Поделиться
SAP, Microsoft и Ivanti поспешно исправляют уязвимости нулевого дня, которыми уже вовсю пользуются хакеры
Свежие обновления ПО от ведущих вендоров в этот раз содержат массу исправлений к уязвимостям нулевого дня. Самой проблемной разновидности.
Урожайный Patch Tuesday
SAP, Microsoft и Ivanti практически одновременно выкатили обновления к своим продуктам, исправляющие, в том числе, уязвимости нулевого дня.
Microsoft отчиталась об устранении 78 уязвимостей, 11 из которых считались критическими, 66 - высокоопасными/значимыми и одна малоопасная.
28 из этих «багов» допускали возможность удаленного запуска произвольного кода, 21 - повышение привилегий, еще 16 могли приводить к раскрытию значимой информации.
Пять «багов» уже эксплуатировались разного рода злоумышленниками. Четыре из них получили оценку по шкале угроз CVSS 7,8 балла, еще одна - 7,5.
CVE-2025-30397 (оценка CVSS: 7,5) — могла приводить к нарушению целостности памяти Scripting Engine. Это ключевой компонент устаревшего браузера Internet Explorer и режима эмуляции IE в Microsoft Edge. Эксплуатация позволяла запускать произвольный код в системе вследствие спровоцированного нарушения памяти с привилегиями текущего пользователя.
CVE-2025-30400 (оценка CVSS: 7,8) — допускает повышение привилегий в корневой библиотеке Microsoft Desktop Window Manager (DWM).
CVE-2025-32701 (оценка CVSS: 7,8) — это уязвимость повышения привилегий в драйвере Windows Common Log File System (CLFS).
CVE-2025-32706 (оценка CVSS: 7,8) — это уязвимость повышения привилегий в драйвере Windows Common Log File System.
CVE-2025-32709 (оценка CVSS: 7,8) — уязвимость повышения привилегий в драйвере вспомогательной функции Windows для WinSock.
Только локально
Компания Ivanti, в свою очередь, выпустила исправления к своему пакету Endpoint Manager Mobile (EPMM), которые устраняют две уязвимости нулевого дня. Злоумышленники успешно объединили их в комбинацию, позволяющую запускать произвольный код в системе.
В компании утверждают, что их эксплуатация носит ограниченный характер.
Первая из уязвимостей, CVE-2025-4427, допускает обход аутентификации в API-компоненте, что позволяет злоумышленникам получить доступ к защищенным ресурсам на уязвимом устройстве.
Второй «баг» - CVE-2025-4428 - открывает возможность запускать произвольный код через специально составленные API-запросы.
Проблемы «унаследованы» от двух опенсорсных библиотек, которые используются в EPMM. Каких именно, в Ivanti раскрывать не стали.
Обновления Ivanti Endpoint Manager Mobile с индексами 11.12.0.5, 12.3.0.2, 12.4.0.2 и 12.5.0.1 устраняют обе уязвимости. Вендор отмечает также, что проблема затрагивает исключительно локально развернутые версии EPMM.
На колу висит мочало
SAP нейтрализовал уязвимость в NetWeaver (CVE-2025-42999), уже вторую с начала года. Собственно, специалисты компании выявили этот «баг» в ходе расследования атак, направленных на исправленную в апреле уязвимость CVE-2025-31324. По-видимому, они использовались в комбинации.
CVE-2025-42999 вызвана небезопасной десериализацией. Эксплуатация данной уязвимости возможна только в том случае, если у злоумышленника уже есть полномочия, которые определяет роль VisualComposerUser в системах SAP.
Администраторам в SAP настоятельно рекомендуют установить все обновления на NetWeaver и, возможно, отключить службу Visual Composer, а также ограничить доступ к загрузчику метаданных.
«Все вышеперечисленные программные решения пользуются большой популярностью в корпоративной среде, и изобилие уязвимостей нулевого дня в них связано с тем, что киберкриминал и спецслужбы целенаправленно ищут уязвимости в них», - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ.
По словам специалиста, «урожайность» майских обновлений на такие уязвимости связана только с интенсивностью злонамеренной деятельности и по существу является совпадением.
Короткая ссылка
