Дайджест уязвимостей. Сентябрь: хакеры обходят защиту через WinRAR, 7-Zip, SAP NetWeaver и TrueConf
Positive Technologies представила обзор 8 трендовых уязвимостей в популярном ПО с подробностями об эксплойтах и исправлениях.
Компания Positive Technologies ежемесячно проводит анализ сведений об уязвимостях из баз и бюллетеней вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов и публичных репозиториев кода, чтобы выделять трендовые уязвимости — те, что уже эксплуатируются или с высокой долей вероятности будут использоваться в ближайшее время.
С прошлого дайджеста в перечень добавлено 8 трендовых уязвимостей. Ниже — компактная карта затронутых продуктов с последующим углублением по тематическим блокам.
- WinRAR: PT-2025-26225 (CVE-2025-6218), PT-2025-32352 (CVE-2025-8088)
- SAP NetWeaver Visual Composer: PT-2025-20812 (CVE-2025-42999), PT-2025-17845 (CVE-2025-31324)
- 7-Zip: PT-2025-32410 (CVE-2025-55188)
- TrueConf Server: BDU:2025-10116, BDU:2025-10115, BDU:2025-10114
Архиваторы и выход за пределы каталога распаковки
- WinRAR
-
PT-2025-26225 (CVE-2025-6218; CVSS 7,8) и PT-2025-32352 (CVE-2025-8088; CVSS 8,8) связаны с тем, что специально сформированный путь внутри архива заставляет процесс извлечения перемещаться в незапланированные каталоги (включая Startup), что приводит к выполнению кода в контексте текущего пользователя.
- CVE-2025-6218 сообщена 5 июня, исправлена 25 июня в 7.12.
- 30 июля вышла 7.13, закрывающая CVE-2025-8088 (описание аналогичное).
- Публичный эксплойт для CVE-2025-6218 доступен на GitHub с 27 июня.
- BiZone сообщили о фишинговых атаках против российских организаций (с начала июля) с эксплуатацией CVE-2025-6218 и CVE-2025-8088, связывая их с Paper Werewolf (GOFFEE). ESET фиксировали использование уязвимостей для установки бэкдоров RomCom.
- По данным ESET Research, CVE-2025-8088 применялась против компаний в Канаде и Европе (финансовый, производственный, оборонный, логистический секторы). CISA добавила CVE-2025-8088 в KEV.
Потенциальный охват: WinRAR скачали более 500 млн раз; уязвимы все версии ниже 7.13 на Windows.
Способы устранения: автоматического обновления нет — требуется вручную установить WinRAR 7.13.
- 7-Zip
-
PT-2025-32410 (CVE-2025-55188; CVSS 3,6) — некорректная обработка символьных ссылок. Извлечение подготовленного архива может перезаписывать произвольные файлы вне целевого каталога. Сценарий особенно актуален для Linux (возможна перезапись SSH-ключей, автозапускаемых скриптов и т. п.). В Windows эксплуатация возможна, если процесс распаковки способен создавать симлинки (запуск от администратора или включённый Developer Mode).
- Исправление вошло в 7-Zip 25.01 от 3 августа.
- 9 августа исследователь lunbun разослал детали, 28 августа опубликовал write-up; PoC/эксплойты на GitHub с 11 августа.
- Признаков эксплуатации «в полях» пока нет.
Потенциальный охват: порядка 430 млн загрузок по данным SourceForge; уязвимы версии ниже 25.01.
Способы устранения: обновление до 25.01.
Корпоративные платформы и удалённое выполнение кода без аутентификации
- SAP NetWeaver (Visual Composer)
-
Две проблемы в веб-среде моделирования бизнес-приложений: отсутствие проверки авторизации (CVE-2025-31324; PT-2025-17845; CVSS 10,0) и небезопасная десериализация (CVE-2025-42999; PT-2025-20812; CVSS 9,1). Они позволяют неаутентифицированному злоумышленнику добиться RCE и захватывать системы, данные и процессы SAP.
- Патчи выпущены SAP в апреле и мае 2025.
- Onapsis отмечали начало эксплуатации CVE-2025-31324 уже 10 февраля.
- Обе уязвимости добавлены в CISA KEV 29 апреля и 15 мая; PoC/эксплойты для CVE-2025-31324 появлялись на GitHub с конца апреля. По данным Onapsis, 15 августа опубликован «боевой» эксплойт, комбинирующий также CVE-2025-42999.
- По оценкам, решения SAP продолжают использовать около 2000 российских организаций.
Статус эксплуатации: активные попытки подтверждены Onapsis; обе записи есть в CISA KEV.
Наличие эксплойтов: опубликован эксплойт, сочетающий обе уязвимости и обеспечивающий RCE без аутентификации.
Способы устранения: установка обновлений безопасности; дополнительно Onapsis и Mandiant выпустили открытый инструмент для проверки SAP NetWeaver на CVE-2025-31324 и CVE-2025-42999.
Цепочка критических проблем, обнаруженных экспертом PT SWARM Никитой Петровым (анонс):
BDU:2025-10114 — недостаточный контроль доступа, позволяющий обращаться к ряду административных эндпоинтов без прав и аутентификации.BDU:2025-10115 — чтение произвольных файлов в системе.
BDU:2025-10116 — наиболее критичная, даёт внедрение и выполнение произвольных команд ОС.
- Обновления безопасности выпущены 27 августа 2025.
- Публичных эксплойтов и подтверждённой эксплуатации пока нет.
- По данным Positive Technologies, в России более 7000 установок TrueConf Server; продукт часто доступен из Интернета, что повышает риск первичного проникновения.
Потенциально уязвимые версии: все, кроме 5.5.1, 5.4.6 и 5.3.7, независимо от ОС, если система находится на внешнем периметре.
Способы устранения: обновление до версий 5.5.1, 5.4.6 или 5.3.7.
Практические рекомендации
Использование популярных решений с трендовыми уязвимостями создаёт максимальные риски и требует приоритизации исправлений. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет своевременно закрывать наиболее опасные из них и защищать инфраструктуру компании. При этом не стоит игнорировать и другие уязвимости, способные нанести серьёзный ущерб. Следить за актуальными проблемами безопасности можно на странице трендовых уязвимостей и на портале dbugs, где агрегируются сведения о слабых местах ПО и оборудования и рекомендации производителей по их устранению.