Поделиться
Аналитики R-Vision назвали наиболее опасные уязвимости сентября
Аналитики R-Vision в сентябре выделили несколько CVE, которые уже эксплуатируются или могут представлять серьезную угрозу. Об этом CNews сообщили представители R-Vision.
CVE-2025-20363 | BDU:2025-11752: Уязвимость удалннного выполнения кода в Cisco ASA, FTD, IOS, IOS XE и IOS XR
CVSS: 9| Вектор атаки: сетевой
Уязвимость обнаружена в Cisco ASA, Cisco FTD, а также в операционных системах IOS, IOS XE и 32-битной версии IOS XR. Проблема вызвана некорректной валидацией пользовательского ввода в HTTP-запросах, направляемых в веб-интерфейс управления или SSL VPN-портал. Это позволяет атакующему отправить специально сформированный HTTP-запрос, который вызывает переполнение буфера и приводит к выполнению произвольного кода с привилегиями root (на ASA/FTD) или с правами суперпользователя (на IOS/IOS XE/IOS XR).
По данным ShadowServer, в России насчитывается более двух тыс. уязвимых устройств: Cisco ASA и Cisco FTD, доступных для потенциальных атак. На момент публикации Cisco не зафиксировано публичных эксплойтов или подтверждённых случаев эксплуатации. Однако, как отмечают эксперты, данная уязвимость имеет высокий риск эксплуатации в «дикой природе».
Для устранения уязвимости необходимо обновить все затронутые устройства до последних версий ПО.
CVE-2025-20362 | BDU:2025-11751: Уязвимость в веб-сервере VPN
CVSS: 6.5| Вектор атаки: сетевой
Уязвимость обнаружена в веб-сервере VPN продуктов Cisco ASA и Cisco FTD. Она позволяет удаленно без аутентификации получить доступ к закрытым URL-ресурсам, которые должны быть недоступны без учётных данных. Это создаёт риск несанкционированного доступа и последующего воздействия на защищенную сеть.
Уязвимость зафиксирована в реальных инцидентах и используется как начальная точка входа, что может привести к разглашению конфиденциальной информации, несанкционированным изменениям конфигурации и дальнейшему распространению угрозы внутри сети. Однако в рассматриваемом инциденте признаков горизонтального перемещения не выявлено — атакующие, по всей видимости, ограничивались шпионажем и сбором информации с пограничных устройств.
В реальных инцидентах атакующие первично эксплуатируют уязвимость CVE-2025-20362 в веб-сервере VPN продуктов Cisco (ASA/FTD). Эксплуатация этой уязвимости даёт неаутентифицированный доступ к защищенным устройствам. Полученный доступ затем используют для дальнейшей эксплуатации уязвимости CVE-2025-20333 (поскольку для CVE-2025-20333 требуется аутентификация, которую атакующие получают через CVE-2025-20362).
После получения доступа атакующие загружают и запускают вредоносный payload, выполняющий сбор данных и их эксфильтрацию. В отдельных кампаниях наблюдалась также установка дополнительных бэкдоров и внедрение мер для сохранения доступа - вплоть до изменения прошивки и подавления логирования.
Атаки были направлены в первую очередь на устаревшие модели Cisco ASA 5500-X с версиями ПО ASA 9.12 или 9.14 и активными веб-сервисами VPN. Целевые устройства, срок службы которых истекал или истёк 30 сентября 2025 года, не имели защиты от несанкционированного доступа к прошивке, что делало возможными манипуляции с прошивкой и повышало риск долгосрочной компрометации.
CVE-2025-20333 | BDU:2025-11706: Уязвимость удаленного выполнения кода в веб-сервере VPN
CVSS: 9.9 |Вектор атаки: сетевой
Данная уязвимость также касается продуктов Cisco ASA и Cisco FTD при включенном на них веб-сервере VPN. Эксплуатация происходит за счет отправки специально подготовленного HTTP-запроса на уязвимую конечную точку. Запрос вызывает ошибку переполнения буфера (CWE-120), что позволяет добиться удаленного выполнения кода с правами суперпользователя. Это может привести к компрометации всего устройства. Для успешного применения эксплойта необходимо иметь действительные учетные данные пользователя VPN. Обойти эту преграду атакующий может с помощью эксплуатации уязвимости CVE-2025-20362.
На момент обнаружения уязвимости, по данным сервиса Shodan, в российском сегменте интернета было обнаружено 3165 потенциально уязвимых конченых устройств Cisco ASA, действующих как шлюзы на базе технологии SSL-VPN. Анализ организаций, к которым относятся найденные устройства, показал, что средни низ — компании из банковской сферы, хостинг-провадйеры, промышленный сектор, фармацевтические организации и ИТ-компании.
Возможные негативные сценарии. Атакующий, успешно проведя эксплуатацию данной уязвимости, может добиться компрометации всего устройства. Так как ASA и FTD, настроенные как шлюзы VPN, являются критически важными для работы и безопасности информационной инфраструктуры организации, факт компрометации может привести к серьезным негативным последствиям. Атакующие смогут: перехватить и прослушивать трафик, входящий и исходящий через сетевой периметр организации; использовать шлюз как точку входа и посредством бокового перемещения продвигаться дальше вглубь сети организации; вызвать отказ в обслуживании, что может нарушить рабочие процессы.
Что связывает эти три уязвимости? Cisco предполагает, что новая цепочка атак связана со старой кампанией ArcaneDoor. По данным Cisco Talos, за кампанией ArcaneDoor стоит опытная хакерская группировка UAT4356 (STORM-1849), предположительно связанная с Китаем.
CVE-2025-20352 | BDU:2025-12385: Уязвимость переполнения стека в SNMP-подсистеме Cisco IOS и IOS XE
CVSS: 7.7| Вектор атаки: сетевой
Уязвимость выявлена в подсистеме протокола SNMP на устройствах Cisco IOS и IOS XE. В зависимости от уровня доступа атакующего возможны два сценария.
При наличии только read-only SNMP-строки (SNMPv1/v2c) или валидных SNMPv3-учетных данных (обычного пользователя) атакующий может вызвать отказ в обслуживании (DoS).
При наличии привилегированных (например, SNMPv3 с администраторскими правами) атакующий сможет выполнить произвольный код на уровне root и получить полный контроль над устройством.
Уязвимость затрагивает все версии затронутых ОС и эксплуатируется при отправке специально созданного пакета на UDP-порт 161. Следует учитывать, что read-only community strings нередко публикуются в открытом доступе (например, в баннерах, видимых через IoT-поисковики и OSINT-инструменты).
Данная уязвимость уже используется в реальных атаках. Cisco PSIRT подтвердил, что успешная эксплуатация зафиксирована после компрометации административных учётных данных SNMP.
Уязвимость Chromium
CVE-2025-10585 | BDU:2025-11457 : Ошибка type confusion в V8
CVSS: 8.8| Вектор атаки: сетевой
В движке выполнения JavaScript V8 присутствует уязвимость класса Type Confusion, при обработке специального подготовленного контента - JS/HTML. В определённой последовательности операций движок может принять объект или значение за другой ожидаемый тип или внутреннюю структуру. В результате JIT-компилятор может сгенерировать обращения к памяти по неверным смещениям, что приводит к повреждению кучи (heap corruption) и некорректному чтению, либо записи памяти. Эксплуатация данной уязвимости может привести к выполнению произвольного кода (RCE) в процессе рендера
Наличие RCE в процессе рендера обычно остаётся в пределах песочницы. Для получения доступа к файловой системе, запуску процессов вне песочницы или повышения привилегий атакующему потребуется дальнейшая эксплуатация отдельных уязвимостей в подсистемах браузера. Например, в механизмах межпроцессного взаимодействия Mojo(IPC) либо ошибки в валидации дескрипторов и политик безопасности при передаче данных между процессами.
CVE-2025-2783 — уязвимость в компонентах Mojo (IPC), исправленная весной 2025 года. Публичные записи указывают, что в ряде сценариев её эксплуатация может привести к выходу из песочницы. С учетом текущей динамики показателей разумно повысить приоритет мониторинга и соблюдение сроков обновлений.
Рекомендации по устранению: Обновите браузеры на базе Chromium до версий: 140.0.7339.185/.186 — для Windows/Mac; 140.0.7339.185 — для Linux
Уязвимость PostgreSQL
CVE-2025-8714 | BDU:2025-09829: Уязвимость удаленного выполнения кода в psql
CVSS: 8.8| Вектор атаки: локальный
Уязвимость связана с тем, как PostgreSQL генерирует и обрабатывает дампы БД в формате обычного текста, с помощью метакоманд таких, как pg_dumpall и pg_dump. В них может быть внедрен вредоносный код, который будет выполняться во время восстановления дампа базы данных от имени учетной записи клиентской операционной системы, где запущен psql.
Для успешной эксплуатации атакующий может использовать несколько векторов атаки. В первом варианте необходимо подготовить вредоносный дамп и методом социальной инженерии вынудить администратора СУБД использовать его для восстановления. Во втором варианте, если атакующий уже проник в систему, он может изменить существующие текстовые дампы, добавив произвольный код Bash или PowerShell (в зависимости от ОС, где установлен PostgreSQL). Такой «спящий» вредонос может долго оставаться незаметным и активироваться только при восстановлении данных.
Возможные негативные сценарии. Удаленное выполнение произвольного кода на машине, где расположена СУБД PostgreSQL, что может привести к компрометации хоста. В случае если настроено восстановление дампов БД, например для создания резервных копий, с помощью средств автоматизации и атакующие смогут внедрить в них вредоносный код, то это может привести к компрометации значительной части инфраструктуры.
Рекомендации по устранению: обновите PostgreSQL до версий 17.6, 16.10, 15.14, 14.19 или 13.22; не используйте дампы в формате обычного текста, отдавайте предпочтение pg_dump -Fc в сочетании с pg_restore. Данная команда создает дамп в виде бинарного файла, а не текстового, что делает невозможным инъекцию кода.
Как защититься? В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Поделиться
Короткая ссылка
