CISA объявила «красный код». Федеральные сети атакованы — времени почти не осталось

CISA Citrix Git watchTowr Labs Datadog Arctic Wolf уязвимость
CISA объявила «красный код». Федеральные сети атакованы — времени почти не осталось
CISA Citrix Git watchTowr Labs Datadog Arctic Wolf уязвимость

Три критические бреши превратили защищённые платформы в открытые двери.

image

Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило три новые уязвимости в каталог активно эксплуатируемых (KEV). В список попали две ошибки в Citrix Session Recording и одна в Git, причём все они уже используются в атаках.

CVE-2024-8068 с оценкой 5,1 по CVSS, связана с некорректным управлением правами в Citrix Session Recording. Ошибка позволяет повысить привилегии до уровня учётной записи NetworkService при условии, что злоумышленник является аутентифицированным пользователем в том же домене Windows Active Directory, что и сервер записи сессий.

Вторая проблема, CVE-2024-8069 , также оценивается в 5,1 балла. Она представляет собой десериализацию недоверенных данных, которая открывает возможность удалённого выполнения кода с привилегиями учётной записи NetworkService, если атакующий имеет доступ к внутренней сети и авторизован в ней. Обе уязвимости были раскрыты исследователями watchTowr Labs в июле 2024 года и закрыты Citrix в ноябре того же года.

Куда более серьёзной оказалась CVE-2025-48384 с показателем 8,1 балла. Она затрагивает Git и вызвана некорректной обработкой символа возврата каретки (CR) в конфигурационных файлах. В результате можно добиться произвольного выполнения кода. Проект Git устранил ошибку в июле 2025 года, а вскоре после публичного раскрытия компания Datadog опубликовала рабочий прототип эксплуатации.

Как пояснили в Arctic Wolf, опасность возникает, если путь подмодуля содержит символ CR на конце: это изменяет интерпретацию пути, что в связке с симлинком на каталог hooks и исполняемым post-checkout скриптом позволяет запустить нежелательные команды при клонировании репозитория.

CISA не раскрывает деталей того, кто именно использует эти лазейки, однако факт их эксплуатации уже подтверждён. Для федеральных ведомств США установлен крайний срок исправления — до 15 сентября 2025 года они должны внедрить меры защиты, чтобы исключить риски для своих сетей. Это касается всех подразделений Федеральной гражданской исполнительной власти (FCEB), которые обязаны выполнять предписания каталога KEV.