Positive Technologies
Новости

Positive Technologies представила апрельский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым еще одиннадцать уязвимостей. Это недостатки безопасности в продуктах Microsoft и контроллере Kubernetes, гипервизорах VMware и веб-сервере для создания веб-приложений Apache Tomcat.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их обнаружения.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 11 и Windows 10).

Уязвимость повышения привилегий в драйвере мини-фильтра Windows Cloud Files

CVE-2024-30085 (CVSS — 7,8)

Эксплуатация уязвимости позволяет злоумышленнику получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы. Уязвимость вызвана переполнением буфера кучи1 в функции разбора битовых карт HsmIBitmapNORMALOpen драйвера мини-фильтра облачных файлов Windows cldflt.sys.

Чтобы защититься, исследователи рекомендуют:

  • сегментировать сеть;
  • внедрить и реализовать принцип наименьших привилегий (PoLP);
  • улучшить мониторинг для обнаружения подозрительной активности.

Уязвимость повышения привилегий подсистемы ядра Windows Win32

CVE-2025-24983 (CVSS — 7,0)

Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации этой уязвимости атакующему необходимо победить в состоянии гонки2. Сделав это, злоумышленник может повысить привилегии до уровня SYSTEM, то есть получить возможность красть или уничтожать данные в системе.

Чтобы защититься, специалисты рекомендуют:

  • ограничить разрешения локальных пользователей;
  • отслеживать подозрительные попытки повышения привилегий.

Уязвимость обхода функции безопасности консоли управления Microsoft

CVE-2025-26633 (CVSS — 7,0)

Эксплуатация уязвимости может привести к утечке данных и установке вредоносного ПО. Злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC-файл3. Для эксплуатации уязвимости атакующие могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы.

Чтобы защититься, эксперты советуют блокировать файлы форматов MSC и VHD на средствах безопасности электронной почты, веб-прокси и на межсетевом экране, а также проверить наличие подозрительных действий в системе.

Уязвимость спуфинга4 в компоненте графического интерфейса Microsoft Windows File Explorer

CVE-2025-24071 (CVSS — 7,5)

Эксплуатируя уязвимость, злоумышленник может получить возможность использовать перехваченный NTLMv2-хеш в атаках с передачей хеша5. Это может привести к краже данных, раскрытию конфиденциальной информации. Уязвимость вызвана автоматической обработкой файлов формата LIBRARY-MS. Такой файл может содержать SMB-путь6 — ссылку на SMB-сервер, принадлежащий злоумышленникам. Чтобы проэксплуатировать уязвимость, злоумышленнику достаточно распаковать архив с вредоносным файлом.

Специалисты рекомендуют в качестве дополнительных мер защиты от атак через ретранслятор NTLM включать подписывание SMB и отключать NTLM там, где это возможно.

Уязвимость удаленного выполнения кода в файловой системе Windows NTFS

CVE-2025-24993 (CVSS — 7,8)

Переполнение буфера в куче в файловой системе Windows NTFS позволяет неавторизованному злоумышленнику выполнить код локально. Для этого злоумышленник должен убедить потенциальную жертву смонтировать специально созданный виртуальный жесткий диск (VHD). Таким образом на систему может быть установлено вредоносное ПО, а атакующий может скомпрометировать сеть и получить доступ к новым устройствам.

Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT

CVE-2025-24985 (CVSS — 7,8)

Эксплуатация этой уязвимости может привести к установке злоумышленником вредоносного ПО и компрометации сети. Атакующий также может получить доступ к новым устройствам. Целочисленное переполнение7 в Fast FAT Driver позволяет злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву cмонтировать специально созданный виртуальный жесткий диск (VHD).

Чтобы защититься от эксплуатации уязвимостей, описанных выше, необходимо установить обновления безопасности CVE-2024-30085, CVE-2025-24983, CVE-2025-24993, CVE-2025-24985, CVE-2025-26633.

Уязвимости в продуктах VMware

Уязвимости, описанные ниже, согласно данным Shadowserver, затрагивают более 40 тыс. узлов гипервизора VMware ESXI, доступных через интернет. Последствия могут коснуться всех пользователей устаревших версий продукта.

Уязвимость произвольной записи в высокоскоростном интерфейсе гипервизоров VMware ESXi и VMware Workstation

CVE-2025-22224 (CVSS — 9,3)

Уязвимость TOCTOU8 затрагивает гипервизоры VMware EXSi и VMware Workstation. Эта уязвимость может привести к записи за пределами допустимого диапазона, что позволяет злоумышленнику с локальными правами администратора на виртуальной машине выполнить код от имени процесса VMX9 на гипервизоре. Эксплуатация уязвимости может привести к получению полного контроля над узлом и компрометации других виртуальных машин.

Уязвимость произвольной записи памяти в гипервизоре VMware ESXi

CVE-2025-22225 (CVSS — 8,2)

Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведет к обходу механизмов безопасности.

Уязвимость разглашения информации в компоненте гипервизоров VMware ESXi, Workstation и Fusion

CVE-2025-22226 (CVSS — 7,1)

Эксплуатируя уязвимость, злоумышленник с привилегиями администратора может получить доступ к защищенной информации и извлекать содержимое памяти процесса VMX. Эта уязвимость возникает из-за чтения за пределами допустимого диапазона в компоненте Host Guest File System (HGFS)10. Злоумышленник с правами администратора на виртуальной машине может воспользоваться ей, чтобы спровоцировать утечку памяти из процесса VMX, который является основным процессом для запуска виртуальной машины.

Чтобы защититься от эксплуатации перечисленных выше уязвимостей, необходимо следовать рекомендациям вендора, обновить систему VMware Workstation до версии 17.6.3, VMWare Fusion до версии 13.6.3, установить патчи.

Уязвимость в продукте Kubernetes

Уязвимость компонента в контроллере Kubernetes Ingress NGINX Controller

CVE-2025-1974 (CVSS — 9,8)

Согласно данным исследователей Wiz, уязвимость затрагивает более 6500 кластеров.

Эксплуатируя уязвимость, злоумышленник может захватить кластер и использовать его в своих целях. Это может позволить злоумышленнику получить полный контроль над инфраструктурой организации. Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx11, отправив на него специально подготовленный запрос (инъекцию конфигурации).

Чтобы защититься, необходимо следовать рекомендациям Kubernetes:

  • обновиться до новой версии патча ingress-nginx;
  • отключить функцию проверки контроллера допуска ingress-nginx;
  • отключить функцию Validating Admission Controller.

Уязвимость в продукте Apache

Уязвимость удаленного выполнения кода в комплекте серверных программ Apache Tomcat

CVE-2025-24813 (CVSS — 9,8)

Согласно исследованию Rapid7, на GitHub было обнаружено около 200 публично доступных уязвимых серверов.
Эксплуатация уязвимости может привести к загрузке вредоносного ПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов. Недостаток безопасности обнаружен в механизмах обработки загруженных файлов и десериализации12. Злоумышленник может загрузить вредоносные файлы в доступный для записи каталог через частичные запросы PUT13. После загрузки файла последующий HTTP-запрос запускает в Tomcat десериализацию, что может привести к выполнению вредоносного файла.

Чтобы защититься, необходимо обновить системы до версий Apache Tomcat 9.0.99, Apache Tomcat 10.1.35, Apache Tomcat 11.0.3 или более поздних.

  1. Куча — область памяти, выделенная определенной программе.
  2. Состояние гонки — ситуация, при которой несколько потоков (или процессов) одновременно пытаются получить доступ к общим ресурсам на чтение или запись без должной синхронизации.
  3. MSC-файл — это сохраненный файл консоли управления, связанный с Microsoft Management Console (MMC).
  4. Спуфинг — тип кибератак, во время которых злоумышленник выдает себя за другого пользователя или устройство для получения несанкционированного доступа к информации.
  5. Атака с передачей хеша — кибератака, во время которой злоумышленник крадет хеш пароля и использует его для перемещения по сети организации.
  6. SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
  7. Целочисленное переполнение — ситуация в компьютерной арифметике, когда вычисленное в результате операции значение не может быть помещено в n-битный целочисленный тип данных.
  8. TOCTOU — тип уязвимости состояния гонки, когда состояние системы может измениться в промежутке времени между ее проверкой и ее использованием.
  9. VMX-процесс выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.
  10. VMware HGFS — функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware.
  11. Ingress-контролер — базовый блок Kubernetes, который реализует правила получения внешним трафиком доступа к сервисам в кластере.
  12. Десериализация — восстановление структур и объектов из сериализованной строки или последовательности байтов.
  13. Запросы PUT используются для обновления существующих ресурсов или создания новых.