MaxPatrol VM
Где находятся уязвимости в вашей инфраструктуре?
Эксперты Positive Technologies отнесли к трендовым еще четыре уязвимости — в сервере Microsoft SharePoint, в криптографической подсистеме ядра Linux, в системе обмена сообщениями Apache ActiveMQ Classic, и в программе для просмотра PDF-файлов Adobe Acrobat Reader.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Уязвимость, приводящая к подмене данных, в Microsoft SharePoint Server
PT-2026-32853 (CVE-2026-32201, CVSS — 6,5)
Компания Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. Исследователи из компании Defused предположили, что использование недостатка безопасности могло быть связано с кампанией, направленной на серверы Microsoft SharePoint с 1 по 11 апреля 2026 года. Под угрозой организации, использующие Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 и Microsoft SharePoint Enterprise Server 2016, в особенности те, которые предоставляют внешний доступ к своим серверам Microsoft SharePoint.
Недостаток безопасности позволяет неаутентифицированному злоумышленнику удаленно подменить данные, передаваемые по сети. Microsoft не раскрывает, как именно эксплуатируется уязвимость, однако эксперты предполагают, что она позволяет внедрять вредоносный JavaScript-код в ответы сервера. В результате атакующий может получить доступ к конфиденциальной информации или изменить ее содержание. Это открывает возможности для спуфинг-атак1: подмены легитимного контента, несанкционированного просмотра или изменения отображаемой информации.
Уязвимость была устранена в рамках апрельского «вторника обновлений» Microsoft. Пользователям рекомендуется установить обновления безопасности, которые представлены на официальном сайте Microsoft. В качестве компенсирующей меры ФСТЭК России рекомендует использовать средства межсетевого экранирования, чтобы ограничить возможность удаленного доступа к уязвимым системам.
Уязвимость, приводящая к локальному повышению привилегий, в подсистеме криптографического API ядра Linux
PT-2026-34274 (CVE-2026-31431, CVSS — 7,8)
По данным платформы Couponsly.in, уязвимость Copy Fail потенциально затрагивает от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.
Недостаток безопасности связан с локальным повышением привилегий в компоненте ядра Linux AF_ALG. Он вызван ошибкой работы с памятью и позволяет непривилегированному пользователю поднять привилегии до максимальных (root). Это позволяет злоумышленнику полностью захватить систему: читать и изменять любые файлы, включая пароли и ключи, подменять системные файлы, отключать защитные механизмы и средства мониторинга, незаметно устанавливать бэкдоры и закрепляться в системе, скрывать следы своей активности, использовать устройство как возможность для атак на другие сетевые активы. Злоумышленник может проэксплуатировать уязвимость в рамках атак на инфраструктуру, которые могут привести к недопустимым последствиям (утечки информации, кража денежных средств, техногенные катастрофы и т.п).
Эксплуатабельность недостатка безопасности была подтверждена на актуальных версиях популярных дистрибутивов Linux: Ubuntu, Amazon Linux, RHEL, SUSE и другие.
Администраторам затронутых систем рекомендуется обновить ядро Linux до версии 6.18.22, 6.19.12 или 7.0. Также исследователи рекомендуют отключить модуль algif_aead. Также обнаружить уязвимость может помочь MaxPatrol SIEM с помощью правила Unix_Privilege_Escalation_Via_GTFOBINS.
Уязвимость, приводящая к удаленному выполнению кода, в Apache ActiveMQ Classic
PT-2026-30805 (CVE-2026-34197, оценка по CVSS — 8,8)
Согласно The Shadowserver Foundation, более 7000 серверов Apache ActiveMQ остаются уязвимыми для CVE-2026-34197. По данным Fortinet FortiGuard Labs, эксплуатация в реальных атаках началась 13 апреля.
Уязвимость обусловлена недостаточной проверкой входных данных и возможностью неконтролируемой генерации кода, что в совокупности позволяет злоумышленнику внедрить и выполнить произвольные команды на уязвимом сервере Apache ActiveMQ Classic. Успешная эксплуатация недостатка безопасности позволяет злоумышленнику получить полный контроль над сервером, на котором работает уязвимая версия ActiveMQ. Это может привести к краже конфиденциальных данных (например, сообщений, учетных данных или конфигураций), установке вредоносного ПО, а также использованию сервера как точки входа для атак на внутреннюю инфраструктуру.
Пользователям рекомендуется установить обновленные версии Apache ActiveMQ 5.19.4 или 6.2.3, в которых уязвимость CVE-2026-34197 была полностью устранена. В качестве дополнительных мер защиты рекомендуется:
- отключить компонент Jolokia, если он не используется;
- ограничить доступ к порту 8161 из внешней сети с помощью правил межсетевого экрана или списков контроля доступа обратного прокси-сервера;
- изменить учетные данные администратора, особенно если используются стандартные логин и пароль (admin: admin);
- ограничить доступ к веб-интерфейсу управления Apache ActiveMQ только внутренней сетью;
- настроить правила межсетевого экрана уровня приложений на обратном прокси-сервере для фильтрации аномальных запросов к Jolokia API;
- мониторить логи addConnector на предмет подозрительной активности.
Кроме того, в открытом доступе опубликованы инструменты, с помощью которых администраторы могут проверить инфраструктуру на наличие уязвимых версий Apache ActiveMQ.
Уязвимость, приводящая к удаленному выполнению кода, в Adobe Acrobat Reader
PT-2026-32093 (CVE-2026-34621, оценка по CVSS — 8,6)
Уязвимость затрагивает популярные версии Acrobat Reader и Acrobat DC, а также Acrobat 2024. Последствия могут коснуться всех пользователей Windows и macOS, на которых установлены уязвимые версии этих программ.
Adobe официально подтвердила, что ей известно об использовании CVE-2026-34621 в реальных атаках. Существуют свидетельства того, что эксплуатация уязвимости могла длиться как минимум с ноября 2025 года. Исследователь Gi7w0rm сообщил об обнаружении вредоносных документов с приманками на русском языке, которые были связаны с текущими событиями в нефтегазовой отрасли России. Это может указывать на потенциальное использование недостатка безопасности в целевых атаках на российские организации.
Для успешной эксплуатации уязвимости, позволяющей злоумышленнику добиться удаленного выполнения произвольного кода, необходимо, чтобы пользователь открыл специально подготовленный PDF-документ. В данном случае, как сообщил основатель проекта EXPMON, вредоносный PDF-файл мог скрытно читать файлы на уязвимой системе, передавать конфиденциальную информацию на сервер злоумышленника, а также загружать дополнительные вредоносные скрипты для дальнейшего развития атаки.
Adobe выпустила экстренные обновления безопасности для устранения CVE-2026-34621. Пользователям рекомендуется обновить установленные программы до последних версий. Это можно сделать через встроенный инструмент «Help > Check for Updates», запустив автообновления, или загрузить установщик Acrobat Reader с официального сайта Adobe. До установки обновлений следует с особой осторожностью открывать PDF-файлы, полученные из внешних источников.
1 Спуфинг (spoofing) — это кибератака, при которой злоумышленник маскируется под доверенное лицо, организацию или устройство.
