Июньский дайджест трендовых уязвимостей

По итогам анализа, проведенного экспертами Positive Technologies, мы представляем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании трендовые уязвимости, о которых мы писали в предыдущих дайджестах.

Всего в июне мы отнесли к трендовым пять уязвимостей.

Критически опасная уязвимость (PT-2026-37340, CVE-2026-0300) была обнаружена в сервисе User-ID Authentication Portal¹, также известном как Captive Portal, операционной системы PAN-OS от Palo Alto Networks. Успешная эксплуатация уязвимости может позволить злоумышленнику без аутентификации удаленно выполнить произвольный код с правами суперпользователя.

Две уязвимости высокого уровня опасности были обнаружены в ядре Linux, а именно в подсистемах xfrm-ESP² (PT-2026-38680, CVE-2026-43284) и RxRPC³ (PT-2026-38907, CVE-2026-43500). Объединение этих уязвимостей в цепочку, названную Dirty Frag, позволяет злоумышленнику получить права суперпользователя и полный контроль над системой.

Fragnesia (PT-2026-40816, CVE-2026-46300) — еще одна уязвимость высокого уровня опасности, которая была обнаружена в подсистеме XFRM ESP-in-TCP⁴ ядра Linux. Злоумышленник, обладающий правами локального непривилегированного пользователя, может воспользоваться уязвимостью для получения полного контроля над системой.

Кроме того, уязвимость высокого уровня опасности (PT-2026-42157, CVE-2026-41091) была обнаружена в антивирусе Microsoft Defender, а именно в компоненте Malware Protection Engine, который проверяет систему на заражение вредоносными программами. Успешная эксплуатация уязвимости позволяет локальному злоумышленнику повысить привилегии до уровня SYSTEM.

Подробнее об этих уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.

PT-2026-37340 (CVE-2026-0300), оценка по CVSS — 9,8, критический уровень опасности

Уязвимость связана с возможностью записи за пределами буфера (CWE-787) и затрагивает межсетевые экраны Palo Alto Networks серий PA-Series (аппаратные) и VM-Series (виртуальные). Суть ошибки заключается в некорректной обработке входных данных механизмом аутентификации. Это позволяет неаутентифицированному злоумышленнику, действующему удаленно, отправить специально сформированные сетевые пакеты в открытый интерфейс уязвимого устройства с активным Captive Portal, добиться переполнения буфера и выполнить произвольный код с привилегиями суперпользователя на уровне ОС. В случае успешной эксплуатации уязвимости атакующий получает полный контроль над сетевым устройством с возможностью перехвата, модификации или блокировки соединений, доступа к конфиденциальным данным (включая ключи шифрования и информацию о сетевых соединениях), обхода политик безопасности через создание скрытых правил и туннелей, нарушения целостности журналов событий для сокрытия следов взлома, установки бэкдоров, а также использования скомпрометированного устройства в качестве точки входа для атак на внутренние сегменты инфраструктуры.

Для успешной атаки злоумышленнику не нужны учетные данные или действия со стороны пользователя — достаточно сетевого доступа к веб-интерфейсу портала аутентификации. Palo Alto Networks подтвердила, что уязвимость затрагивает только некоторые версии PAN-OS. При этом облачные решения Prisma Access и Cloud NGFW, а также платформа централизованного управления сетевой безопасностью Panorama не подвержены риску эксплуатации CVE-2026-0300.

Признаки эксплуатации: согласно данным подразделения по киберразведке Unit 42 компании Palo Alto Networks, наблюдаемые случаи эксплуатации уязвимости связаны с группировкой CL-STA-1132. После эксплуатации атакующие создавали скрытые сетевые соединение через инструменты туннелирования EarthWorm и ReverseSocks5. Затем, используя учетные данные, полученные через межсетевой экран, проводили разведку Active Directory с целью дальнейшего перемещения и закрепления в инфраструктуре. Чтобы скрыть следы взлома, они удаляли системные журналы и другие артефакты компрометации. CISA также включило CVE-2026-0300 в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: согласно данным поисковой системы Shodan, по состоянию на 5 июня в интернете было доступно более 135 000 межсетевых экранов с операционной системой PAN-OS. Под угрозой находятся устройства, на которых User-ID Authentication Portal активен и доступен из внешней сети.

Способы устранения, компенсирующие меры: для устранения уязвимости необходимо обновить PAN-OS до одной из исправленных версий, которые начали публиковаться с 13 мая. До момента установки обновлений Palo Alto Networks рекомендует применить одну из компенсирующих мер:

• ограничить доступ к User-ID Authentication Portal доверенными внутренними зонами с помощью правил межсетевого экрана;
• полностью отключить этот компонент, если он не используется для аутентификации пользователей.

По данным платформы Couponsly.in, уязвимости, описанные ниже, потенциально могут затрагивать от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.

PT-2026-38680 (CVE-2026-43284), оценка по CVSS — 7,8, высокий уровень опасности; PT-2026-38907 (CVE-2026-43500), оценка по CVSS — 7,8, высокий уровень опасности

Dirty Frag представляет собой цепочку из двух уязвимостей в подсистеме обработки кэша страниц⁵ ядра Linux. По воздействию на систему и механизму эксплуатации она аналогична уязвимости Copy Fail, которая стала трендовой в предыдущем месяце.

Первая уязвимость из цепочки Dirty Frag (CVE-2026-43284) вызвана ошибкой, при которой уязвимая программа позволяет записывать произвольные данные по произвольному адресу в памяти (CWE-123). Проблема заключается в том, что непривилегированный локальный пользователь может записать произвольные четыре байта в кэш страниц, к которым у него есть доступ только на чтение, и повысить привилегии до уровня суперпользователя. Для эксплуатации уязвимости злоумышленнику требуется возможность создания непривилегированного пользовательского пространства имен (user namespace). Уязвимость присутствует в ядре Linux с начала 2017 года (коммит cac2661c53f3) и затрагивает все основные дистрибутивы с поддержкой xfrm-ESP.

Вторая уязвимость (CVE-2026-43500) связана с возможностью записи за пределами буфера (CWE-787) и обусловлена повреждением кэша страниц через фрагменты sk_buff⁶. Злоумышленник, обладающий правами непривилегированного локального пользователя, может записать данные в кэш страниц и повысить привилегии до уровня суперпользователя. CVE-2026-43500 присутствует в ядре Linux с июня 2023 года (коммит 2dc334f1a63a) и затрагивает системы, в которых установлен модуль rxrpc.ko⁷.

Объединение этих уязвимостей позволяет атакующему выбрать доступный в целевой системе вектор эксплуатации и гарантированно получить права суперпользователя независимо от конфигурации дистрибутива. Так, CVE-2026-43284 требует прав на создание пространства имен пользователя, которые могут быть заблокированы политиками AppArmor в Ubuntu. CVE-2026-43500 не требует таких привилегий, но зависит от наличия модуля rxrpc.ko, который по умолчанию не установлен во многих дистрибутивах Linux. В случае успешной эксплуатации атакующий получает полный контроль над операционной системой: возможность чтения и модификации любых файлов, отключения механизмов защиты, установки вредоносного ПО для закрепления в системе и использования скомпрометированного устройства для проведения дальнейших атак в инфраструктуре. Кроме того, в контейнерных средах, таких как Docker или Kubernetes, злоумышленник может использовать Dirty Frag для выхода за пределы изолированного окружения на хост-систему.

Признаки эксплуатации: Microsoft предполагает, что Dirty Frag уже могла использоваться в реальных атаках.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Способы устранения, компенсирующие меры: необходимо незамедлительно установить обновления ядра Linux, выпущенные разработчиками дистрибутивов, с обязательной последующей перезагрузкой устройства. Для CVE-2026-43284 обновления ядра доступны с 5 мая (коммит f4c50a4034e6), для CVE-2026-43500 — с 10 мая (коммит aa54b1d27fe0). Пока патчи находятся в процессе распространения и установить обновления могут не все пользователи разных дистрибутивов Linux, исследователи рекомендуют:

1. Запретить загрузку модулей esp4, esp6 и rxrpc через модификацию файлов конфигурации в /etc/modprobe.d/. Важно учитывать, что блокировка модулей esp4 и esp6 может нарушить работу IPSec-туннелей, в том числе VPN-подключений на базе StrongSwan, Libreswan, WireGuard и других решений, использующих IPSec ESP, а блокировка rxrpc — работу файловой системы AFS и других приложений, использующих подсистему RxRPC.
2. Установить временный запрет на загрузку любых новых модулей. Эта мера действует только до следующей перезагрузки системы и может нарушить работу оборудования, требующего автозагрузки дополнительных модулей (например, некоторых сетевых адаптеров или файловых систем).
3. Запретить непривилегированным процессам создание пользовательских пространств имен. Эту меру стоит применять только после оценки потенциального воздействия на работоспособность системы, поскольку она может нарушить работу контейнеров (например, Podman или Docker), работающих без привилегий суперпользователя, а также механизмов изоляции (например, Snap или Flatpak) и браузерных песочниц.

Для систем, в которых отключение затронутых модулей невозможно, рекомендуется настроить мониторинг аномальной активности. Кроме того, исследователи из компании Automox опубликовали в открытом доступе инструмент, который автоматизирует применение компенсирующих мер для обеих уязвимостей.

Важно отметить, что компенсирующая мера, применяемая для защиты от уязвимости Copy Fail (блокировка модуля algif_aead), не предотвращает эксплуатацию Dirty Frag.

PT-2026-40816 (CVE-2026-46300), оценка по CVSS — 7,8, высокий уровень опасности

Уязвимость Fragnesia, связанная с возможностью записи за пределами буфера (CWE-787), вызвана логической ошибкой, возникающей при обработке фрагментов sk_buff. В процессе эксплуатации уязвимости атакующий может добиться произвольной побайтовой записи в кэш страниц ядра для файлов, доступных только для чтения. Эксплойт, опубликованный независимым исследователем 13 мая, модифицирует содержимое бинарного файла /usr/bin/su в кэше страниц ядра, а затем запускает его, предоставляя злоумышленнику командную оболочку с правами суперпользователя. Права суперпользователя в Linux дают полный контроль над системой: возможность читать, изменять или удалять любые данные, включая конфиденциальную информацию и учетные записи, устанавливать скрытые бэкдоры и средства удаленного доступа, отключать механизмы защиты, использовать скомпрометированное устройство для перемещения по внутренней сети и атак на смежные системы, а также нарушать работоспособность инфраструктуры путем повреждения или удаления критически важных компонентов.

Важной особенностью атаки является ее высокая надежность — отсутствие зависимости от состояний гонки⁸ делает эксплойт стабильным и предсказуемым. Кроме того, поскольку все изменения происходят исключительно в кэше страниц ядра, файлы на диске не изменяются. Это может затруднить обнаружение атаки с помощью средств контроля целостности файлов.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Способы устранения, компенсирующие меры: для полного устранения уязвимости необходимо обновить ядро Linux до версии, содержащей патч, выпущенный 13 мая или позднее. Если немедленное обновление невозможно, в качестве временной меры рекомендуется отключить уязвимые модули ядра (esp4, esp6 и rxrpc) с помощью команды rmmod и запретить их последующую загрузку через создание конфигурационного файла в /etc/modprobe.d/. Перед применением компенсирующих мер важно оценить их влияние на работоспособность служб, использующих протокол IPSec или подсистему RxRPC.

PT-2026-42157 (CVE-2026-41091), оценка по CVSS — 7,8, высокий уровень опасности

Уязвимость возникает из-за ошибки типа Link Following (CWE-59), которая позволяет атакующему, уже имеющему локальный доступ к системе, воспользоваться некорректным разрешением ссылок перед доступом к файлами в Microsoft Defender и повысить привилегии до уровня SYSTEM. Это означает, что в случае успеха он может получить максимальные права доступа к уязвимой системе, включая возможность читать и модифицировать защищенные системные файлы, устанавливать любое программное обеспечение, изменять настройки системы, получать доступ к данным всех пользователей системы, создавать и удалять учетные записи, отключать антивирус и средства безопасности, а также выполнять любые другие действия.

Microsoft отметила, что системы, на которых антивирус Microsoft Defender отключен, не подвержены риску эксплуатации CVE-2026-41091.

Признаки эксплуатации: Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. CVE-2026-41091 также была добавлена в каталог CISA KEV как активно эксплуатируемая.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: по данным The Verge, CVE-2026-41091 потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей Windows (как домашних, так и серверных версий), на устройствах которых установлен компонент Microsoft Malware Protection Engine версии 1.1.26030.3008 и ниже.

Способ устранения: Microsoft выпустила экстренные обновления безопасности для устранения CVE-2026-41091 (Malware Protection Engine версии 1.1.26040.8). По умолчанию Microsoft Defender автоматически обновляет компоненты системы безопасности Windows и антивирусные базы, поэтому в большинстве случаев никаких дополнительных действий со стороны пользователя не требуется. Однако Microsoft рекомендует проверить, что автообновление для Microsoft Defender включено. Это можно сделать в приложении «Безопасность Windows», раздел «Защита от вирусов и угроз».

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.