Positive Technologies включила четыре уязвимости в майский дайджест трендовых угроз.
Positive Technologies включила в майский дайджест четыре уязвимости, которые уже используют в атаках или быстро могут превратиться в массовую проблему для администраторов. В список попали недостатки в Microsoft SharePoint Server, криптографической подсистеме ядра Linux, Apache ActiveMQ Classic и Adobe Acrobat Reader.
Уязвимость PT-2026-32853, также известная как CVE-2026-32201, затрагивает Microsoft SharePoint Server и получила 6,5 балла по шкале CVSS. Microsoft предупредила, что проблему уже использовали в реальных атаках. Исследователи Defused связали возможную эксплуатацию с кампанией против серверов SharePoint, которая проходила с 1 по 11 апреля 2026 года.
Под угрозой находятся организации, использующие Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 и Microsoft SharePoint Enterprise Server 2016. Особенно рискованной остается конфигурация, при которой серверы SharePoint доступны из внешней сети.
Недостаток позволяет неаутентифицированному злоумышленнику удаленно подменять данные, передаваемые по сети. Microsoft не раскрывает детали эксплуатации, но эксперты предполагают, что атакующий может внедрять вредоносный JavaScript-код в ответы сервера. В результате злоумышленник получает возможность подменять легитимный контент, просматривать конфиденциальную информацию или менять отображаемые данные.
Microsoft закрыла уязвимость в рамках апрельского набора исправлений. Администраторам рекомендуют установить обновления безопасности, а в качестве временной меры ограничить удаленный доступ к уязвимым системам средствами межсетевого экранирования.
Вторая проблема, PT-2026-34274 или CVE-2026-31431, связана с криптографическим API ядра Linux и получила 7,8 балла по шкале CVSS. Уязвимость Copy Fail затрагивает компонент AF_ALG и позволяет локальному непривилегированному пользователю повысить права до root.
После успешной эксплуатации злоумышленник может получить полный контроль над системой: читать и менять любые файлы, включая пароли и ключи, подменять системные компоненты, отключать защитные механизмы, устанавливать бэкдоры и скрывать следы активности. Эксплуатацию подтвердили на актуальных версиях популярных дистрибутивов Linux, включая Ubuntu, Amazon Linux, RHEL и SUSE.
Администраторам рекомендуют обновить ядро Linux до исправленных версий 6.18.22, 6.19.12 или 7.0. В качестве дополнительной меры исследователи советуют отключить модуль algif_aead, если компонент не нужен в рабочей инфраструктуре.
Третья уязвимость, PT-2026-30805 или CVE-2026-34197, затрагивает Apache ActiveMQ Classic и получила 8,8 балла по шкале CVSS. По данным Shadowserver Foundation, более 7000 серверов Apache ActiveMQ остаются уязвимыми. Fortinet FortiGuard Labs зафиксировала начало эксплуатации в реальных атаках 13 апреля.
Проблема связана с недостаточной проверкой входных данных и неконтролируемой генерацией кода. В совокупности ошибки позволяют злоумышленнику внедрять и выполнять произвольные команды на уязвимом сервере ActiveMQ Classic.
После успешной атаки злоумышленник может получить полный контроль над сервером, украсть сообщения, учетные данные или конфигурационные файлы, установить вредоносное ПО и использовать скомпрометированную систему как точку входа во внутреннюю инфраструктуру.
Пользователям ActiveMQ Classic рекомендуют перейти на версии Apache ActiveMQ 5.19.4 или 6.2.3. Дополнительно стоит отключить Jolokia, если компонент не используется, закрыть порт 8161 от внешнего доступа, заменить стандартные учетные данные администратора, ограничить доступ к веб-интерфейсу управления внутренней сетью и проверить журналы на подозрительные вызовы addConnector.
Четвертая уязвимость, PT-2026-32093 или CVE-2026-34621, затрагивает Adobe Acrobat Reader, Acrobat DC и Acrobat 2024 для Windows и macOS. Недостаток получил 8,6 балла по шкале CVSS и позволяет удаленно выполнить произвольный код после открытия специально подготовленного PDF-документа.
Adobe подтвердила, что CVE-2026-34621 уже использовали в реальных атаках. По данным исследователей, эксплуатация могла идти как минимум с ноября 2025 года. Также сообщалось о вредоносных PDF-документах с приманками на русском языке, связанными с событиями в нефтегазовой отрасли России. Такой набор признаков может указывать на целевые атаки против российских организаций.
Вредоносный PDF мог скрытно читать файлы на уязвимой системе, передавать конфиденциальные данные на сервер злоумышленников и загружать дополнительные вредоносные скрипты для развития атаки. Для запуска цепочки пользователю достаточно было открыть подготовленный документ в уязвимой версии программы.
Adobe выпустила экстренные обновления безопасности. Пользователям Acrobat Reader и Acrobat рекомендуют установить последние версии через встроенную проверку обновлений Help > Check for Updates, автообновление или официальный установщик Adobe. До установки исправлений PDF-файлы из внешних источников лучше открывать только после дополнительной проверки.