Поделиться
Positive Technologies представила сентябрьский дайджест трендовых уязвимостей
Эксперты Positive Technologies отнесли к трендовым еще восемь уязвимостей: это недостатки безопасности в архиваторах файлов RARLAB WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR PT-2025-26225 (CVE-2025-6218, CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, CVSS — 8,8)
По данным исследователей, с момента выхода программа была загружена более 500 миллионов раз. Все устройства под управлением Windows с версиями WinRAR до 7.13 могут быть потенциально уязвимы.
Уязвимости, приводящие к удаленному выполнению кода, связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки (в том числе в системную, например Startup). Как сообщают исследователи из ESET, злоумышленники создавали специально подготовленные RAR-архивы, файлы из которых при распаковке извлекались не в папку, которую выбрал пользователь, а в любую произвольную, заданную атакующим. Это позволяло обходить стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в нее, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями. Это означает, что в случае успеха атакующий может перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.
Чтобы защититься, разработчики рекомендуют вручную загрузить и установить исправленную версию WinRAR 7.13.
Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip PT-2025-32410 (CVE-2025-55188, CVSS — 3,6)
По данным платформы SourceForge, скачано около 430 млн копий программы. Все устройства, на которых установлены версии 7-Zip до 25.01, потенциально уязвимы.
В результате успешной эксплуатации уязвимости атакующий может повредить системные файлы, что позволит ему получить несанкционированный доступ к устройству или добиться удаленного выполнения кода при следующем входе пользователя в систему.
Уязвимость в первую очередь затрагивает операционные системы семейства Linux, в которых 7-Zip по умолчанию поддерживает обработку символических ссылок. В таких случаях для успешной эксплуатации уязвимости достаточно, чтобы пользователь открыл вредоносный архив с помощью уязвимой версии 7-Zip. На устройствах на базе Windows эксплуатация этой уязвимости тоже возможна, но она требует соблюдения дополнительных условий: процесс извлечения 7-Zip, запущенный с правами администратора, или активный режим разработчика.
Чтобы защититься, пользователям рекомендуется обновить программу до версии 25.01.
Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, Sap NetWeaver PT-2025-20812 (CVE-2025-42999, CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, CVSS — 10,0)
Уязвимости были обнаружены в сервере разработки Visual Composer в SAP NetWeaver, который позволяет создавать компоненты приложений без программирования. По оценкам ИТ-интегратора «Т1 Интеграция», около 2000 российских организаций продолжают использовать программные продукты SAP.
Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер. Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы, но и напрямую выполнять команды операционной системы. Эти команды выполняются с правами администратора, что приводит к полной компрометации системы, включая утечку конфиденциальных данных и нарушение работы сервисов SAP.
Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства. Кроме того, компании Onapsis и Mandiant совместно выпустили инструмент с открытым исходным кодом, с помощью которого пользователи SAP NetWeaver могут просканировать свои системы на наличие этих уязвимостей.
Уязвимости в платформе для проведения видеоконференций TrueConf Server BDU:2025-10114 (оценка по CVSS — 7,5; высокий уровень опасности), BDU:2025-10115 (оценка по CVSS — 7,5; высокий уровень опасности), BDU:2025-10116 (оценка по CVSS — 9,8; критический уровень опасности)
По данным мониторинга актуальных угроз Positive Technologies, только в России на момент публикации информации об уязвимостях было обнаружено более 7000 серверов, подверженных эксплуатации. Потенциально уязвимы все версии TrueConf Server до 5.5.1, 5.4.6, 5.3.7, установленные на любых операционных системах. При этом атака становится возможной, если уязвимая система расположена на внешнем периметре и доступна из публичной сети.
Все три уязвимости были обнаружены экспертом PT SWARM Никитой Петровым в программном решении TrueConf Server, предназначенном для организации видеоконференций. Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа к ресурсам. Эксплуатируя эту уязвимость, потенциальный злоумышленник может делать запросы к некоторым административным конечным точкам без аутентификации и проверки прав доступа. BDU:2025-10115 позволяет атакующему прочитать произвольные файлы в целевой системе и тем самым получить несанкционированный доступ к защищаемой информации. Эксплуатация BDU:2025-10116 дает нарушителю возможность удаленно внедрить и выполнить произвольные команды операционной системы.
Как отмечает сам исследователь, совместная эксплуатация этих уязвимостей позволяет нарушителю развивать атаку внутри корпоративной сети. Скомпрометировав уязвимый сервер, он может атаковать пользователей системы или развернуть шифровальщик с целью вымогательства.
Чтобы защититься, рекомендуется обновить TrueConf Server до версий 5.5.1, 5.4.6 и 5.3.7.
Короткая ссылка
