MaxPatrol VM
Где находятся уязвимости в вашей инфраструктуре?
Новости
Positive Technologies представила июньский дайджест трендовых уязвимостей
Эксперты Positive Technologies отнесли к трендовым еще пять уязвимостей: в подсистемах ядра Linux, компоненте антивируса Microsoft Defender, а также сервисе для аутентификации User-ID Authentication Portal операционной системы PAN-OS Palo Alto Networks.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация о трендовых уязвимостях поступает в течение 12 часов с момента их появления.
Уязвимости, приводящие к локальному повышению привилегий, в подсистемах ядра Linux
По данным платформы Couponsly.in, уязвимости, описанные ниже, потенциально могут затрагивать от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.
PT-2026-38680 (CVE-2026-43284, CVSS — 7,8) и PT-2026-38907 (CVE-2026-43500, CVSS — 7,8)
Dirty Frag (CVE-2026-43284 и CVE-2026-43500) представляет собой цепочку из двух уязвимостей в подсистеме обработки кэша страниц ядра Linux. По воздействию на систему и механизму эксплуатации она аналогична уязвимости Copy Fail, которая стала трендовой в предыдущем месяце.
Эксплуатация этой цепочки недостатков безопасности позволяет злоумышленнику полностью скомпрометировать систему: получить доступ к любым файлам, отключить защиту, закрепиться в системе и использовать хост для дальнейших атак на инфраструктуру, которые могли бы привести к недопустимым последствиям (утечка информации, кража денежных средств, техногенные катастрофы и т. п). Цепочка уязвимостей позволяет перекрыть слепые зоны друг друга, что дает возможность получить максимальные привилегии (root) на всех основных дистрибутивах. Объединение уязвимостей позволяет атакующему выбрать доступный в целевой системе вектор эксплуатации и гарантированно получить права суперпользователя независимо от конфигурации дистрибутива.
Чтобы защититься, пользователям необходимо незамедлительно установить обновления ядра Linux, выпущенные разработчиками дистрибутивов, с обязательной последующей перезагрузкой устройства. Для CVE-2026-43284 обновления ядра доступны с 5 мая, для CVE-2026-43500 — с 10 мая. Пока патчи находятся в процессе распространения и установить обновления могут не все пользователи разных дистрибутивов Linux, исследователи предлагают использовать компенсирующие меры.
Для систем, в которых отключение затронутых модулей невозможно, рекомендуется настроить мониторинг аномальной активности. Важно отметить, что компенсирующая мера, применяемая для защиты от уязвимости Copy Fail (блокировка модуля algif_aead), не предотвращает эксплуатацию Dirty Frag.
Уязвимость, приводящая к локальному повышению привилегий, в подсистеме ядра Linux
PT-2026-40816 (CVE-2026-46300, CVSS — 7,8)
Уязвимость Fragnesia, связанная с возможностью записи за пределами буфера, вызвана логической ошибкой, возникающей при обработке фрагментов sk_buff. В результате эксплуатации злоумышленник может получить права суперпользователя в Linux. Они дают полный контроль над системой: возможность читать, изменять или удалять любые данные, включая конфиденциальную информацию и учетные записи. Злоумышленник может устанавливать скрытые бэкдоры и средства удаленного доступа, отключать механизмы защиты, использовать скомпрометированное устройство для перемещения по внутренней сети и атак на смежные системы, а также нарушать работоспособность инфраструктуры путем повреждения или удаления критически важных компонентов.
Важной особенностью атаки является ее высокая надежность — отсутствие зависимости от состояний гонки1 делает эксплойт стабильным и предсказуемым. Кроме того, поскольку все изменения происходят исключительно в кэше страниц ядра, файлы на диске не изменяются. Это может затруднить обнаружение атаки с помощью средств контроля целостности файлов.
Для полного устранения уязвимости необходимо обновить ядро Linux до версии, содержащей патч, выпущенной 13 мая или позднее. Если немедленное обновление невозможно, в качестве временной меры рекомендуется отключить уязвимые модули ядра (esp4, esp6 и rxrpc) с помощью команды rmmod и запретить их последующую загрузку через создание конфигурационного файла в /etc/modprobe.d/. Перед применением компенсирующих мер важно оценить их влияние на работоспособность служб, использующих протокол IPSec или подсистему RxRPC.
Уязвимость, приводящая к локальному повышению привилегий, в компоненте Microsoft Malware Protection Engine антивируса Microsoft Defender
PT-2026-42157 (CVE-2026-41091, CVSS — 7,8)
По данным The Verge, CVE-2026-41091 потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей Windows (как домашних, так и серверных версий), на устройствах которых установлен компонент Microsoft Malware Protection Engine версии 1.1.26030.3008 и ниже.
Уязвимость возникает из-за ошибки, которая позволяет атакующему, уже имеющему локальный доступ к системе, воспользоваться некорректным разрешением ссылок перед доступом к файлам в Microsoft Defender и повысить привилегии до уровня SYSTEM. Это означает, что в случае успеха он может получить максимальные права доступа к уязвимой системе, включая возможность читать и модифицировать защищенные системные файлы, устанавливать любое программное обеспечение, изменять настройки системы, получать доступ к данным всех пользователей системы, создавать и удалять учетные записи, отключать антивирус и средства безопасности, а также выполнять любые другие действия.
Microsoft выпустила экстренные обновления безопасности для устранения CVE-2026-41091. По умолчанию Microsoft Defender автоматически обновляет компоненты системы безопасности Windows и антивирусные базы, поэтому в большинстве случаев никаких дополнительных действий со стороны пользователя не требуется. Однако Microsoft рекомендует проверить, что автообновление для Microsoft Defender включено. Это можно сделать в приложении «Безопасность Windows», раздел «Защита от вирусов и угроз». Компания отметила, что системы, на которых антивирус Microsoft Defender отключен, не подвержены риску эксплуатации CVE-2026-41091.
Уязвимость, приводящая к удаленному выполнению кода, в сервисе User-ID Authentication Portal операционной системы PAN-OS
PT-2026-37340 (CVE-2026-0300, CVSS — 9,8)
В начале июня в интернете было доступно более 135 000 межсетевых экранов с операционной системой PAN-OS. Под угрозой находятся устройства, на которых User-ID Authentication Portal активен и доступен из внешней сети. Согласно данным подразделения по киберразведке Unit 42 компании Palo Alto Networks, наблюдаемые случаи эксплуатации уязвимости связаны с группировкой CL-STA-1132. После эксплуатации недостатка безопасности атакующие создавали скрытые сетевые соединения через инструменты туннелирования. Затем, используя учетные данные, полученные через межсетевой экран, проводили разведку Active Directory с целью дальнейшего перемещения и закрепления в инфраструктуре. Чтобы скрыть следы взлома, они удаляли системные журналы и другие артефакты компрометации.
Уязвимость связана с возможностью записи за пределами буфера и затрагивает межсетевые экраны Palo Alto Networks серий PA-Series (аппаратные) и VM-Series (виртуальные). В случае успешной эксплуатации недостатка безопасности атакующий может получить полный контроль над сетевым устройством с возможностью перехвата, модификации или блокировки соединений, доступа к конфиденциальным данным (включая ключи шифрования и информацию о сетевых соединениях), обхода политик безопасности через создание скрытых правил и туннелей, нарушения целостности журналов событий для сокрытия следов взлома, установки бэкдоров, а также использования скомпрометированного устройства в качестве точки входа для атак на внутренние сегменты инфраструктуры.
Palo Alto Networks подтвердила, что уязвимость затрагивает только некоторые версии PAN-OS. При этом облачные решения Prisma Access и Cloud NGFW, а также платформа централизованного управления сетевой безопасностью Panorama не подвержены риску эксплуатации CVE-2026-0300.
Для устранения уязвимости необходимо обновить PAN-OS до одной из исправленных версий, которые начали публиковаться с 13 мая. До момента установки обновлений Palo Alto Networks рекомендует применить одну из компенсирующих мер.
1 Состояние гонки (race condition) — состояние, при котором корректность работы системы непредсказуемо зависит от относительного порядка или скорости выполнения параллельных процессов, потоков или прерываний, одновременно обращающихся к общему ресурсу.
