Поделиться
Positive Technologies представила октябрьский дайджест трендовых уязвимостей
Эксперты Positive Technologies отнесли к трендовым еще три уязвимости: это недостатки безопасности в веб-сервере управления VPN в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD) и в утилите sudo для делегирования прав на выполнение команд в Linux и Unix-подобных ОС. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN в Cisco ASA и Cisco FTD
Согласно The Shadowserver Foundation, по состоянию на 30 сентября 2025 г. в интернете было доступно более 48 тыс. экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России.
PT-2025-39420 (CVE-2025-20333; CVSS — 9,9): успешная эксплуатация уязвимости позволяет скомпрометировать систему, нарушить работу сети или украсть конфиденциальные данные, которые хранятся на устройстве или передаются через него. Проблема связана с некорректной проверкой входных данных, предоставляемых пользователем в HTTP(S)-запросах к серверу. Удаленный злоумышленник, имея действительные учетные данные пользователя VPN, может отправлять специально созданные HTTP(S)-запросы, которые приводят к выполнению произвольного кода на устройстве с привилегиями root (с правами суперпользователя с неограниченным доступом).
PT-2025-39421 (CVE-2025-20362; CVSS — 6,5): в результате успешной эксплуатации уязвимости неаутентифицированный злоумышленник может получить доступ к внутренним URL-адресам, предназначенным для управления VPN-соединениями. Такой доступ позволяет обойти стандартные механизмы защиты, извлекать конфиденциальные данные или использовать скомпрометированное устройство для развития атаки внутри инфраструктуры.
Обе уязвимости активно эксплуатируются в реальных атаках на государственные учреждения, использующие Cisco ASA серии 5500-X без технологий Secure Boot и Trust Anchor, для установки шпионского ПО и кражи конфиденциальных данных. По сообщениям Национального центра кибербезопасности Великобритании (NCSC), злоумышленники также распространяли ранее неизвестные семейства вредоносного ПО RayInitiator и LINE VIPER с помощью этих уязвимостей.
Для того чтобы защититься, необходимо обновить затронутые системы до исправленных версий (CVE-2025-20362, CVE-2025-20333). Кроме того, киберагентства CISA (США), CERT-FR (Франция), ACSC (Австралия) и CSE (Канада) опубликовали дополнительные рекомендации для организаций, использующих Cisco ASA и Cisco FTD.
Уязвимость, связанная с повышением привилегий, в функции для запуска команд с корневым каталогом chroot утилиты sudo
PT-2025-27466 (CVE-2025-32463; CVSS — 9,3): под угрозой находятся все Linux-системы, на которых установлена утилита sudo версии от 1.9.14 до 1.9.17.Успешная эксплуатация уязвимости позволяет атакующему обойти все механизмы контроля доступа в системе: он может изменять и удалять любые системные файлы, добавлять новых пользователей и изменять учетные данные. Злоумышленник также может создать в указанном пользователем корневом каталоге файл /etc/nsswitch.conf, что может привести к выполнению произвольного кода с правами root. Для того чтобы защититься, пользователям рекомендуется установить актуальные версии пакетов sudo.
Поделиться
Короткая ссылка
