Поделиться
R-Vision опубликовал обзор наиболее критичных уязвимостей за ноябрь
Аналитики R-Vision проанализировали широкий спектр уязвимостей по итогам ноября 2025 г. и выделили 13 трендовых среди них. В ежемесячный дайджест были включены те, что подлежат устранению в первую очередь – с высоким уровнем риска, подтвержденной эксплуатацией и особым интересом для специалистов в области ИБ. Об этом CNews сообщили представители R-Vision.
Уязвимость Windows CVE-2025-62215 | BDU:2025-14039: Уязвимость повышения привилегий в ядре Windows CVSS: 7 | Вектор атаки: локальный
Уязвимость повышения привилегий в ядре операционной системы Windows и Windows Server вызвана состоянием гонки (race conditions) при параллельном доступе к ресурсам ядра, что приводит к двойному освобождению памяти. В результате успешной эксплуатации злоумышленник может добиться повреждения памяти ядра и получить возможность перезаписывать критические области памяти. Подмена этих указателей позволяет перенаправить выполнение на произвольный код злоумышленника в контексте ядра, что приведет к повышению привилегий до уровня SYSTEM.
Присутствует публичный PoC эксплойта на GitHub. По данным Microsoft, уязвимость эксплуатировалась и продолжает эксплуатироваться в реальных атаках как уязвимость нулевого дня.
Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учетных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.
12 ноября 2025 г. вендор выпустил обновление безопасности. Рекомендуется как можно скорее обновить устройства под управлением ОС Windows.
Уязвимость FortiWeb CVE-2025-64446 | BDU:2025-14084: Уязвимость удаленного выполнения кода в FortiWeb CVSS: 9.4 | Вектор атаки: сетевой
Обнаружена критическая уязвимость в межсетевом экране FortiWeb. Уязвимость связана с обходом механизмов проверки доступа и позволяет неавторизованному злоумышленнику выполнять административные команды через специально сформированный POST-запрос на уязвимом устройстве. При эксплуатации уязвимости создается учетная запись с правами администратора, что приводит к полной компрометации системы.
Fortinet подтверждает, что уязвимость активно эксплуатируется в реальных атаках. До выхода исправлений на даркфорумах уже продавался эксплойт, который оценили в 1 биткоин (около 7 млн руб).
По данным платформы CrowdSec Threat Intelligence, проэксплуатировано более 150 IP-адресов, где пик эксплуатаций приходился на 15 ноября 2025 г.
Для устранения уязвимости необходимо обновить программное обеспечение до версий, рекомендованных вендором.
Множественные уязвимости в TrueConf Server BDU:2025-13736 | BDU:2025-13737 | BDU:2025-13738: Цепочка уязвимостей нулевого дня в TrueConf CVSS: 7.6 | Вектор атаки: сетевой
Эксперты компании «СайберОК» Роман Малов и Алексей Седой выявили цепочку из трех уязвимостей в российском ПО TrueConf Server.
Цепочка начинается с BDU:2025-13736. Уязвимость связана с процедурой авторизации, что позволяет обходить проверки прав и получать доступ к функциям, недоступным обычному пользователю. На втором этапе эксплуатируется BDU:2025-13737. Уязвимость связана с отсутствием ограничений на количество попыток входа, что дает злоумышленнику возможность проведения brute-force атаки или автоматизированной проверки утекших учетных записей для получения административного доступа. Завершает цепочку эксплуатации BDU:2025-13738 – уязвимость позволяющая удаленно выполнять произвольные команды ОС на сервере (OS command injection). В совокупности, эксплуатация всех трех уязвимостей может привести к полной компрометации сервера.
По данным платформы СКИПА, в российском сегменте зафиксировано около 11 тыс. экземпляров TrueConf, из которых примерно 30% потенциально подвержены данной цепочке уязвимостей. Хорошей новостью является то, что на момент публикаций дайджеста публичных эксплойтов не обнаружено, а сама цепочка уязвимостей эксплуатируются только в определенных конфигурациях сервера.
Экспертам из R-Vision удалось найти около 4000 потенциально подверженных экземпляров TrueConf с помощью общедоступных IoT-поисковиков.
Для устранения необходимо обновить TrueConf Server до версии 5.5.2 и более поздней.
Уязвимость Control Web Panel CVE-2025-48703 | BDU:2025-07803: Уязвимость удаленного выполнения кода в Control Web Panel CVSS: 9 | Вектор атаки: сетевой
В ноябре 2025 г. участились атаки на уязвимость удаленного выполнения кода в Control Web Panel (ранее CentOS Web Panel), опубликованную еще в июне 2025 г.
Control Web Panel (CWP) – это бесплатная панель управления веб-хостингом для серверов на базе CentOS и других RPM-дистрибутивов.
Уязвимость состоит из двух связанных ошибок, эксплуатируемых в одном POST-запросе к файловому менеджеру. Первая ошибка позволяет обойти аутентификацию путем указания в параметре currentPath пути к существующей директории пользователя на хосте (например, /home/username). Вторая ошибка заключается в недостаточной фильтрации shell-метасимволов в параметре t_total, что дает возможность выполнить произвольные команды операционной системы.
Эксплуатация возможна при знании действительного имени локального непривилегированного пользователя в системе (не root).
Уязвимость активно эксплуатируется, есть публичный эксплойт.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 4 ноября 2025 г. добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 25 ноября 2025 г.
Продукт активно индексируется специализированными IoT-поисковиками, что значительно упрощает его обнаружение и последующую эксплуатацию злоумышленниками: Censys ~379k; Shodan ~ 225k; ZoomEYE ~ 156k; Netlas ~ 144k; FOFA ~ 71k; Criminal IP ~13k.
Рекомендуется обновить Control Web Panel до версии 0.9.8.1205 или выше.
Уязвимость «1С:Предприятие» BDU:2025-07182: Уязвимость удаленного выполнения кода в «1С:Предприятие» CVSS: 8.8 | Вектор атаки: сетевой
Уязвимость заключается в критической ошибке подсистемы контроля прав доступа платформы «1С:Предприятие» 8. Ошибка связана с некорректной реализацией механизма авторизации, что позволяет обойти проверку учетных записей посредством отправки специально сформированных запросов к серверу. Эксплуатация уязвимости может позволить неаутентифицированному злоумышленнику, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, включая учетные записи с административными привилегиями, без знания паролей.
Публичного эксплойта в процессе разбора не обнаружено. При этом уязвимость была опубликована еще в июне и ее до сих пор продолжают эксплуатировать.
С помощью специальных поисковых запросов, нашим экспертам удалось установить около 6 000 IP-адресов с «1C:Предприятие» потенциально подверженных для атак.
Рекомендации по устранению: Настоятельно рекомендуем обновить «1С:Преприятие» 8 в зависимости от конфигурации: 8.3.23, 8.3.24 → ≥ 8.3.24.1667 или выше; 8.3.z → ≥ 8.3.24.1674 (z) или выше; 8.3.25 → ≥ 8.3.25.1394 или выше.
Как защититься
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Поделиться
Короткая ссылка
