Команда аналитиков Positive Technologies регулярно исследует информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляет во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили еще 9 трендовых уязвимостей:
Уязвимости Microsoft
-
Уязвимость удаленного выполнения кода в службе обновления Windows Server - PT-2025-42147 ( CVE-2025-59287)
-
Уязвимость удаленного выполнения кода в Microsoft SharePoint - PT-2025-28601 ( CVE-2025-49704)
-
Уязвимость удаленного выполнения кода в механизме обработки ярлыков Microsoft Windows - PT-2025-34796 ( CVE-2025-9491)
-
Уязвимость повышения привилегий в службе Remote Access Connection Manager PT-2025-42115 (CVE-2025-59230)
-
Уязвимость повышения привилегий в драйвере Agere Modem - PT-2025-41973 ( CVE-2025-24990)
Уязвимость удаленного выполнения кода в Redis – PT-2025-40594 ( CVE-2025-49844)
Уязвимость удаленного выполнения кода в XWiki – PT-2025-7547 ( CVE-2025-24893)
XSS-уязвимость в почтовом сервере Synacor Zimbra Collaboration Suite – PT-2025-11082 ( CVE-2025-27915)
Уязвимость повышения привилегий в планировщике пакетов ядра Linux – PT-2025-24274 ( CVE-2025-38001)
Начнём с 5 уязвимостей в продуктах Microsoft.
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows, таких как Windows 7 и Windows 8, а с октября 2025 - и Windows 10.
Уязвимость удаленного выполнения кода в службе обновления Windows Server
PT-2025-42147 (CVE-2025-59287, оценка по CVSS — 9,8; критический уровень опасности)
WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.
Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.
С 18 октября на GitHub доступен публичный эксплойт.
24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).
24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.
Признаки эксплуатации: компания Huntress зафиксировала попытки эксплуатации уязвимости у четырех своих клиентов. Попытки эксплуатации уязвимости у клиентов также отмечала компания Eye Security. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Уязвимость удаленного выполнения кода в Microsoft SharePoint
PT-2025-28601 (CVE-2025-49704, оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость из июльского Microsoft Patch Tuesday. SharePoint – это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Десериализация недоверенных данных в классе DataSetSurrogateSelector приводит к выполнению кода в контексте процесса веб-сервера SharePoint. Уязвимость требует аутентификации, которую можно получить, например, через эксплуатацию CVE-2025-49706 (цепочка «ToolShell»).
Цепочка «ToolShell» была продемонстрирована командой Viettel Cyber Security на конкурсе Pwn2Own Berlin 15-17 мая 2025 года (приз $100 000).
Признаки эксплуатации фиксируются с 7 июля. Уязвимость в CISA KEV с 22 июля.
Публичные эксплойты доступны на GitHub с 21 июля.
Развитием цепочки уязвимостей «ToolShell» являются CVE-2025-53770 и CVE-2025-53771.
Признаки эксплуатации: Microsoft сообщили, что сразу три группы злоумышленников пытались эксплуатировать уязвимости CVE-2025-49706 и CVE-2025-49704 для получения первоначального доступа к целевым организациям: APT-группы Linen Typhoon и Violet Typhoon, а также группа вымогателей Storm-2603. По некоторым сообщениям, злоумышленники использовали уязвимости CVE-2025-53770 и CVE-2025-49704 для атаки на кампус национальной безопасности в Канзас-Сити (KCNSC) – важного объекта ядерной программы США. Кроме того, агентство CISA добавило CVE-2025-49704 и CVE-2025-49706 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе был опубликован PoC для цепочки эксплойтов «ToolShell».
Уязвимость удаленного выполнения кода в механизме обработки ярлыков Microsoft Windows
PT-2025-34796 (CVE-2025-9491, оценка по CVSS — 7,8; высокий уровень опасности)
Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.
Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.
18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.
Метод модификации .LNK файлов описан в отчёте Trend Micro.
Признаки эксплуатации: в марте 2025 года аналитики угроз Trend Micro обнаружили, что уязвимость CVE-2025-9491 уже широко использовалась одиннадцатью киберпреступными группами, такими как Evil Corp, Kimsuky, Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni и другими. Компания Arctic Wolf также сообщила, что уязвимость эксплуатировалась в рамках атак на европейские дипломатические и правительственные учреждения в период с сентября по октябрь 2025 года, и связала активность с группой UNC6384, также известной как Mustang Panda. Целью кампании было заражение жертв ВПО для удаленного управления PlugX.
Публично доступные эксплойты: метод модификации .LNK файлов описан в отчёте Trend Micro.
Уязвимость повышения привилегий в службе Remote Access Connection Manager
PT-2025-42115 (CVE-2025-59230, оценка по CVSS — 7,8; высокий уровень опасности)
Уязвимость из октябрьского Microsoft Patch Tuesday. Служба удалённого доступа Windows (Windows Remote Access Connection Manager, RasMan) - это базовая служба Windows, которая управляет подключениями по коммутируемой линии (dial-up) и виртуальным частным сетям (VPN), обеспечивая безопасное соединение компьютера с удалёнными сетями. Ошибка контроля доступа в службе RasMan может позволить аутентифицированному злоумышленнику повысить привилегии до уровня SYSTEM.
Microsoft изначально, 14 октября, сообщали о признаках эксплуатации уязвимости в реальных атаках. 22 октября уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.
Публичных эксплоитов пока не наблюдается.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA также добавило уязвимость в каталог KEV как активно эксплуатируемую. По словам исследователя компании Tenable, CVE-2025-59230 — первая уязвимость в RasMan, эксплуатируемая как уязвимость нулевого дня.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Уязвимость повышения привилегий в драйвере Agere Modem
PT-2025-41973 (CVE-2025-24990, оценка по CVSS — 7,8; высокий уровень опасности)
Уязвимость из октябрьского Microsoft Patch Tuesday. Agere Modem Driver (ltmdm64.sys) - это программный компонент, который позволяет компьютеру взаимодействовать с модемом Agere (или LSI) для коммутируемого (dial-up) или факсимильного соединения. ???????? Несмотря на сомнительную практическую полезность, драйвер продолжал поставляться в составе операционных систем Windows. Локальный злоумышленник, успешно воспользовавшийся уязвимостью в этом драйвере, может получить права администратора.
Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.
16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. ????♂️
22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2025-49704, CVE-2025-49706, CVE-2025-59230, CVE-2025-24990 и CVE-2025-59287. Что касается уязвимости CVE-2025-9491, на момент публикации данного исследования, информации о более новой версии, содержащей исправление, нет.
Перейдем к уязвимости в популярной базе данных.
Уязвимость удаленного выполнения кода в Redis
PT-2025-40594 (CVE-2025-49844, оценка по CVSS — 9,9; критический уровень опасности)
Redis — это популярная резидентная (in-memory) база данных типа «ключ–значение» с открытым исходным кодом, используемая как распределённый кэш и брокер сообщений, с возможностью долговременного хранения данных. Уязвимость позволяет удалённому аутентифицированному злоумышленнику выполнить произвольный код при помощи специально подготовленного Lua-скрипта. Требование «аутентифицированности» не снижает критичность, так как аутентификация в Redis по умолчанию отключена и часто не используется. ????♂️
Уязвимость была обнаружена исследователями Wiz и представлена на Pwn2Own Berlin в мае этого года, была исправлена 3 октября ( в версии 8.2.2).
С 7 октября для уязвимости доступен публичный эксплойт на GitHub.
Сообщений об атаках пока нет.
На 7 октября в Интернет было доступно 330 000 экземпляров Redis, из них 60 000 без аутентификации.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Количество потенциальных жертв: по сообщениям Wiz, на момент публикации в открытом доступе находилось около 330 тысяч экземпляров Redis, из которых примерно 60 тысяч не были защищены аутентификацией.
Способы устранения, компенсирующие меры: необходимо обновить Redis до одной из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.
Продолжим уязвимостью в популярном wiki-движке.
Уязвимость удаленного выполнения кода в XWiki
PT-2025-7547 (CVE-2025-24893, оценка по CVSS — 9,8 ; критический уровень опасности)
XWiki — бесплатная и открытая вики-платформа, написанная на Java, с особым акцентом на расширяемость. В ней можно делать визуальное редактирование (WYSIWYG), импорт и экспорт документов в формате OpenDocument, добавлять аннотации и теги, а также гибко управлять правами доступа. Уязвимость позволяет злоумышленнику с правами guest-пользователя добиться выполнения произвольного кода на сервере, отправив специальный SolrSearch-запрос.
язвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.
POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.
28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.
Признаки эксплуатации: по данным VulnCheck, были зафиксированы попытки эксплуатации уязвимости в рамках двухэтапной цепочки атак, направленных на заражение жертвы майнером. По данным CrowdSec и Cyble, уязвимость была использована в реальных атаках ещё в марте 2025 года. Агентство CISA добавило уязвимость в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Количество потенциальных жертв: по данным на ноябрь 2024 года, было установлено около 24 тысяч экземпляров XWiki.
Способы устранения, компенсирующие меры: необходимо обновить XWiki до одной из исправленных версий: 15.10.11, 16.4.1, версия 16.5.0RC1.
Теперь рассмотрим уязвимость в продукте для работы с электронной почтой.
XSS-уязвимость в почтовом сервере Synacor Zimbra Collaboration Suite
PT-2025-11082 (CVE-2025-27915, оценка по CVSS — 5,4; средний уровень опасности)
Zimbra Collaboration - это пакет программного обеспечения для совместной работы, некоторый аналог Microsoft Exchange. Эксплуатация уязвимости в почтовом веб-клиенте (Classic Web Client) позволяет неаутентифицированному злоумышленнику выполнить произвольный JavaScript в контексте сеанса жертвы. Для этого злоумышленнику достаточно отправить письмо со специально сформированным ICS-файлом (календарь iCalendar). Полезная нагрузка активируется при просмотре сообщения в веб-интерфейсе.
Уязвимость была исправлена 27 января в версиях 9.0.0 Patch 44, 10.0.13, 10.1.5, а также в неофициальной бесплатной сборке Zimbra Foss from Maldua.
30 сентября StrikeReady Labs опубликовали исследование уязвимости и публичный эксплоит.
Также StrikeReady Labs сообщили об эксплуатации уязвимости в атаке на бразильскую военную организацию в январе, до выхода патча. 7 октября уязвимость добавили в CISA KEV.
Признаки эксплуатации: исследователи из StrikeReady Labs обнаружили активность, связанную с эксплуатацией уязвимости, еще в начале января, до того, как Zimbra выпустила патч. В рамках этой кампании злоумышленники выдавали себя за ВМС Ливии для атак на бразильских военных. Кроме того, агентство CISA добавило CVE-2025-27915 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Количество потенциальных жертв: по данным самой компании, Zimbra используется более чем в 6 тысячах организаций в 127 странах мира.
Способы устранения, компенсирующие меры: необходимо обновить Zimbra Collaboration Suite до одной из исправленных версий ( 9.0.0 Patch 44, 10.0.13, 10.1.5).
И закончим уязвимостью Linux.
Уязвимость повышения привилегий в планировщике пакетов ядра Linux
PT-2025-24274 (CVE-2025-38001, оценка по CVSS — 5,7; средний уровень опасности)
Уязвимость в модуле сетевого планировщика Linux HFSC. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику повысить привилегии до root-а.
Уязвимость из июньского Linux Patch Wednesday. В отчёте Vulristics эта уязвимость ничем не отличалась от ещё 354 уязвимостей Linux Kernel: пространное описание в NVD, из которого никак не следует, к чему именно может привести эксплуатация уязвимости; отсутствие CVSS вектора. Классика. ????
Примерно через месяц после появления обновлений в Linux-дистрибутивах, 11 июля, вышел write-up по этой уязвимости и публичный эксплойт. На демонстрационном видео локальный атакующий скачивает и запускает бинарный файл, после чего получает root-овый шелл и читает содержимое /etc/shadow. На профильных ресурсах появление этого эксплоита осталось практически незамеченным. ????♂️
Сведений об эксплуатации уязвимости в реальных атаках пока нет.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Количество потенциальных жертв: по данным исследователей, уязвимость затрагивает пользователей нескольких дистрибутивов Linux, включая Debian 12, Ubuntu и оптимизированную для контейнеров ОС (COS) от Google.
Способы устранения, компенсирующие меры: необходимо обновить ядро Linux до исправленной версии. Ошибка была исправлена в коммите.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.
Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
А портал PT Fusion позволяет проводить эффективный мониторинг безопасности и оперативно реагировать на современные угрозы, в том числе на эксплуатацию уязвимостей. Он дает представление об актуальных тактиках и техниках хакеров, индикаторах компрометации и помогает нарисовать актуальный ландшафт киберугроз.
На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.
