavoro per il profilo di qualcun altro. L’azienda afferma di aver aggiunto un nuovo meccanismo più sicuro, ma ha mantenuto il vecchio e vulnerabile percorso per la “compatibilità legacy“, in attesa che la maggior parte degli utenti aggiornasse l’app.

L’autore spiega poi che la catena si è evoluta verso la privacy e il controllo dell’hardware. L’ API , descrive, conteneva metodi che restituivano i dati dell’animale tramite ID senza verificare che la richiesta fosse stata effettuata dal proprietario. Ciò consentiva di ottenere il profilo dell’animale: nome, data di nascita, peso, parametri di attività e appetito, foto e associazione con il proprietario. Utilizzando questi stessi dati, sostiene il ricercatore, si poteva accedere alle informazioni del dispositivo (inclusi gli identificatori tecnici) e quindi eseguire azioni disponibili al proprietario: modificare le impostazioni, avviare manualmente l’alimentazione, gestire le pianificazioni e, per i modelli dotati di telecamera, accedere al flusso video.

L’autore sottolinea anche il rischio di fuga di dati personali: alcuni dispositivi consentono di registrare messaggi vocali che vengono riprodotti a un animale domestico durante l’alimentazione. A suo avviso, gli identificatori di tali registrazioni erano prevedibili e l’associazione della registrazione al dispositivo non era sufficientemente sicura, consentendo l’accesso ai file audio di altre persone.

Un altro scenario che descrive è la possibilità di aggiungersi come “proprietario condiviso” del dispositivo di qualcun altro attraverso un metodo di condivisione non sicuro.

La storia riguardava anche un conflitto sulle “regole del gioco” per il ricercatore. Secondo la cronologia dell’autore, egli ha segnalato i problemi il 5 novembre 2025, ha ricevuto conferma di accettazione e un’offerta di ricompensa di 500 dollari, dopodiché l’azienda, dopo avergli fornito le informazioni di pagamento, gli ha inviato una lettera di riservatezza e gli ha ripetutamente chiesto di firmarla. Il ricercatore sostiene di non aver accettato in anticipo l’accordo di riservatezza e di essersi rifiutato di firmarlo, sottolineando che l’approccio unilaterale “loro hanno inviato i soldi, quindi ho accettato” non funziona.

Al 4 dicembre, Petlibro ha riferito che “la maggior parte” delle vulnerabilità era stata risolta e che il bypass delle autorizzazioni era stato “corretto nell’ultima versione dell’app“, ma la l’App “obsoleta” vulnerabile ha continuato a funzionare per diverse settimane.

Per gli utenti, la conclusione è semplice: se si utilizza Petlibro (o qualsiasi dispositivo IoT simile), è necessario aggiornare l’app e il firmware alle versioni più recenti e prestare maggiore attenzione all’accesso tramite social network e all’accesso condiviso ai dispositivi. Per i produttori, il caso ricorda ancora una volta che la “compatibilità” non dovrebbe essere una scusa per mantenere funzionalità pericolose quando si tratta di autorizzazione e controllo remoto dei dispositivi domestici.

L'articolo La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM proviene da Red Hot Cyber.

Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco

La Cybersecurity and Infrastructure Security Agency (CISA) ha ufficialmente lanciato l’allarme su una vulnerabilità critica in MongoDB, aggiungendo la falla al suo catalogo delle vulnerabilità note sfruttate (KEV).

Questa mossa conferma che il bug, denominato “MongoBleed“, viene attivamente sfruttato dagli hacker per rubare dati sensibili dai server di tutto il mondo. Il difetto è grave. Deriva da una “gestione impropria dell’incoerenza dei parametri di lunghezza” nell’uso della libreria di compressione zlib da parte del database.

I ricercatori di sicurezza di Ox Security hanno chiarito il funzionamento della vulnerabilità, la quale deriva dalla tendenza di MongoDB a restituire il volume di memoria allocata durante l’elaborazione dei comunicati di rete, anziché le dimensioni effettive dei dati decompressi.

La vulnerabilità , identificata come CVE-2025-14847, ha un punteggio di gravità pari a 8,7 e colpisce un’ampia gamma di versioni di MongoDB Server, dalle installazioni legacy alle release più recenti.

L’intervento della CISA fa seguito alle segnalazioni di abusi diffusi. L’agenzia ha avvertito che “questo tipo di vulnerabilità è un frequente vettore di attacco per i malintenzionati e rappresenta un rischio significativo per l’attività federale”.

L’elenco delle versioni interessate è ampio e copre anni di release:

• MongoDB dalla versione 8.2.0 alla 8.2.3
• MongoDB dalla versione 8.0.0 alla 8.0.16
• MongoDB dalla versione 7.0.0 alla 7.0.26
• MongoDB dalla versione 6.0.0 alla 6.0.26
• MongoDB dalla versione 5.0.0 alla 5.0.31
• MongoDB dalla versione 4.4.0 alla 4.4.29
• Tutte le versioni 4.2, 4.0 e 3.6.

Secondo Censys, una piattaforma dedicata alla scoperta di risorse connesse a Internet, al 27 dicembre erano oltre 87.000 le istanze MongoDB potenzialmente vulnerabili esposte alla rete Internet pubblica.

Questa incoerenza strutturale consente a un malintenzionato di trasmettere un “messaggio malformato che dichiara una dimensione decompressa esagerata”, ingannando così il server e inducendolo a riservare un buffer di memoria espandibile. Successivamente, il server restituisce inavvertitamente il contenuto di questa memoria non inizializzata all’avversario.

Sfruttando questa falla, gli aggressori sono in grado di raccogliere da remoto segreti, credenziali e altri dati riservati da un’istanza MongoDB esposta, ottenendo un’estrazione completa senza la necessità di autenticazione.

MongoDB ha risolto la vulnerabilità 10 giorni fa e invita tutti gli amministratori ad aggiornare immediatamente a una “versione sicura”. Le versioni corrette sono:

• 8.2.3
• 8.0.17
• 7.0.28
• 6.0.27
• 5.0.32
• 4.4.30.

Fortunatamente, i clienti che utilizzano MongoDB Atlas, il servizio multi-cloud completamente gestito dell’azienda , hanno ricevuto la patch automaticamente e non devono intraprendere alcuna azione.

L'articolo Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco proviene da Red Hot Cyber.

39C3: Liberating ESP32 Bluetooth

Bluetooth is everywhere, but it’s hard to inspect. Most of the magic is done inside a Bluetooth controller chip, accessed only through a controller-specific Host-Controller Interface (HCI) protocol, and almost everything your code does with Bluetooth passes through a binary library that speaks the right HCI dialect. Reverse engineering these libraries can get us a lot more control of and information about what’s going on over the radio link.

That’s [Anton]’s motivation and goal in this reversing and documentation project, which he describes for us in this great talk at this year’s Chaos Communication Congress. In the end, [Anton] gets enough transparency about the internal workings of the Bluetooth binaries to transmit and receive data. He stops short of writing his own BT stack, but suggests that it would be possible, but maybe more work than one person should undertake.

So what does this get us? Low-level control of the BT controller in a popular platform like the ESP32 that can do both classic and low-energy Bluetooth should help a lot with security research into Bluetooth in general. He figured out how to send arbitrary packets, for instance, which should allow someone to write a BT fuzzing tool. Unfortunately, there is a sequence ID that prevents his work from turning the controller into a fully promiscuous BT monitor, but still there’s a lot of new ground exposed here.

If any of this sounds interesting to you, you’ll find his write-up, register descriptions, and more in the GitHub repository. This isn’t a plug-and-play Bluetooth tool yet, but this is the kind of groundwork on a popular chip that we expect will enable future hacking, and we salute [Anton] for shining some light into one of the most ubiquitous and yet intransparent corners of everyday tech.

hackaday.com/2025/12/30/39c3-l…