Команда аналитиков Positive Technologies каждый месяц исследует информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляет во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили еще 3 трендовые уязвимости.
Уязвимости в продуктах Cisco ASA и Cisco FTD
- Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN: PT-2025-39421 ( CVE-2025-20362) и PT-2025-39420 ( CVE-2025-20333)
Уязвимость в утилите sudo
- Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo PT-2025-27466 ( CVE-2025-32463)
Начнем.
Уязвимости в продуктах Cisco ASA и Cisco FTD
Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN
PT-2025-39421 (CVE-2025-20362; CVSS — 6,5; средний уровень опасности)
PT-2025-39420 (CVE-2025-20333; CVSS — 9,9; критический уровень опасности)
Cisco ASA и FTD - одни из самых распространённых решений для защиты периметра и организации удалённого доступа к корпоративной инфраструктуре. 25 сентября для них вышли обновления, исправляющие цепочку уязвимостей для получения полного контроля над устройствами:
Уязвимость CVE-2025-20362 позволяет неаутентифицированному злоумышленнику получить доступ к URL с ограниченным доступом.
Уязвимость CVE-2025-20333 позволяет аутентифицированному злоумышленнику выполнить произвольный код от root-а.
Cisco сообщают, что цепочка уязвимостей эксплуатируется в атаках с мая 2025 года. Атаки связаны с кампанией ArcaneDoor. В атаках используются малвари LINE VIPER и RayInitiator.
Shadowserver показывает более 45000 уязвимых хостов, из них более 2000 в России.
Признаки эксплуатации: обе уязвимости активно используются хакерами в реальных атаках. GreyNoise предупредила о сканированиях, нацеленных на Cisco ASA, которые начались еще в конце августа. Как отмечает Cisco, с мая CVE-2025-20362 и CVE-2025-20333 совместно применяются в атаках на государственные учреждения, использующие Cisco ASA серии 5500-X без настроенных Secure Boot и Trust Anchor, для установки шпионского ПО и кражи конфиденциальных данных. По сообщениям Национального центра кибербезопасности Великобритании (NCSC), злоумышленники также распространяли ранее неизвестные семейства вредоносного ПО RayInitiator и LINE VIPER с помощью этих уязвимостей. Кроме того, агентство CISA добавило CVE-2025-20362 и CVE-2025-20333 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 30 сентября в интернете было доступно более 48 000 экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России.
Способы устранения описанных уязвимостей: Cisco выпустила обновления безопасности для устранения CVE-2025-20333 и CVE-2025-20362. Рекомендуется обновить затронутые системы до исправленных версий. Кроме того, киберагентства ACSC (Австралия), CERT-FR (Франция), CISA (США) и CSE (Канада) опубликовали дополнительные рекомендации для организаций, использующих Cisco ASA и Cisco FTD.
Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo
PT-2025-27466 (CVE-2025-32463; CVSS — 9,3; критический уровень опасности)
Sudo — это утилита в Unix-подобных операционных системах, которая позволяет пользователю запускать программу с привилегиями другого пользователя, по умолчанию — суперпользователя (root).
Уязвимость позволяет локальному злоумышленнику повысить свои привилегии, заставив sudo загрузить произвольную динамическую библиотеку, используя указанный через опцию -R (--chroot) корневой каталог. Злоумышленник может выполнять произвольные команды от root-а на системах, поддерживающих /etc/nsswitch.conf ( Name Service Switch configuration file).
Уязвимость была исправлена в версии sudo 1.9.17p1, вышедшей 30 июня 2025 года.
В тот же день вышел write-up от исследователя Rich Mirch с PoC-ом эксплоита.
Мы отмечали устранение этой уязвимости Linux-вендорами в рамках июльского Linux Patch Wednesday. Для уязвимости было доступно множество публичных эксплоитов.
29 сентября уязвимость была добавлена в CISA KEV.
Признаки эксплуатации: CISA зафиксировало случаи эксплуатации уязвимости в реальных атаках и добавило ее в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: под угрозой эксплуатации уязвимости находятся все Linux-системы, на которых установлена утилита sudo версии от 1.9.14 до 1.9.17.
Способы устранения, компенсирующие меры: пользователям рекомендуется установить актуальные версии пакетов sudo.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.
