В марте 2025 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости. Это недостатки безопасности в продуктах Microsoft, сетевых устройствах Palo Alto Networks и в почтовом сервере CommuniGate Pro.
Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов.
Уязвимости в продуктах Microsoft
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 10 и 11).
Уязвимость, связанная с повышением привилегий пользователя, в драйвере Ancillary Function (AFD.sys)
CVE-2025-21418 (CVSS — 7,8)
Эксплуатируя уязвимость, злоумышленник может добиться переполнения буфера компьютера, которое позволит перезаписать соседние области памяти в куче1. Атакующий способен перехватить управление системой и выполнить произвольный код с привилегиями SYSTEM2. В случае успеха преступник может получить полный контроль над уязвимой системой. Это позволит, например, устанавливать вредоносное ПО, красть конфиденциальные данные или использовать скомпрометированную систему для дальнейшей реализации атаки в сети.
Уязвимость, связанная с повышением привилегий, в хранилище Windows
CVE-2025-21391 (CVSS — 7,1)
Уязвимость обнаружена в Windows Storage, отвечающем за хранение данных на компьютере. Она связана с некорректной обработкой символических ссылок3 и ярлыков, используемых при операциях с файлами. В результате эксплуатации уязвимости может быть удалена критически важная информация, что может стать причиной не только потери данных, но и сбоев в работе. Кроме того, Zero Day Initiative сообщает о том, что произвольное удаление затронутых файлов в ряде случаев может привести к повышению привилегий и полному захвату системы.
Чтобы защититься, пользователям необходимо установить обновления безопасности — CVE-2025-21418, CVE-2025-21391.
Уязвимость, связанная с обходом аутентификации, в сетевых устройствах Palo Alto Networks
CVE-2025-0108 (CVSS — 8.8)
Уязвимость может быть проэксплуатирована совместно с другими недостатками безопасности — CVE-2024-9474, CVE-2025-0111. Эксперты Positive Technologies отнесли эту уязвимость к трендовой, потому что решения Palo Alto Networks широко используются в России. По данным Palo Alto Networks, уязвимости уже используются злоумышленниками в инцидентах. Потенциально к атаке, осуществляемой посредством совместной эксплуатации уязвимостей, могут быть уязвимы 2000 серверов.
Уязвимость связана с ошибкой аутентификации в веб-интерфейсе управления операционной системы PAN-OS, возникающей из-за различий в обработке запросов между веб-серверами nginx и Apache. Выполнив специальный запрос, злоумышленник может обойти аутентификацию и запустить определенные PHP4-скрипты. Как следствие, он может получить несанкционированный доступ к критически важным функциям системы, что повысит риск дальнейшего развития атаки.
Чтобы защититься, пользователям необходимо установить обновления на уязвимые устройства и следовать рекомендациям вендора.
Уязвимость, связанная с удаленным выполнением кода, в почтовом сервере CommuniGate Pro
BDU:2025-01331 (CVSS — 9,8)
По данным TAdviser, в России доступно более 2000 почтовых серверов c программным обеспечением CommuniGate.
Уязвимость в почтовом сервере CommuniGate Pro возникает из-за ошибки, связанной с переполнением буфера, расположенном в стеке компьютера. Для эксплуатации недостатка не требуется проходить аутентификацию, что делает почтовый сервер уязвимым, поскольку он доступен из интернета. Успешная эксплуатация позволяет атакующему выполнить произвольный код и далее получить несанкционированный доступ к системе, украсть данные или при определенных условиях захватить систему.
Чтобы защититься, пользователям необходимо установить обновленную версию ПО и следовать рекомендациям вендора.
- Куча — область памяти, выделенная определенной программе.
- SYSTEM — самые высокие привилегии в операционной системе Windows.
- Символическая ссылка — тип файла, указывающий на другой файл или папку в файловой системе.
- PHP — это серверный язык написания скриптов, предназначенный для создания интерактивных веб-страниц.
