Поделиться
Аналитики R-Vision предупредили о новой серии опасных уязвимостей
Аналитики компании R-Vision опубликовали дайджест трендовых уязвимостей августа — среди них критические уязвимости в популярных продуктах WinRAR, Сitrix NetScaler и Wing FTP Server. Об этом CNews сообщили представители R-Vision.
RARLAB WinRAR: Уязвимость удаленного выполнения кода через обход каталогов (CVE-2025-8088 | BDU:2025-09597)
CVSS: 8.4 | Вектор атаки: локальный
В архиваторе WinRAR выявлена уязвимость, сходная с ранее обнаруженной проблемой CVE-2025-6218. Как отмечают исследователи ESET/Welivesecurity, атакующие используют механизм альтернативных потоков данных (ADSE) для обхода проверки корректности пути при распаковке архива. В результате атакующий может сформировать архив, файлы которого выходят за пределы целевой директории.
Опасность усугубляется тем, что при открытии архива через графический интерфейс WinRAR жертва видит только итоговый файл, без отображения полного пути, что облегчает маскировку вредоносного содержимого. Размещение возможно только в тех каталогах, где у пользователя есть права на запись. Для доставки архива и распаковки файлов пользователем, злоумышленники используют методы социальной инженерии.
На момент публикации уязвимость уже активно эксплуатируется: на GitHub доступен публичный PoC, а исследователи ESET/Welivesecurity зафиксировали ее использование в рамках фишинговой кампании RomCom. Потенциальные последствия включают размещение вредоносных скриптов в директории автозагрузки Windows для автоматического запуска кода при старте системы, перезапись критически важных файлов в системных каталогах, а также распространение вредоносного ПО внутри корпоративной инфраструктуры.
Рекомендуется обновить программное обеспечение до версии WinRAR 7.13 и выше.
Citrix NetScaler: Уязвимость удаленного выполнения кода и отказа в обслуживании (CVE-2025-7775 | BDU:2025-10349
CVSS: 9.2 | Вектор атаки: сетевой
Уязвимость связана с тем, что NetScaler ADC и NetScaler Gateway некорректно обрабатывают входящие HTTP(S)-запросы, это приводит к переполнению памяти. Проблема проявляется ещё до прохождения аутентификации: атакующему достаточно отправить специально сформированный HTTP(S)-запрос на уязвимый виртуальный сервер. В результате происходит либо отказ в обслуживании (DOS), либо удаленное выполнение кода (RCE).
В случае успешного RCE атакующий получает несанкционированный доступ к системе. Для закрепления на устройстве чаще всего используется загрузка веб-шелл и бэкдор.
Уязвимыми оказываются устройства при выполнении хотя бы одного из следующих условий конфигурации: NetScaler настроен как Gateway совместно с VPN‑virtual-server, ICA Proxy, CVPN, RDP Proxy или как AAA virtual server; версии NetScaler ADC/Gateway 13.1, 14.1, 13.1‑FIPS или NDcPP с Load Balancing vServer (HTTP, SSL или HTTP_QUIC), связанный с IPv6‑службами; Load Balancing vServer (HTTP, SSL или HTTP_QUIC), связанный с IPv6‑DBS‑службами или группами IPv6‑DBS‑серверов; CR virtual server типа HDX.
Исследователи R-Vision с помощью IoT-поисковых систем проанализировали доступные уязвимые в сети устройства NetScaler ADC/Gateway в РФ и пришли к выводу, что значительное число российских организаций продолжают использовать данный продукт. На диаграмме отражены результаты поиска.
Уязвимость активно эксплуатируется в природе, что подтверждает вендор Citrix и наличие уязвимости в базе CISA KEV.
Citrix выпустила обновления до версий 14.1-47.48, 13.1-59.22, 13.1-37.241 (FIPS/NDcPP) и 12.1-55.330 (FIPS/NDcPP), для устаревших версий, которые явлются EoL 12.1/ 13.0, требуется миграция на новые релизы. CISA потребовала устранить уязвимость до 28 августа 2025 г.
По данным ShadowServer, из более чем 28 тыс. уязвимых устройств, доступных в сети, к рекомендованному сроку их количество сократилось лишь на 6,5 тыс.
Wing FTP Server: Уязвимость обработки нулевого байта или символа NUL (CVE-2025-47812 | BDU:2025-08471)
CVSS: 10.0 | Вектор атаки: сетевой
В Wing FTP Server обнаружена критическая уязвимость, связанная с некорректной обработкой нулевого байта — специального символа, обозначающего «конец строки» или «конец данных». Ошибка проявляется в параметре имени пользователя, где этот символ не фильтруется. Дополнительно сервер использует небезопасный механизм хранения пользовательских сессий в виде файлов с расширением .lua, что открывает путь для внедрения произвольного кода.
Атакующий может отправить специально сформированный запрос и добиться выполнения кода на стороне сервера (RCE – Remote Code Execution) с правами суперпользователя (root на Linux или SYSTEM на Windows). Особенно уязвимы конфигурации с включенной анонимной учетной записью, где подключение доступно любому пользователю.
Анализ IoT поисковых систем показал, что в российском сегменте интернета в открытом доступе находится в районе 200 уязвимых устройств, в том числе относящиеся к коммерческим организациям и государственным бюджетным учреждениям. Большинство серверов остаются не обновлёнными, что увеличивает риск кибератак.
По данным Hunress, уже зафиксированы попытки эксплуатации уязвимости: опубликованы публичные PoC эксплойта на GitHub. Последствия могут включать полную компрометацию сервера, кражу конфиденциальных данных, развертывание командно-контрольной инфраструктуры для управления заражённой машиной, распространение атак внутри корпоративной сети и организацию отказа в обслуживании для выведения сервера или связанных сервисов из строя.
Разработчик выпустил исправление — рекомендуется обновить Wing FTP Server до версии 7.4.4 и выше, а также отключить анонимного пользователя (anonymous).
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Поделиться
Короткая ссылка
