Поделиться
Positive Technologies представила ноябрьский дайджест трендовых уязвимостей
Эксперты Positive Technologies отнесли к трендовым девять уязвимостей: это недостатки безопасности в продуктах Microsoft, в модуле сетевого планировщика Linux HFSC, в платформе для создания баз знаний XWiki, в почтовом веб-клиенте Zimbra Collaboration, а также в системе управления базами данных Redis.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или срочного принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников — из баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, из социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация о самых опасных угрозах поступает в течение 12 часов с момента их появления.
Недостатки безопасности, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия эксплуатации могут коснуться всех пользователей устаревших версий Windows (например, Windows 7, Windows 8, а с октября 2025 г. — и Windows 10).
Уязвимость, позволяющая повысить привилегии, в службе удаленного доступа Remote Access Connection Manager — PT-2025-42115 (CVE-2025-59230, CVSS — 7,8).
Злоумышленник, получив первоначальный доступ к устройству, может использовать уязвимость и повысить привилегии до уровня SYSTEM. Это означает, что в случае успеха преступник получит полный контроль над уязвимой системой.
Уязвимость, позволяющая повысить привилегии, в драйвере Agere Modem — PT-2025-41973 (CVE-2025-24990, CVSS — 7,8).
Успешная эксплуатация позволяет локальному злоумышленнику получить права администратора в системе. Один из исследователей, обнаруживших уязвимость, предположил, что уязвимость могла быть использована для обхода EDR-решений.
Уязвимость удаленного выполнения кода в службе обновления Windows Server (WSUS) — PT-2025-42147 (CVE-2025-59287, CVSS — 9,8).
В результате успешной эксплуатации неаутентифицированный злоумышленник может удаленно выполнить код с привилегиями SYSTEM, поставив под угрозу конфиденциальность, целостность и доступность уязвимых систем WSUS. Подчеркивается, что через скомпрометированные серверы WSUS атакующие могут распространять вредоносные обновления среди систем-клиентов. Эксплуатация возможна на Windows-серверах с включенной WSUS Server Role (по умолчанию она выключена).
Уязвимость удаленного выполнения кода в механизме обработки ярлыков Microsoft Windows — PT-2025-34796 (CVE-2025-9491, CVSS — 7,8).
Успешная эксплуатация уязвимости позволяет злоумышленникам удаленно выполнять произвольный код в контексте текущего пользователя, что может привести к краже конфиденциальной информации, установке вредоносного ПО или позволит использовать скомпрометированную систему в качестве отправной точки для дальнейших атак. Вектор эксплуатации — локальный: атакующий должен доставить жертве вредоносный файл (например, при помощи фишинга). Для эксплуатации уязвимости требуется взаимодействие с пользователем: необходимо вынудить его открыть вредоносный файл.
Уязвимость удаленного выполнения кода в веб-платформе для совместной работы Microsoft SharePoint — PT-2025-28601 (CVE-2025-49704, CVSS — 8,8).
В результате успешной эксплуатации этой уязвимости атакующий может удаленно выполнить произвольный код на сервере, что приведет к его полной компрометации. Microsoft сообщила, что сразу три группы злоумышленников пытались эксплуатировать уязвимости CVE-2025-49706 и CVE-2025-49704 для получения первоначального доступа к целевым организациям: APT-группировки Linen Typhoon и Violet Typhoon, а также группа вымогателей Storm-2603.
Для того чтобы защититься, пользователям необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft: CVE-2025-49704, CVE-2025-49706, CVE-2025-59230, CVE-2025-24990 и CVE-2025-59287. Для CVE-2025-9491 на момент нашей публикации исправлений нет.
Уязвимость, позволяющая повысить привилегии, в планировщике пакетов ядра Linux — PT-2025-24274 (CVE-2025-38001, CVSS — 5,7).
По данным исследователей, уязвимость затрагивает пользователей нескольких дистрибутивов Linux, включая Debian 12, Ubuntu и оптимизированную для контейнеров ОС от Google (COS). Успешная эксплуатация позволяет аутентифицированному злоумышленнику повысить привилегии до уровня root, то есть преступник может получить полный контроль над уязвимой системой.
Для того чтобы защититься, необходимо обновить ядро Linux до исправленной версии. Ошибка была исправлена в коммите.
Уязвимость удаленного выполнения кода в платформе для создания баз знаний XWiki — PT-2025-7547 (CVE-2025-24893, CVSS — 9,8).
По данным производителя, в мире установлено около 24 тыс. экземпляров XWiki.
Ошибка затрагивает макрос SolrSearch, используемый для поиска по содержимому в XWiki, и связана с некорректной обработкой Groovy -выражений. Для эксплуатации уязвимости злоумышленник может отправить специально подготовленный GET-запрос. В случае успеха неаутентифицированный атакующий сможет выполнить произвольный код на сервере, что приведет к утечке данных и полной компрометации системы.
Чтобы защититься, пользователям необходимо обновить XWiki до одной из исправленных версий: 15.10.11, 16.4.1 или 16.5.0RC1.
XSS-уязвимость в почтовом сервере Zimbra Collaboration — PT-2025-11082 (CVE-2025-27915, CVSS — 5,4).
По данным самого производителя, Zimbra Collaboration используется более чем в 6 тыс. организаций в 127 странах мира.
Злоумышленник может отправить жертве подготовленное письмо со специально сформированным ICS-файлом, в который будет внедрен вредоносный JavaScript-код. В результате успешной эксплуатации уязвимости преступник может выполнять несанкционированные действия с учетной записью жертвы, включая перенаправление писем и кражу данных.
Чтобы защититься, необходимо обновить Zimbra Collaboration до одной из исправленных версий (9.0.0 Patch 44, 10.0.13, 10.1.5).
Уязвимость удаленного выполнения кода в Redis — PT-2025-40594 (CVE-2025-49844, CVSS — 9,9).
По сообщениям компании Wiz, на момент публикации в открытом доступе находилось около 330 тыс. экземпляров Redis, из которых примерно 60 тыс. не были защищены аутентификацией.
Аутентифицированный злоумышленник может отправить специально созданный Lua-скрипт, который манипулирует работой сборщика мусора, что приводит к использованию ранее освобожденной памяти, позволяя выйти из песочницы Lua и выполнить произвольный код на узле, где работает Redis. В результате атакующий может получить полный доступ к хостовой системе, позволяющий ему извлекать, стирать или шифровать конфиденциальные данные, перехватывать ресурсы и использовать данные для получения доступа к другим облачным сервисам. Дополнительная опасность заключается в том, что по умолчанию в Redis аутентификация отключена: это значительно упрощает для атакующего эксплуатацию уязвимости.
Для того чтобы защититься, необходимо обновить Redis до одной из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании со всего мира, а также рекомендации вендоров по их устранению. А портал PT Fusion позволяет проводить мониторинг безопасности и оперативно реагировать на современные угрозы, в том числе на эксплуатацию уязвимостей. Он дает представление об актуальных тактиках и техниках хакеров, индикаторах компрометации и помогает нарисовать актуальный ландшафт киберугроз.
Короткая ссылка
