Ноябрьский дайджест «В тренде VM»: уязвимости в продуктах Microsoft, Redis, XWiki, Zimbra Collaboration и Linux

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.С прошлого дайджеста мы добавили еще 9 трендовых уязвимостей:

Уязвимость удаленного выполнения кода в службе обновления Windows Server

PT-2025-42147 (CVE-2025-59287, оценка по CVSS — 9,8; критический уровень опасности)

WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.

• Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.
• С 18 октября на GitHub доступен публичный эксплойт.
• 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).
• 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.

Признаки эксплуатации: компания Huntress зафиксировала попытки эксплуатации уязвимости у четырех своих клиентов. Попытки эксплуатации уязвимости у клиентов также отмечала компания Eye Security. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Уязвимость удаленного выполнения кода в Microsoft SharePoint

PT-2025-28601 (CVE-2025-49704, оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость из июльского Microsoft Patch Tuesday. SharePoint - это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Десериализация недоверенных данных в классе DataSetSurrogateSelector приводит к выполнению кода в контексте процесса веб-сервера SharePoint. Уязвимость требует аутентификации, которую можно получить, например, через эксплуатацию CVE-2025-49706 (цепочка "ToolShell").

• Цепочка "ToolShell" была продемонстрирована командой Viettel Cyber Security на конкурсе Pwn2Own Berlin 15-17 мая 2025 года (приз $100 000).
• Признаки эксплуатации фиксируются с 7 июля. Уязвимость в CISA KEV с 22 июля.
• Публичные эксплоиты доступны на GitHub с 21 июля.
• Развитием цепочки уязвимостей "ToolShell" являются CVE-2025-53770 и CVE-2025-53771.

Признаки эксплуатации: Microsoft сообщили, что сразу три группы злоумышленников пытались эксплуатировать уязвимости CVE-2025-49706 и CVE-2025-49704 для получения первоначального доступа к целевым организациям: APT-группы Linen Typhoon и Violet Typhoon, а также группа вымогателей Storm-2603. По некоторым сообщениям, злоумышленники использовали уязвимости CVE-2025-53770 и CVE-2025-49704 для атаки на кампус национальной безопасности в Канзас-Сити (KCNSC) - важного объекта ядерной программы США. Кроме того, агентство CISA добавило CVE-2025-49704 и CVE-2025-49706 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе был опубликован PoC для цепочки эксплойтов ToolShell.

Уязвимость удаленного выполнения кода в механизме обработки ярлыков Microsoft Windows

PT-2025-34796 (CVE-2025-9491, оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.

• Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. ????‍♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.
• 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.
• Метод модификации .LNK файлов описан в отчёте Trend Micro.

Признаки эксплуатации: в марте 2025 года аналитики угроз Trend Micro обнаружили, что уязвимость CVE-2025-9491 уже широко использовалась одиннадцатью киберпреступными группами, такими как Evil Corp, Kimsuky, Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni и другими. Компания Arctic Wolf также сообщила, что уязвимость эксплуатировалась в рамках атак на европейские дипломатические и правительственные учреждения в период с сентября по октябрь 2025 года, и связала активность с группой UNC6384, также известной как Mustang Panda. Целью кампании было заражение жертв ВПО для удаленного управления PlugX.

Публично доступные эксплойты: метод модификации .LNK файлов описан в отчёте Trend Micro.

Уязвимость повышения привилегий в службе Remote Access Connection Manager

PT-2025-42115 (CVE-2025-59230, оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость из октябрьского Microsoft Patch Tuesday. Служба удалённого доступа Windows (Windows Remote Access Connection Manager, RasMan) - это базовая служба Windows, которая управляет подключениями по коммутируемой линии (dial-up) и виртуальным частным сетям (VPN), обеспечивая безопасное соединение компьютера с удалёнными сетями. Ошибка контроля доступа в службе RasMan может позволить аутентифицированному злоумышленнику повысить привилегии до уровня SYSTEM.

• Microsoft изначально, 14 октября, сообщали о признаках эксплуатации уязвимости в реальных атаках. 22 октября уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.
• Публичных эксплоитов пока не наблюдается.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA также добавило уязвимость в каталог KEV как активно эксплуатируемую. По словам исследователя компании Tenable, CVE-2025-59230 — первая уязвимость в RasMan, эксплуатируемая как уязвимость нулевого дня.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Уязвимость повышения привилегий в драйвере Agere Modem

PT-2025-41973 (CVE-2025-24990, оценка по CVSS — 7,8; высокий уровень опасности)

• Уязвимость из октябрьского Microsoft Patch Tuesday. Agere Modem Driver (ltmdm64.sys) - это программный компонент, который позволяет компьютеру взаимодействовать с модемом Agere (или LSI) для коммутируемого (dial-up) или факсимильного соединения.
• Несмотря на сомнительную практическую полезность, драйвер продолжал поставляться в составе операционных систем Windows. Локальный злоумышленник, успешно воспользовавшийся уязвимостью в этом драйвере, может получить права администратора.
• Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.
• 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет), но игнорировали её.
• 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2025-49704, CVE-2025-49706, CVE-2025-59230, CVE-2025-24990 и CVE-2025-59287. Что касается уязвимости CVE-2025-9491, на момент публикации данного исследования, информации о более новой версии, содержащей исправление, нет.

Перейдем к уязвимости в популярной базе данных.

Уязвимость удаленного выполнения кода в Redis

PT-2025-40594 (CVE-2025-49844, оценка по CVSS — 9,9; критический уровень опасности)

Redis - это популярная резидентная (in-memory) база данных типа «ключ–значение» с открытым исходным кодом, используемая как распределённый кэш и брокер сообщений, с возможностью долговременного хранения данных. Уязвимость позволяет удалённому аутентифицированному злоумышленнику выполнить произвольный код при помощи специально подготовленного Lua-скрипта. Требование "аутентифицированности" не снижает критичность, так как аутентификация в Redis по умолчанию отключена и часто не используется.

• Уязвимость была обнаружена исследователями Wiz и представлена на Pwn2Own Berlin в мае этого года, была исправлена 3 октября (в версии 8.2.2).
• С 7 октября для уязвимости доступен публичный эксплойт на GitHub.
• Сообщений об атаках пока нет.
• На 7 октября в Интернет было доступно 330 000 экземпляров Redis, из них 60 000 без аутентификации.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Количество потенциальных жертв: по сообщениям Wiz, на момент публикации в открытом доступе находилось около 330 тысяч экземпляров Redis, из которых примерно 60 тысяч не были защищены аутентификацией.

Способы устранения, компенсирующие меры: необходимо обновить Redis до одной из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.

Продолжим уязвимостью в популярном wiki-движке

Уязвимость удаленного выполнения кода в XWiki

PT-2025-7547 (CVE-2025-24893, оценка по CVSS — 9,8 ; критический уровень опасности)

XWiki - бесплатная и открытая вики-платформа, написанная на Java, с особым акцентом на расширяемость. В ней можно делать визуальное редактирование (WYSIWYG), импорт и экспорт документов в формате OpenDocument, добавлять аннотации и теги, а также гибко управлять правами доступа. Уязвимость позволяет злоумышленнику с правами guest-пользователя добиться выполнения произвольного кода на сервере, отправив специальный SolrSearch-запрос.

• Уязвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.
• POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.
• 28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.

Признаки эксплуатации: по данным VulnCheck, были зафиксированы попытки эксплуатации уязвимости в рамках двухэтапной цепочки атак, направленных на заражение жертвы майнером. По данным CrowdSec и Cyble, уязвимость была использована в реальных атаках ещё в марте 2025 года. Агентство CISA добавило уязвимость в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Количество потенциальных жертв: по данным на ноябрь 2024 года, было установлено около 24 тысяч экземпляров XWiki.

Способы устранения, компенсирующие меры: необходимо обновить XWiki до одной из исправленных версий: 15.10.11, 16.4.1, версия 16.5.0RC1.

Теперь рассмотрим уязвимость в продукте для работы с электронной почтой.

XSS-уязвимость в почтовом сервере Synacor Zimbra Collaboration Suite

PT-2025-11082 (CVE-2025-27915, оценка по CVSS — 5,4; средний уровень опасности)

Zimbra Collaboration - это пакет программного обеспечения для совместной работы, некоторый аналог Microsoft Exchange. Эксплуатация уязвимости в почтовом веб-клиенте (Classic Web Client) позволяет неаутентифицированному злоумышленнику выполнить произвольный JavaScript в контексте сеанса жертвы. Для этого злоумышленнику достаточно отправить письмо со специально сформированным ICS-файлом (календарь iCalendar). Полезная нагрузка активируется при просмотре сообщения в веб-интерфейсе.

• Уязвимость была исправлена 27 января в версиях 9.0.0 Patch 44, 10.0.13, 10.1.5, а также в неофициальной бесплатной сборке Zimbra Foss from Maldua.
• 30 сентября StrikeReady Labs опубликовали исследование уязвимости и публичный эксплоит.
• Также StrikeReady Labs сообщили об эксплуатации уязвимости в атаке на бразильскую военную организацию в январе, до выхода патча. 7 октября уязвимость добавили в CISA KEV.

Признаки эксплуатации: исследователи из StrikeReady Labs обнаружили активность, связанную с эксплуатацией уязвимости, еще в начале января, до того, как Zimbra выпустила патч. В рамках этой кампании злоумышленники выдавали себя за ВМС Ливии для атак на бразильских военных. Кроме того, агентство CISA добавило CVE-2025-27915 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Количество потенциальных жертв: по данным самой компании, Zimbra используется более чем в 6 тысячах организаций в 127 странах мира.

Способы устранения, компенсирующие меры: необходимо обновить Zimbra Collaboration Suite до одной из исправленных версий (9.0.0 Patch 44, 10.0.13, 10.1.5).

И закончим уязвимостью Linux.

Уязвимость повышения привилегий в планировщике пакетов ядра Linux

PT-2025-24274 (CVE-2025-38001, оценка по CVSS — 5,7; средний уровень опасности)

Уязвимость в модуле сетевого планировщика Linux HFSC. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику повысить привилегии до root-а.

• Уязвимость из июньского Linux Patch Wednesday. В отчёте Vulristics эта уязвимость ничем не отличалась от ещё 354 уязвимостей Linux Kernel: пространное описание в NVD, из которого никак не следует, к чему именно может привести эксплуатация уязвимости; отсутствие CVSS вектора. Классика.
• Примерно через месяц после появления обновлений в Linux-дистрибутивах, 11 июля, вышел write-up по этой уязвимости и публичный эксплойт. На демонстрационном видео локальный атакующий скачивает и запускает бинарный файл, после чего получает root-овый шелл и читает содержимое /etc/shadow. На профильных ресурсах появление этого эксплоита осталось практически незамеченным.
• Сведений об эксплуатации уязвимости в реальных атаках пока нет.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Количество потенциальных жертв: по данным исследователей, уязвимость затрагивает пользователей нескольких дистрибутивов Linux, включая Debian 12, Ubuntu и оптимизированную для контейнеров ОС (COS) от Google.

Способы устранения, компенсирующие меры: необходимо обновить ядро Linux до исправленной версии. Ошибка была исправлена в коммите.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.