Positive Technologies представила апрельский дайджест трендовых уязвимостей
Эксперты Positive Technologies отнесли к трендовым еще одиннадцать уязвимостей. Это недостатки безопасности в продуктах Microsoft и контроллере Kubernetes, гипервизорах VMware и веб-сервере для создания веб-приложений Apache Tomcat. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их обнаружения.
Уязвимости в продуктах Microsoft
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около 1 млрд устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 11 и Windows 10).
– Уязвимость повышения привилегий в драйвере мини-фильтра Windows Cloud Files CVE-2024-30085 (CVSS — 7,8)
Эксплуатация уязвимости позволяет злоумышленнику получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы. Уязвимость вызвана переполнением буфера кучи в функции разбора битовых карт HsmIBitmapNORMALOpen драйвера мини-фильтра облачных файлов Windows cldflt.sys. Чтобы защититься, исследователи рекомендуют: сегментировать сеть; внедрить и реализовать принцип наименьших привилегий (PoLP); улучшить мониторинг для обнаружения подозрительной активности.
– Уязвимость повышения привилегий подсистемы ядра Windows Win32 CVE-2025-24983 (CVSS — 7,0)
Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации этой уязвимости атакующему необходимо победить в состоянии гонки. Сделав это, злоумышленник может повысить привилегии до уровня SYSTEM, то есть получить возможность красть или уничтожать данные в системе. Чтобы защититься, специалисты рекомендуют: ограничить разрешения локальных пользователей; отслеживать подозрительные попытки повышения привилегий.
– Уязвимость обхода функции безопасности консоли управления Microsoft CVE-2025-26633 (CVSS — 7,0)
Эксплуатация уязвимости может привести к утечке данных и установке вредоносного ПО. Злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC-файл. Для эксплуатации уязвимости атакующие могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Чтобы защититься, эксперты советуют блокировать файлы форматов MSC и VHD на средствах безопасности электронной почты, веб-прокси и на межсетевом экране, а также проверить наличие подозрительных действий в системе.
– Уязвимость спуфинга в компоненте графического интерфейса Microsoft Windows File Explorer CVE-2025-24071 (CVSS — 7,5)
Эксплуатируя уязвимость, злоумышленник может получить возможность использовать перехваченный NTLMv2-хеш в атаках с передачей хеша. Это может привести к краже данных, раскрытию конфиденциальной информации. Уязвимость вызвана автоматической обработкой файлов формата LIBRARY-MS. Такой файл может содержать SMB-путь — ссылку на SMB-сервер, принадлежащий злоумышленникам. Чтобы проэксплуатировать уязвимость, злоумышленнику достаточно распаковать архив с вредоносным файлом.
Специалисты рекомендуют в качестве дополнительных мер защиты от атак через ретранслятор NTLM включать подписывание SMB и отключать NTLM там, где это возможно.
– Уязвимость удаленного выполнения кода в файловой системе Windows NTFS CVE-2025-24993 (CVSS — 7,8)
Переполнение буфера в куче в файловой системе Windows NTFS позволяет неавторизованному злоумышленнику выполнить код локально. Для этого злоумышленник должен убедить потенциальную жертву смонтировать специально созданный виртуальный жесткий диск (VHD). Таким образом на систему может быть установлено вредоносное ПО, а атакующий может скомпрометировать сеть и получить доступ к новым устройствам.
– Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT CVE-2025-24985 (CVSS — 7,8)
Эксплуатация этой уязвимости может привести к установке злоумышленником вредоносного ПО и компрометации сети. Атакующий также может получить доступ к новым устройствам. Целочисленное переполнение в Fast FAT Driver позволяет злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву cмонтировать специально созданный виртуальный жесткий диск (VHD). Чтобы защититься от эксплуатации уязвимостей, описанных выше, необходимо установить обновления безопасности CVE-2024-30085, CVE-2025-24983, CVE-2025-24993, CVE-2025-24985, CVE-2025-26633.
Уязвимости в продуктах VMware
Уязвимости, описанные ниже, согласно данным Shadowserver, затрагивают более 40 тыс. узлов гипервизора VMware ESXI, доступных через интернет. Последствия могут коснуться всех пользователей устаревших версий продукта.
– Уязвимость произвольной записи в высокоскоростном интерфейсе гипервизоров VMware ESXi и VMware Workstation CVE-2025-22224 (CVSS — 9,3)
Уязвимость TOCTOU затрагивает гипервизоры VMware EXSi и VMware Workstation. Эта уязвимость может привести к записи за пределами допустимого диапазона, что позволяет злоумышленнику с локальными правами администратора на виртуальной машине выполнить код от имени процесса VMX на гипервизоре. Эксплуатация уязвимости может привести к получению полного контроля над узлом и компрометации других виртуальных машин.
– Уязвимость произвольной записи памяти в гипервизоре VMware ESXi CVE-2025-22225 (CVSS — 8,2)
Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведет к обходу механизмов безопасности.
– Уязвимость разглашения информации в компоненте гипервизоров VMware ESXi, Workstation и Fusion CVE-2025-22226 (CVSS — 7,1)
Эксплуатируя уязвимость, злоумышленник с привилегиями администратора может получить доступ к защищенной информации и извлекать содержимое памяти процесса VMX. Эта уязвимость возникает из-за чтения за пределами допустимого диапазона в компоненте Host Guest File System (HGFS). Злоумышленник с правами администратора на виртуальной машине может воспользоваться ей, чтобы спровоцировать утечку памяти из процесса VMX, который является основным процессом для запуска виртуальной машины. Чтобы защититься от эксплуатации перечисленных выше уязвимостей, необходимо следовать рекомендациям вендора, обновить систему VMware Workstation до версии 17.6.3, VMWare Fusion до версии 13.6.3, установить патчи.
Уязвимость в продукте Kubernetes
– Уязвимость компонента в контроллере Kubernetes Ingress NGINX Controller CVE-2025-1974 (CVSS — 9,8)
Согласно данным исследователей Wiz, уязвимость затрагивает более 6500 кластеров. Эксплуатируя уязвимость, злоумышленник может захватить кластер и использовать его в своих целях. Это может позволить злоумышленнику получить полный контроль над инфраструктурой организации. Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx, отправив на него специально подготовленный запрос (инъекцию конфигурации). Чтобы защититься, необходимо следовать рекомендациям Kubernetes: обновиться до новой версии патча ingress-nginx; отключить функцию проверки контроллера допуска ingress-nginx; отключить функцию Validating Admission Controller.
Уязвимость в продукте Apache
– Уязвимость удаленного выполнения кода в комплекте серверных программ Apache Tomcat CVE-2025-24813 (CVSS — 9,8)
Согласно исследованию Rapid7, на GitHub было обнаружено около 200 публично доступных уязвимых серверов. Эксплуатация уязвимости может привести к загрузке вредоносного ПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов. Недостаток безопасности обнаружен в механизмах обработки загруженных файлов и десериализации. Злоумышленник может загрузить вредоносные файлы в доступный для записи каталог через частичные запросы PUT. После загрузки файла последующий HTTP-запрос запускает в Tomcat десериализацию, что может привести к выполнению вредоносного файла. Чтобы защититься, необходимо обновить системы до версий Apache Tomcat 9.0.99, Apache Tomcat 10.1.35, Apache Tomcat 11.0.3 или более поздних.