Мартовский дайджест трендовых уязвимостей

По итогам анализа, проведенного в феврале, мы анонсируем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.

Две уязвимости обнаружены в продуктах Microsoft, обе имеют высокий уровень опасности (CVE-2025-21418, CVE-2025-21391). Первая уязвимость дает возможность повысить привилегии до уровня SYSTEM через переполнение буфера кучи; вторая позволяет удалить целевые файлы в системе, используя некорректную обработку символических ссылок и ярлыков во время файловых операций.

Эксплуатация опасной уязвимости CVE-2025-0108 в PAN-OS, продукте Palo Alto Networks, позволяет злоумышленнику обойти аутентификацию в веб-интерфейсе управления с помощью специальных запросов. При эксплуатации этой уязвимости совместно с CVE-2024-9474 и CVE-2025-0111 атакующий может добиться выполнения произвольного кода с правами root-пользователя, а также выгрузки конфигурационных файлов и другой конфиденциальной информации. 

Критически опасная уязвимость в почтовом сервере CommuniGate Pro (BDU:2025-01331) может привести к выполнению произвольного кода через переполнение буфера стека.

Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.

Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

CVE-2025-21418 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость обнаружена в драйвере AFD.sys операционной системы Windows и связана с переполнением буфера на основе кучи. AFD.sys — это основной системный драйвер Windows, являющийся важнейшим компонентом в процессе сетевого взаимодействия. Он обеспечивает низкоуровневую функциональность Winsock API, позволяя приложениям взаимодействовать с сетевыми сокетами.
Для эксплуатации уязвимости злоумышленник должен запустить специально созданную программу, которая в итоге выполнит код с привилегиями SYSTEM — самыми высокими в Windows; то есть в случае успеха преступник может получить полный контроль над уязвимой системой. Это позволит ему устанавливать вредоносное ПО, красть конфиденциальные данные или использовать скомпрометированную систему в качестве отправной точки для дальнейших атак в сети.
Вектор эксплуатации уязвимости — локальный: злоумышленнику необходим физический или удаленный доступ к устройству жертвы. Взаимодействовать с пользователем не требуется.
Примечательно, что исследователи из Rapid7 отмечают сходство недостатка с прошлогодней уязвимостью CVE-2024-38193, которую активно эксплуатировали злоумышленники из APT-группировки Lazarus. 

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: отсутствуют в открытом доступе.

CVE-2025-21391 (оценка по CVSS — 7,1; высокий уровень опасности)

Уязвимость обнаружена в Windows Storage, отвечающем за хранение данных на компьютере, и связана с некорректной обработкой символических ссылок¹ и ярлыков во время файловых операций (CWE-59). По сообщениям экспертов компании Action1, для эксплуатации недостатка локальные злоумышленники могут создавать вредоносные символические ссылки, перенаправляющие файловые операции на системные файлы или пользовательские данные. Это приводит к несанкционированному удалению информации. В результате могут быть затронуты критически важные файлы, что способно стать причиной не только потери данных, но и сбоев в работе служб. Кроме того, Zero Day Initiative сообщает, что произвольное удаление файлов может привести к повышению привилегий и полному захвату системы.
 

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: отсутствуют в открытом доступе.
 

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-21418, CVE-2025-21391).

CVE-2025-0108 (оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость связана с ошибкой аутентификации в веб-интерфейсе управления PAN-OS², возникающей из-за различий в обработке запросов между веб-серверами nginx и Apache. Злоумышленник создает специальный запрос, использующий указанное некорректное поведение, и в результате может обойти процесс аутентификации и запустить определенные PHP-скрипты. Хотя это не позволяет удаленно выполнить произвольный код, злоумышленник может получить несанкционированный доступ к критически важным функциям системы, что повысит риск дальнейшего развития атаки.  

Ознакомиться с подробным исследованием уязвимости можно в блоге компании Assetnote.
 

Признаки эксплуатации: в период со 2 по 13 февраля компания GreyNoise обнаружила 25 вредоносных IP-адресов, активно эксплуатирующих уязвимость. Кроме того, CISA добавила недостаток в каталог KEV. Компания Palo Alto Networks отмечает признаки эксплуатации уязвимости CVE-2025-0108 совместно с CVE-2024-9474 и CVE-2025-0111. Недостаток CVE-2024-9474 связан с повышением привилегий в PAN-OS. О нем мы рассказывали в нашем ноябрьском дайджесте. Обнаруженная в феврале уязвимость CVE-2025-0111 позволяет аутентифицированному злоумышленнику с доступом к сетевым ресурсам считывать файлы, доступные пользователю nobody. С помощью «тандема» CVE-2025-0108 и CVE-2024-9474 атакующий способен выполнять произвольные команды на устройстве с правами root-пользователя. По сообщению Bleeping Computer, цепочка из трех этих уязвимостей может использоваться для выгрузки конфигурационных файлов и другой конфиденциальной информации. 

Публично доступные эксплойты: в открытом доступе опубликован PoC. 

Количество потенциальных жертв: более 2000 серверов уязвимы к атаке, осуществляемой посредством совместной эксплуатации уязвимостей CVE-2025-0108, CVE-2024-9474, CVE-2025-0111. 

Способы устранения, компенсирующие меры: установить обновления на уязвимые устройства и следовать рекомендациям вендора.
 

BDU:2025-01331 (оценка по CVSS — 9,8; критический уровень опасности)

Уязвимость в почтовом сервере CommuniGate Pro возникает из-за ошибки, связанной с переполнением буфера на основе стека. Для эксплуатации недостатка не требуется проходить аутентификацию — это особенно опасно в случае с почтовым сервером, поскольку он доступен из интернета. Успешная эксплуатация позволяет атакующему выполнить произвольный код, что может привести к получению несанкционированного доступа, краже данных или к захвату системы.
 

Признаки эксплуатации: как сообщает компания CyberOK, есть достоверные данные о том, что уязвимость эксплуатируется. Solar 4RAYS отмечает, что в октябре 2024 года была расследована серия атак с применением одной или нескольких неизвестных ранее уязвимостей в CommuniGate Pro. Целью этих атак была полная компрометация почтовой переписки в организациях (не отмечается, была ли задействована BDU:2025-01331).

Публично доступные эксплойты: отсутствуют в открытом доступе.

Количество потенциальных жертв: по некоторым данным, в России доступно более двух тысяч почтовых серверов c ПО CommuniGate. По сообщению компании CyberOK, 40% всех отслеживаемых почтовых серверов подвержены этой уязвимости.

Способы устранения, компенсирующие меры: установить обновленную версию ПО и следовать рекомендациям вендора.
 

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.