02.09.2025 09:30
sea-team 0 252 Источник

Хабр, привет!

На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в августе 2025 года. В нём собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.

В августе было выделено три трендовые уязвимости:

Уязвимость RARLAB WinRAR

СVE-2025-8088 BDU:2025-09597Уязвимость удаленного выполнения кода через обход каталогов

Уровень критичности по оценке CVSS: 8.4

Вектор атаки: локальный

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости:

Данная уязвимость имеет много общего с ранее выявленной проблемой в WinRAR CVE-2025-6218, связанной с обходом ограничений на обработку путей.

Как отмечают исследователи ESET/Welivesecurity, атакующие используют механизм альтернативных потоков данных (ADSE) для обхода проверки корректности пути при распаковке архива.

Такой подход позволяет сформировать архив, в котором путь к файлам выходит за пределы целевой директории. При этом, если жертва откроет архив через графический интерфейс (например, встроенный просмотр WinRAR), она увидит только итоговый файл, без отображения полного пути. Это существенно упрощает задачу атакующему по маскировке вредоносного содержимого.

Помещение вредоносного содержимого возможно только в те каталоги, где у пользователя есть права на запись.

Для доставки архива и инициирования распаковки файлов пользователем, атакующий может применить методы социальной инженерии.

Статус эксплуатации уязвимости:

Присутствует публичный PoC эксплойта на GitHub. Исследователями ESET/Welivesecurity была зафиксирована фишинговая кампания RomCom, где эксплуатировалась данная уязвимость.

Возможные негативные сценарии:

  • Размещение вредоносного скрипта: например, файлов с расширением .bat в директории автозагрузки Windows. Это позволит выполнить произвольный код автоматически при следующем запуске системы.

  • Перезапись критически важных системных файлов: например, в каталоге C:\Windows\System32. Потенциально может привести к повышению привилегий или нарушению стабильной работы ОС при условии наличия у пользователя прав на работу с системными каталогами.

  • Распространение вредоносного ПО внутри корпоративной инфраструктуры. Вредоносные файлы могут включать программы-вымогатели, шифровальщики, шпионское ПО или бэкдоры, обеспечивающие длительный скрытый доступ к системе.

Рекомендации по устранению:

  • Обновите программное обеспечение до версии WinRAR 7.13 и выше.

  • Исследователи Vicarius предлагают обходной путь. Для снижения риска возможна настройка политики ограничения программного обеспечения (SRP) с настройками Image File Execution Options (IFEO) для блокировки выполнения файлов winrar.exe,  rar.exe и unrar.exe до обновления WinRAR до версии 7.13 или выше. Применяйте данный метод с осторожностью: возможны необратимые изменения в системе.

Уязвимость Citrix NetScaler

СVE-2025-7775 | BDU:2025-10349: Уязвимость в NetScaler ADC и NetScaler Gateway

Уровень критичности по оценке CVSS: 9.2

Вектор атаки: сетевой

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости:

Уязвимости связана с тем, что NetScaler ADC и NetScaler Gateway некорректно обрабатывают входящие HTTP(S)-запросы. Ошибка в обработке данных приводит к переполнению памяти.

Проблема проявляется ещё до прохождения аутентификации: атакующий достаточно отправить специально сформированный HTTP(S)-запрос на уязвимый виртуальный сервер. В результате переполнения возможны два сценария:

  1. Отказ в обслуживании (DoS), когда процесс аварийно завершается или уходит на перезагрузку.

  2. Удалённое выполнение кода (RCE).

В случае успешного RCE атакующий получает несанкционированный доступ к системе. Для закрепления на устройстве чаще всего используется загрузка веб-шелл и бэкдор.

Уязвимыми оказываются устройства при выполнении хотя бы одного из следующих условий конфигурации:

  • NetScaler настроен как Gateway совместно с VPN‑virtual-server, ICA Proxy, CVPN, RDP Proxy или как AAA virtual server;

  • Версии NetScaler ADC/Gateway 13.1, 14.1, 13.1‑FIPS или NDcPP с Load Balancing vServer (HTTP, SSL или HTTP_QUIC), связанный с IPv6‑службами;

  • Load Balancing vServer (HTTP, SSL или HTTP_QUIC), связанный с IPv6‑DBS‑службами или группами IPv6‑DBS‑серверов;

  • CR virtual server типа HDX.

Наши исследователи с помощью IoT-поисковых систем проанализировали доступные уязвимые в сети устройства NetScaler ADC/Gateway в РФ. На диаграмме отражены результаты поиска.

Следует отметить, что значительное число российских организаций продолжает использовать данный продукт.

Статус эксплуатации уязвимости:

Уязвимость активно эксплуатируется в природе, что подтверждает вендор Citrix и наличие уязвимости в базе CISA KEV

Возможные негативные сценарии:

  • Полная компрометация устройства: злоумышленник может получить полный доступ к информационной инфраструктуре.

  • Отказ в обслуживании (DoS): успешная эксплуатация может привести к нарушению доступности сервисов и сбоям в работе конечных устройств.

Рекомендации по устранению

  • Обновите NetScaler до версий: 14.1-47.48 / 13.1-59.22 / 13.1-37.241 (FIPS/NDcPP) / 12.1-55.330 (FIPS/NDcPP) и выше.

  • Для версий, которыйе являеются EoL: 12.1/13.0 необходимо предусмотреть процедуру миграции на более новые версии.

Стоит также отметить, что CISA добавила запись об уязвимости 26 августа 2025 с рекомендацией устранить уязвимость в кратчайшие сроки до 28 августа 2025.

По данным ShadowServer, в мире насчитывалось более 28 000 уязвимых устройств, доступных для потенциальных атак. К рекомендованному сроку их количество снизилось лишь на 6,5 тысячи.

Уязвимости Wing FTP Server

CVE-2025-47812 | BDU:2025-08471: Уязвимость обработки нулевого байта или символа NUL

Уровень критичности по оценке CVSS: 10.0

Вектор атаки: сетевой

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости:

Уязвимость связана с тем, что сервер некорректно обрабатывает нулевой байт - специальный символ, который в большинстве систем обозначает «конец строки» или «конец данных». Проблема проявляется в параметре имени пользователя, где этот символ не фильтруется. Дополнительно, Wing FTP Server использует небезопасный способ хранения данных пользовательских сессий (идентификаторы, cookies и прочее), которые сохраняются на сервере в виде файлов с расширением .lua.

Это открывает возможность для атаки: если отправить специально сформированный POST-запрос с нулевым байтом, атакующий может внедрить произвольный код в файлы сессий. Такая инъекция приводит к выполнению кода на стороне сервера (RCE - Remote Code Execution), что фактически означает полный контроль над системой.

Пример POST запроса

POST /loginok.html HTTP/1.1
Host: <host_ip>
Content-Length: 173
Cache-Control: max-age=0
Accept-Language: ru-RU,ru;q=0.9
Origin: http://<host_ip>
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: User-Agent
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://<host_ip>/login.html?lang=english
Accept-Encoding: gzip, deflate, br
Cookie: admin_lang=english; client_lang=english
Connection: keep-alive


username=anonymous%00<some_malicious_payload>

Опасность усугубляется тем, что по умолчанию сервер запускает файлы сессий с привилегиями суперпользователя (root на Linux, SYSTEM на Windows). По данным исследования RCE Security, уязвимости одинаково подвержены версии Wing FTP Server как для Windows, так и для Linux.

Эксперты R-Vision подтвердили, что для успешной эксплуатации атакующему необходимы учетные данные для входа на FTP-сервер. Особенно уязвимы конфигурации, где включена анонимная учетная запись (anonymous) - в этом случае подключиться может любой пользователь, и этого достаточно для запуска атаки. 

Анализ IoT поисковых систем показал, что в российском сегменте интернета в открытом доступе находится в районе 200 уязвимых устройств, в том числе относящиеся к коммерческим организациям и государственным бюджетным учреждениям. Большинство серверов остаются не обновлёнными, что увеличивает риск кибератак.

Статус эксплуатации уязвимости:

Присутствует публичные PoC эксплойта на GitHub. По данным специалистов компании Hunress, занимающейся кибербезопасностью, уже зафиксированы реальные попытки эксплуатации уязвимости.

Возможные негативные сценарии:

  • Полная компрометация сервера с привилегиями суперпользователя (root /SYSTEM).
     Это открывает злоумышленнику полный контроль над системой и возможность дальнейших атак.

  • Развертывание C2-инфраструктуры (командно-контрольных серверов) для удержания доступа и управления заражённой машиной.

  • Боковое перемещение внутри корпоративной сети - использование скомпрометированного сервера как точки входа для атак на другие системы.

  • Кража конфиденциальных данных, включая учетные записи, деловую переписку и внутренние документы.

  • Организация отказа в обслуживании (DoS) - умышленное выведение сервера или связанных сервисов из строя.

Рекомендации по устранению

  • Обновить Wing FTP Server до версии 7.4.4 и выше.

  • Отключить анонимного пользователя (anonymous).

Как защититься?

В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.

Следите за обновлениями и до встречи в следующем выпуске дайджеста!

Комментарии (0)