ЛЕНТА КАНАЛА

СРОЧНО: АКТИВНАЯ ЭКСПЛУАТАЦИЯ УЯЗВИМОСТИ (ZERO-DAY) WEBHOOK В TELEGRAM-БОТАХ

CRITICAL
CYBER
7986
2026-05-11
**Источник угрозы:** Децентрализованные хакерские группы в Даркнете **Цель:** Telegram Bot API (В частности, пользовательские Webhook-интеграции) **Разведданные:** Срочные новости на утро 11 мая 2026 года: В дикой природе активно эксплуатируется критическая уязвимость нулевого дня, связанная с тем, как пользовательские Telegram-боты обрабатывают входящие полезные нагрузки (payloads). Эксплойт, получивший название «Ghost-Hook», нацелен на конечные точки (обычно серверы на PHP или Node.js), используемые разработчиками для автоматизации управления серверами, оповещений и поддержки клиентов. **Ключевые детали инцидента:** • Уязвимость: Злоумышленники обнаружили метод обхода стандартной проверки SSL/TLS на конечных точках ботов. Используя скомпрометированную промежуточную инфраструктуру, они наводняют открытые URL-адреса вебхуков поддельными JSON-пакетами, которые идеально имитируют официальные запросы Telegram API. • Нагрузка: Поддельные запросы заставляют внутренний сервер выполнять несанкционированные административные команды. Для ботов с повышенными привилегиями это позволяет злоумышленникам удаленно управлять серверами, извлекать пользовательские базы данных или манипулировать финансовыми/крипто-ботами. • Ущерб: За последние 12 часов были угнаны тысячи пользовательских ботов управления. В настоящее время злоумышленники сканируют интернет в поисках уязвимых файлов `webhook.php`, в которых отсутствует глубокая проверка. **Стратегическая оценка:** Если вы управляете серверной инфраструктурой или клиентскими сервисами через собственного Telegram-бота, считайте, что вы находитесь под активным сканированием. Немедленно обновите свои webhook-обработчики, чтобы они строго пропускали только официальные подсети IP-адресов Telegram (149.154.160.0/20 и 91.108.4.0/22). Кроме того, теперь критически необходимо внедрить заголовок `X-Telegram-Bot-Api-Secret-Token` в ваш бэкенд-код для криптографической проверки того, что входящие данные законно исходят от серверов Telegram.