Киберугрозы продолжают эволюционировать, а мы в Positive Technologies продолжаем их анализировать и отбирать трендовые уязвимости. Это уязвимости, которые активно используются в атаках или с высокой степенью вероятности будут использоваться в ближайшее время. Пришло время посмотреть, с какими результатами мы подошли к первой половине 2025 года.
Итак, за весь 2024 год мы отнесли к трендовым 74 уязвимости. А с начала 2025 года до 30 июня отнесли к трендовым 37 уязвимостей. Отсюда можно сделать предположения, что в этом году к трендовым будет отнесено примерно столько же уязвимостей, что и в прошлом году.
Какие это уязвимости?
Из всех трендовых уязвимостей для 30 есть зафиксированные признаки эксплуатации в атаках, для 7 — публичные эксплоиты (но нет признаков эксплуатации).
По типам уязвимостей большая часть — это выполнение произвольного кода (15), и повышение привилегий (13).
Только одна трендовая уязвимость была найдена в отечественном коммерческом продукте — выполнение произвольного кода в CommuniGate Pro (BDU:2025-01331). Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.
Уязвимости Microsoft
22 трендовые уязвимости касаются продуктов Microsoft (59%).
Из них 13 это уязвимости повышения привилегий в ядре Windows и стандартных компонентах: Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335), Windows Common Log File System Driver (CVE-2025-29824, CVE-2025-32701, CVE-2025-32706), Microsoft DWM Core Library (CVE-2025-30400), Windows Ancillary Function Driver for WinSock (CVE-2025-21418), Windows Storage (CVE-2025-21391), Windows Win32 Kernel Subsystem (CVE-2025-24983), Windows Cloud Files Mini Filter Driver (CVE-2024-30085), Windows Process Activation (CVE-2025-21204), Windows SMB Client (CVE-2025-33073).
Из них только одна уязвимость выполнения произвольного кода в стандартных компонентах Windows, эксплуатирующаяся через взаимодействие с сетевым хостом – выполнение произвольного кода в Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112).
Из них 8 это уязвимости в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках. Это уязвимости удалённого выполнение кода, подразумевающие взаимодействие со зловредными файлами, в Internet Shortcut Files (CVE-2025-33053), Microsoft Configuration Manager (CVE-2024-43468), Windows NTFS (CVE-2025-24993), Windows OLE (CVE-2025-21298), Windows Fast FAT File System Driver (CVE-2025-24985), спуфинга в Windows NTLM (CVE-2025-24054), Microsoft Windows File Explorer (CVE-2025-24071), обхода функций безопасности в Microsoft Management Console (CVE-2025-26633).
Уязвимости в других продуктах
Отдельно рассмотрим 15 уязвимостей в продуктах других вендоров.
Также в фишинговых атаках могут использоваться 4 трендовые уязвимости выполнения кода в архиваторе 7-Zip (BDU:2025-01793, CVE-2025-0411) и межсайтового скриптинга в MDaemon Email Server (CVE-2024-11182), Zimbra Collaboration (CVE-2024-27443).
5 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников в инфраструктуру. Это уязвимости выполнения произвольного кода в CommuniGate Pro (BDU:2025-01331), Roundcube (CVE-2025-49113) и Erlang/OTP (CVE-2025-32433), обхода аутентификации в FortiOS (CVE-2024-55591) и PAN-OS (CVE-2025-0108).
2 трендовые уязвимости позволяют злоумышленникам скомпрометировать ПО, разрабатываемое в компании. Это уязвимости выполнения произвольного кода в Apache HTTP Server (CVE-2024-38475) и Apache Tomcat (CVE-2025-24813).
4 трендовые уязвимости позволяют злоумышленникам скомпрометировать виртуальную инфраструктуру организации. Это уязвимости выполнения произвольного кода ESXi (CVE-2025-22224) и Kubernetes (CVE-2025-1974), а также разглашения информации в ESXi (CVE-2025-22226) и повреждения памяти ESXi (CVE-2025-22225).
Выводы
Как видно из списка, трендовые уязвимости первой половины 2025 года позволяют реализовывать следующие сценарии эксплуатации:
Фишинговые атаки с эксплуатацией уязвимостей стандартных компонентов Windows или архиваторе с эскалацией привилегий до уровня SYSTEM.
Атаки на системы, находящиеся на периметре, в том числе сетевые устройства.
Атаки на системы, находящиеся внутри инфраструктуры, в том числе системы виртуализации и системы, разработанные из программных компонентов с открытым исходным кодом.
Полный отчёт Vulristics, содержащий информацию о рассмотренных уязвимостях.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.
Александр Леонов
Ведущий эксперт PT Expert Security Center