Ноябрьский дайджест трендовых уязвимостей

По итогам анализа, проведенного экспертами Positive Technologies, мы публикуем список уязвимостей, которые отнесли к списку трендовых. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Кроме того, рекомендуем проверить, устранены ли в компании те трендовые уязвимости, о которых мы писали в предыдущих дайджестах. 

Всего в октябре к трендовым были отнесены 9 уязвимостей.

Пять из них были обнаружены в продуктах Microsoft, четыре из них имеют высокий уровень опасности (PT-2025-42115, PT-2025-41973, PT-2025-34796, PT-2025-28601), еще одна – критический (PT-2025-42147). Все эти уязвимости использовались в реальных атаках. Первая – PT-2025-42115 (CVE-2025-59230) выявлена в диспетчере подключений удаленного доступа, позволяет локальному злоумышленнику повысить привилегии до уровня SYSTEM. Вторая из списка уязвимостей в продуктах компании Microsoft – PT-2025-41973 (CVE-2025-24990) – затрагивает сторонний драйвер Agere Modem для Windows и может дать возможность локальному злоумышленнику получить права администратора в системе. После обнаружения этой уязвимости, драйвер был удален в обновлении. PT-2025-34796 (CVE-2025-9491) была выявлена в механизме обработки файлов ярлыков (.lnk) и может позволить локальному злоумышленнику удаленно выполнять произвольный код в контексте текущего пользователя. Для эксплуатации требуется взаимодействие с пользователем. Четвертая уязвимость - PT-2025-28601 (CVE-2025-49704) была обнаружена в веб-платформе для совместной работы SharePoint и может привести к удаленному выполнению кода на сервере.  Заключительная уязвимость, выявленная в службе обновлений Windows Server уязвимость PT-2025-42147 (CVE-2025-59287) позволяет неаутентифицированному удаленному злоумышленнику запустить код с привилегиями SYSTEM на Windows-сервере. 

Мы обращаем особое внимание на критически опасную уязвимость PT-2025-40594 (CVE-2025-49844) в системе управления базами данных Redis, которая оставалась незамеченной в течение 13 лет и позволяет злоумышленнику выполнить произвольный код на узле, где работает Redis. В результате злоумышленник может получить полный доступ к хостовой системе, что позволит ему извлекать, стирать или шифровать конфиденциальные данные, перехватывать ресурсы и использовать данные для получения доступа к другим облачным сервисам.

Еще одна уязвимость критического уровня опасности PT-2025-7547 (CVE-2025-24893) была обнаружена в платформе с открытым исходным кодом для создания баз знаний XWiki. Ее успешная эксплуатация позволяет неаутентифицированному преступнику выполнить произвольный код на сервере, что может привести к утечке данных и полной компрометации системы.

Уязвимость PT-2025-24274 (CVE-2025-38001) была обнаружена в модуле сетевого планировщика Linux HFSC. Эксплуатация может дать возможность аутентифицированному злоумышленнику повысить привилегии до root.

Последняя из октябрьского из списка трендовых уязвимостей — PT-2025-11082 (CVE-2025-27915) — это XSS-уязвимость в почтовом веб-клиенте Zimbra Collaboration, позволяющая атакующему выполнить произвольный JavaScript-код в контексте браузера при просмотре жертвой вредоносного письма. 

Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.

Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows, таких как Windows 7 и Windows 8, а с октября 2025 года — и Windows 10.

PT-2025-42115 (CVE-2025-59230, оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость была обнаружена в службе удаленного доступа Windows (Windows Remote Access Connection Manager, RasMan), которая управляет подключениями по коммутируемой линии (dial-up) и виртуальным частным сетям (VPN), обеспечивая безопасное соединение с компьютером. Ошибка связана с ненадлежащим контролем доступа (CWE-284). Злоумышленник, получив первоначальный доступ к устройству, может использовать уязвимость и повысить привилегии до уровня SYSTEM. Это означает, что в случае успеха преступник получит полный контроль над уязвимой системой.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA также добавило уязвимость в каталог KEV как активно эксплуатируемую. По словам исследователя компании Tenable, CVE-2025-59230 — первая уязвимость в RasMan, эксплуатируемая как уязвимость нулевого дня.

Публично доступные эксплойты: отсутствуют.

PT-2025-41973 (CVE-2025-24990, оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость затрагивает сторонний драйвер Agere Modem для Windows: это программный компонент, используемый для обеспечения коммутируемого доступа в интернет, отправки и получения факсов. Ранее он поставлялся с Windows по умолчанию, но теперь был удален в октябрьском обновлении. Microsoft предупреждает: оборудование, которое зависело от этого драйвера, перестанет работать в Windows после установки обновления.

Успешная эксплуатация недостатка позволяет локальному злоумышленнику получить права администратора в системе. Один из исследователей, обнаруживших уязвимость, предположил, что она могла быть использована для обхода EDR-решений.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: опубликован PoC.

PT-2025-42147 (CVE-2025-59287, оценка по CVSS — 9,8; критический уровень опасности)

Служба обновления Windows Server (Windows Server Update Services, WSUS) — инструмент Microsoft, позволяющий ИТ-администраторам управлять обновлениями для систем Windows и распространять их на компьютерах в локальной сети. Уязвимость кроется в методе EncryptionHelper.DecryptData() и связана с небезопасной десериализацией данных (CWE-502). Когда сервер WSUS получает запрос, содержащий AuthorizationCookie, зашифрованные данные расшифровываются с помощью алгоритма AES-128 (CBC) и затем десериализуются через BinaryFormatter без надлежащей проверки типов. В результате успешной эксплуатации неаутентифицированный злоумышленник может осуществить удаленное выполнение кода с привилегиями SYSTEM, поставив под угрозу конфиденциальность, целостность и доступность уязвимых систем WSUS. Эксплуатация возможна на Windows-серверах с включенной WSUS Server Role (по умолчанию она выключена).

Подчеркивается, через скомпрометированные серверы WSUS злоумышленники могут распространяют вредоносные обновления среди систем-клиентов.

Признаки эксплуатации: компания Huntress зафиксировала попытки эксплуатации уязвимости у четырех своих клиентов. Попытки эксплуатации уязвимости у клиентов также отмечала компания Eye Security. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: опубликован PoC.

PT-2025-34796 (CVE-2025-9491, оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость обнаружена в механизме обработки файлов ярлыков (.lnk) в Windows и связана с ошибкой UI Misrepresentation (CWE-451). Проблема заключается в том, что интерфейс проводника Windows может некорректно отображать аргументы командной строки в .lnk-файлах, скрывая часть потенциально опасной информации. Успешная эксплуатация уязвимости позволяет злоумышленникам удаленно выполнять произвольный код в контексте текущего пользователя, что может привести к краже конфиденциальной информации, установке вредоносного ПО и позволяет использовать скомпрометированную систему в качестве отправной точки для дальнейших атак.

Вектор эксплуатации — локальный: атакующий должен доставить жертве вредоносный файл (например, при помощи фишинга). Для эксплуатации уязвимости требуется взаимодействие с пользователем: необходимо вынудить его открыть вредоносный файл.

Zero Day Initiative сообщила об этой проблеме компании Microsoft в сентябре 2024 года. Microsoft не выпустила исправлений для этой уязвимости, уведомив ZDI о том, что проблема не соответствует требованиям к устранению. Представители Microsoft сообщили, что их средства защиты способны бороться с данной угрозой: Microsoft Defender имеет средства обнаружения и блокировки, а Smart App Control обеспечивает дополнительный уровень защиты, блокируя вредоносные файлы из интернета. Также они добавили, что рекомендуют пользователям соблюдать базовые правила кибергигиены — не открывать файлы из непроверенных источников и обращать внимание на предупреждения системы безопасности. 

Признаки эксплуатации: в марте 2025 года аналитики угроз Trend Micro обнаружили, что уязвимость CVE-2025-9491 уже широко использовалась одиннадцатью киберпреступными группами, в том числе Evil Corp, Kimsuky, Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni. Компания Arctic Wolf также сообщила, что уязвимость эксплуатировалась в рамках атак на европейские дипломатические и правительственные учреждения в период с сентября по октябрь 2025 года, и связала активность с группой UNC6384, также известной как Mustang Panda. Целью кампании было заражение жертв ВПО для удаленного управления PlugX.

Публично доступные эксплойты: метод модификации .LNK файлов описан в отчёте Trend Micro.

PT-2025-28601 (CVE-2025-49704, оценка по CVSS — 8,8; высокий уровень опасности)

Впервые об уязвимостях в SharePoint стало известно в мае 2025 года на конференции Pwn2Own в Берлине благодаря исследователям из Viettel Cyber Security. По сообщениям специалистов, уязвимость PT-2025-28601 (CVE-2025-49704) была обнаружена в классе DataSetSurrogateSelector¹  и возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к десериализации² недоверенных данных. В результате успешной эксплуатации уязвимости злоумышленник может удаленно выполнить произвольный код на сервере, что может привести к его полной компрометации. 

И хотя для эксплуатации данной уязвимости злоумышленник должен быть аутентифицирован, эта проблема может быть решена при помощи еще одной уязвимости, представленной исследователями на конференции, — PT-2025-28603 (CVE-2025-49706). Цепочка из двух этих уязвимостей получила название ToolShell.

В рамках июльского Patch Tuesday Microsoft исправила обе эти проблемы, однако не до конца. Небольшие изменения в запросах к серверу вновь открыли возможности для эксплуатации, в результате чего Microsoft зарегистрировали новые идентификаторы уязвимостей — PT-2025-30160 (CVE-2025-53770) и PT-2025-30222 (CVE-2025-53771). CVE-2025-53770 является обходом исправления для уязвимости CVE-2025-49704, а CVE-2025-53771 — для CVE-2025-49706. Подробнее о них мы рассказывали в августовском дайджесте трендовых уязвимостей. 

Также исследователи отмечают сходство уязвимостей CVE-2025-49704 и CVE-2025-53770 с еще более ранней уязвимостью PT-2020-3077 (CVE-2020-1147) во фреймворке .NET, SharePoint Server и Visual Studio — и сообщают, что код эксплойта к уязвимостям практически идентичен.

Признаки эксплуатации: Microsoft сообщила, что сразу три группы злоумышленников пытались эксплуатировать уязвимости CVE-2025-49706 и CVE-2025-49704 для получения первоначального доступа к целевым организациям: APT-группы Linen Typhoon и Violet Typhoon, а также группа вымогателей Storm-2603. По некоторым сообщениям, злоумышленники использовали уязвимости CVE-2025-53770 и CVE-2025-49704 для атаки на кампус национальной безопасности в Канзас-Сити (KCNSC) — важный объект ядерной программы США. Кроме того, агентство CISA добавило CVE-2025-49704 и CVE-2025-49706 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе был опубликован PoC для цепочки эксплойтов ToolShell. 

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft: CVE-2025-49704, CVE-2025-49706, CVE-2025-59230, CVE-2025-24990 и CVE-2025-59287. Что касается уязвимости CVE-2025-9491, на момент публикации данного исследования информации об исправлениях нет.

PT-2025-24274 (CVE-2025-38001, оценка по CVSS — 5,7; средний уровень опасности)

Уязвимость в компоненте планировщика пакетов³ net_sched в ядре Linux — HFSC⁴ — возникает из-за некорректной работы с памятью, связанной с ее использованием после освобождения (CWE-416) при использовании HFSC с NETEM⁵. Успешная эксплуатация уязвимости позволяет аутентифицированному злоумышленнику повысить привилегии до уровня root; то есть в случае успеха преступник может получить полный контроль над уязвимой системой.

Уязвимость была обнаружена исследователями кибербезопасности, которые успешно продемонстрировали возможность ее эксплуатации и получили рекордное вознаграждение в 82 тыс. долларов в рамках программы Google kernelCTF, являющейся частью программы вознаграждений за обнаружение уязвимостей (Google VRP).

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: опубликован PoC.

Количество потенциальных жертв: по данным исследователей, уязвимость затрагивает пользователей нескольких дистрибутивов Linux, включая Debian 12, Ubuntu и оптимизированную для контейнеров ОС от Google (COS).

Способы устранения, компенсирующие меры: необходимо обновить ядро Linux до исправленной версии. Ошибка была исправлена в коммите ac9fe7dd8e730a103ae4481147395cc73492d786.

PT-2025-11082 (CVE-2025-27915, оценка по CVSS — 5,4; средний уровень опасности)

XSS-уязвимость возникает в результате некорректной обработки HTML-контента в файлах календаря ICS, предназначенных для хранения календарной информации (расписания встреч, событий и задач), а также для обмена ею между различными приложениями-календарями. Злоумышленник может отправить жертве подготовленное письмо со специально сформированным ICS-файлом, в который будет внедрен вредоносный JavaScript-код. При просмотре пользователем сообщения в классическом веб-интерфейсе Zimbra вредоносная нагрузка активируется через событие ontoggle внутри тега <details>, что приводит к выполнению произвольного кода в контексте сеанса жертвы. В результате успешной эксплуатации уязвимости преступник может выполнять несанкционированные действия с учетной записью жертвы, включая перенаправление писем и кражу данных.

Это не первая XSS-уязвимость, обнаруженная в Zimbra Collaboration. О похожей мы рассказывали в июньском дайджесте. 

Признаки эксплуатации: исследователи из StrikeReady обнаружили активность, связанную с эксплуатацией уязвимости, еще в начале января — до того, как Zimbra выпустила патч. В рамках этой кампании злоумышленники выдавали себя за ВМС Ливии для атак на бразильских военных. Кроме того, агентство CISA добавило CVE-2025-27915 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: опубликован PoC.

Количество потенциальных жертв: по данным самой компании, Zimbra используется более чем в 6 тыс. организаций в 127 странах мира.

Способы устранения, компенсирующие меры: необходимо обновить Zimbra Collaboration до одной из исправленных версий (9.0.0 Patch 44, 10.0.13, 10.1.5).

PT-2025-40594 (CVE-2025-49844, оценка по CVSS — 9,9; критический уровень опасности)

Уязвимость возникает из-за ошибки, связанной с использованием памяти после ее освобождения (CWE-416), и оставалась незамеченной 13 лет — с момента добавления Lua-движка в систему. Аутентифицированный злоумышленник может отправить специально созданный Lua-скрипт, который манипулирует работой сборщика мусора, что приводит к использованию ранее освобожденной памяти, позволяя выйти из песочницы Lua и выполнить произвольный код на узле, где работает Redis. В результате злоумышленник может получить полный доступ к хостовой системе, позволяющий ему извлекать, стирать или шифровать конфиденциальные данные, перехватывать ресурсы и использовать данные для получения доступа к другим облачным сервисам.

Дополнительная опасность заключается в том, что по умолчанию в Redis аутентификация отключена. Это значительно упрощает для злоумышленника эксплуатацию уязвимости.

Об уязвимости стало известно на конференции Pwn2Own в Берлине в мае 2025 года: о ней сообщили исследователи компании Wiz, дав ей название RediShell.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: опубликован PoC.

Количество потенциальных жертв: по сообщениям Wiz, на момент публикации в Интернет было доступно 330 тыс. экземпляров Redis, из которых примерно 60 тыс. не были защищены аутентификацией.

Способы устранения, компенсирующие меры: необходимо обновить Redis до одной из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.

PT-2025-7547 (CVE-2025-24893, оценка по CVSS — 9,8; критический уровень опасности)

XWiki — опенсорсная платформа для создания баз знаний, объектных хранилищ и приложений. Уязвимость была выявлена и раскрыта исследователями в 2024 году, однако идентификатор CVE ей был присвоен только в 2025 году. Ошибка затрагивает макрос SolrSearch, используемый для поиска по содержимому в XWiki, и связана с некорректной обработкой Groovy⁶-выражений. Для эксплуатации уязвимости злоумышленник может отправить подготовленный GET-запрос⁷ . В случае успеха неаутентифицированный преступник может выполнить произвольный код на сервере, что приведет к утечке данных и полной компрометации системы.

Признаки эксплуатации: по данным VulnCheck, были зафиксированы попытки эксплуатации уязвимости в рамках двухэтапной цепочки атак, направленных на заражение жертвы майнером. По данным CrowdSec и Cyble, уязвимость использовалась в реальных атаках еще в марте 2025 года. Агентство CISA добавило уязвимость в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: опубликован PoC.

Количество потенциальных жертв: по данным на ноябрь 2024 года, в мире на тот момент было установлено около 24 тыс. экземпляров XWiki.

Способы устранения, компенсирующие меры: необходимо обновить XWiki до одной из исправленных версий: 15.10.11, 16.4.1 или 16.5.0RC1.

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.