Positive Technologies представила октябрьский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым еще три уязвимости: это недостатки безопасности в веб-сервере управления VPN в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD) и в утилите sudo для делегирования прав на выполнение команд в Linux и Unix-подобных ОС.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.

Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN в Cisco ASA и Cisco FTD

Согласно The Shadowserver Foundation, по состоянию на 30 сентября в интернете было доступно более 48 000 экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России.

PT-2025-39420 (CVE-2025-20333; CVSS — 9,9)

Успешная эксплуатация уязвимости позволяет скомпрометировать систему, нарушить работу сети или украсть конфиденциальные данные, которые хранятся на устройстве или передаются через него.

Проблема связана с некорректной проверкой входных данных, предоставляемых пользователем в HTTP(S)-запросах к серверу. Удаленный злоумышленник, имея действительные учетные данные пользователя VPN, может отправлять специально созданные HTTP(S)-запросы, которые приводят к выполнению произвольного кода на устройстве с привилегиями root (с правами суперпользователя с неограниченным доступом).

PT-2025-39421 (CVE-2025-20362; CVSS — 6,5)

В результате успешной эксплуатации уязвимости неаутентифицированный злоумышленник может получить доступ к внутренним URL-адресам, предназначенным для управления VPN-соединениями. Такой доступ позволяет обойти стандартные механизмы защиты, извлекать конфиденциальные данные или использовать скомпрометированное устройство для развития атаки внутри инфраструктуры.
 

Обе уязвимости активно эксплуатируются в реальных атаках на государственные учреждения, использующие Cisco ASA серии 5500-X без технологий Secure Boot и Trust Anchor, для установки шпионского ПО и кражи конфиденциальных данных. По сообщениям Национального центра кибербезопасности Великобритании (NCSC), злоумышленники также распространяли ранее неизвестные семейства вредоносного ПО RayInitiator¹ и LINE VIPER² с помощью этих уязвимостей.

Для того чтобы защититься, необходимо обновить затронутые системы до исправленных версий (CVE-2025-20362, CVE-2025-20333). Кроме того, киберагентства CISA (США), CERT-FR (Франция), ACSC (Австралия) и CSE (Канада) опубликовали дополнительные рекомендации для организаций, использующих Cisco ASA и Cisco FTD.

Уязвимость, связанная с повышением привилегий, в функции для запуска команд с корневым каталогом chroot утилиты sudo

PT-2025-27466 (CVE-2025-32463; CVSS — 9,3)

Под угрозой находятся все Linux-системы, на которых установлена утилита sudo версии от 1.9.14 до 1.9.17.