По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем уязвимости, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в октябре к трендовым были отнесены три уязвимости.
Две уязвимости среднего и критического уровня опасности обнаружены в продуктах компании Cisco — а именно в веб-сервере управления VPN, встроенном в программное обеспечение Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD), — и связаны с недостаточной проверкой пользовательского ввода в HTTP(S)-запросах к серверу. Первая уязвимость, PT-2025-39421 (CVE-2025-20362), позволяет неаутентифицированному злоумышленнику получить удаленный доступ к защищенным URL-адресам. Вторая уязвимость, PT-2025-39420 (CVE-2025-20333), дает возможность атакующему удаленно выполнить произвольный код с привилегиями root (с правами суперпользователя с неограниченным доступом).
Критически опасная уязвимость PT-2025-27466 (CVE-2025-32463) обнаружена в утилите sudo, которая используется в Linux и Unix-подобных операционных системах для делегирования прав выполнения команд. Успешная эксплуатация уязвимости позволяет локальному аутентифицированному злоумышленнику получить полный контроль над устройством.
Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
Уязвимости в продуктах Cisco ASA и Cisco FTD
Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN
PT-2025-39421 (CVE-2025-20362; оценка по CVSS — 6,5; средний уровень опасности) и PT-2025-39420 (CVE-2025-20333; оценка по CVSS — 9,9; критический уровень опасности)
Уязвимость CVE-2025-20362, связанная с обходом механизмов безопасности, возникает из-за недостаточной проверки авторизации пользователя на стороне веб-сервера VPN (CWE-862). В результате успешной эксплуатации неаутентифицированный злоумышленник может получить доступ к внутренним URL-адресам, предназначенным для управления VPN-соединениями. Такой доступ позволяет обойти стандартные механизмы защиты, извлекать конфиденциальные данные или использовать скомпрометированное устройство для развития атаки внутри инфраструктуры.
Уязвимость CVE-2025-20333 связана с некорректной проверкой входных данных, предоставляемых пользователем в HTTP(S)-запросах к серверу. Удаленный злоумышленник, имея действительные учетные данные пользователя VPN, может отправлять специально созданные HTTP(S)-запросы, которые приводят к выполнению произвольного кода на устройстве с привилегиями root. Успешная эксплуатация уязвимости позволяет скомпрометировать систему, нарушить работу сети или украсть конфиденциальную информацию, которая хранится на устройстве или передается через него.
Признаки эксплуатации: обе уязвимости активно эксплуатируются в реальных атаках. GreyNoise предупредила о сканированиях, нацеленных на Cisco ASA, которые начались еще в конце августа. Как отмечает Cisco, с мая CVE-2025-20362 и CVE-2025-20333 совместно используются в атаках на государственные учреждения, использующие Cisco ASA серии 5500-X без настроенных Secure Boot и Trust Anchor, для установки шпионского ПО и кражи конфиденциальных данных. По сообщениям Национального центра кибербезопасности Великобритании (NCSC), злоумышленники также распространяли ранее неизвестные семейства вредоносного ПО RayInitiator и LINE VIPER с помощью этих уязвимостей. Кроме того, агентство CISA добавило CVE-2025-20362 и CVE-2025-20333 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 30 сентября в интернете было доступно более 48 000 экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России.
Способы устранения описанных уязвимостей: Cisco выпустила обновления безопасности для устранения CVE-2025-20333 и CVE-2025-20362. Рекомендуется обновить затронутые системы до исправленных версий. Кроме того, киберагентства ACSC (Австралия), CERT-FR (Франция), CISA (США) и CSE (Канада) опубликовали дополнительные рекомендации для организаций, использующих Cisco ASA и Cisco FTD.
Уязвимость в утилите sudo
Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo
PT-2025-27466 (CVE-2025-32463; оценка по CVSS — 9,3; критический уровень опасности)
Уязвимость связана с некорректной реализацией функции -R (- -chroot) утилиты sudo, которая предназначена для запуска команды с выбранным пользователем корневым каталогом при условии, что это разрешено файлом sudoers1. Таким образом создается ограниченная среда (chroot jail), в которой процессы имеют доступ только к файлам нового корневого каталога. В версии sudo 1.9.14 была внесена модификация, из-за которой функция chroot начала применяться при проверке прав доступа в файле sudoers до того, как система определила, разрешено ли пользователю выполнять эту команду.
Злоумышленник может создать в указанном пользователем корневом каталоге файл /etc/nsswitch.conf2, что приведет к выполнению произвольного кода с правами root. Успешная эксплуатация уязвимости позволяет атакующему обойти все механизмы контроля доступа в системе, дает возможность изменять и удалять любые системные файлы, добавлять новых пользователей и изменять учетные данные.
Функция - -chroot признана небезопасной и устаревшей. В версии sudo 1.9.17p1 она была отключена, а в будущих версиях будет полностью удалена.
Признаки эксплуатации: CISA зафиксировало случаи эксплуатации уязвимости в реальных атаках и добавило ее в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: под угрозой эксплуатации уязвимости находятся все Linux-системы, на которых установлена утилита sudo версии от 1.9.14 до 1.9.17.
Способы устранения, компенсирующие меры: пользователям рекомендуется установить актуальные версии пакетов sudo.
1Файл sudoers — конфигурационный файл, который определяет, какие пользователи могут выполнять команды с привилегиями root. Система обращается к этому файлу каждый раз, когда пользователь запускает команду sudo.
2Файл /etc/nsswitch.conf — конфигурационный файл, который определяет, какие источники и в каком порядке система будет использовать для разрешения разных типов данных: имен узлов, учетных записей пользователей и групп.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по их устранению и защитить инфраструктуру компании.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.