Сентябрьский «В тренде VM»: уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server / forpes.ru

Главная
Сентябрьский «В тренде VM»: уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Сентябрьский «В тренде VM»: уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server +3

16.09.2025 08:58

ptsecurity 0 251 Источник

Привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 8 трендовых уязвимостей.

Архиватор файлов WinRAR

Уязвимости, связанные с удаленным выполнением кода: PT-2025-26225 (CVE-2025-6218), PT-2025-32352 (CVE-2025-8088)

Платформа SAP NetWeaver

Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer: PT-2025-20812 (CVE-2025-42999)

Архиватор 7-Zip

Уязвимость, связанная с удаленным выполнением кода: PT-2025-32410 (CVE-2025-55188)

Продукты TrueConf

Уязвимости в платформе TrueConf Server: BDU:2025-10116, BDU:2025-10115, BDU:2025-10114

Пойдём по порядку.

Уязвимости в архиваторе файлов WinRAR

Уязвимости, связанные с удаленным выполнением кода

? PT-2025-26225 (CVE-2025-6218; оценка по CVSS — 7,8; высокий уровень опасности)

? PT-2025-32352 (CVE-2025-8088; оценка по CVSS — 8,8; высокий уровень опасности)

Специально сформированный путь к файлу внутри архива может привести к переходу процесса разархивирования в не предусмотренные каталоги (включая каталоги Startup ?), в результате чего распаковка архива приведёт к выполнению зловредного кода в контексте текущего пользователя.

? Уязвимость CVE-2025-6218 зарепортили вендору 5 июня. Уязвимость была исправлена 25 июня в версии 7.12. Через месяц, 30 июля, вышла версия 7.13, в которой была устранена уязвимость CVE-2025-8088 с таким же описанием.

? Публичный эксплойт для CVE-2025-6218 доступен на GitHub с 27 июня.

? 8 августа BiZone сообщили, что они наблюдали фишинговые атаки на российские организации с эксплуатацией CVE-2025-6218 и CVE-2025-8088 с начала июля. Атаки связывают с группировкой Paper Werewolf (GOFFEE). ESET также фиксировали атаки с эксплуатацией этих уязвимостей для установки бэкдоров группировки RomCom.

Признаки эксплуатации: по данным ESET Research, уязвимость CVE-2025-8088 использовалась в целевых фишинговых атаках группировки RomCom, которые затронули финансовые, производственные, оборонные и логистические компании в Канаде и Европе. Аналитики из BI.ZONE также обнаружили фишинговые атаки, нацеленные на российские организации, в которых эксплуатировалась уязвимость CVE-2025-6218. Кроме того, агентство CISA добавило CVE-2025-8088 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе опубликованы PoC для CVE-2025-6218 и CVE-2025-8088.

Количество потенциальных жертв: с момента своего выхода программа была загружена более 500 миллионов раз. Все устройства под управлением Windows с версиями WinRAR ниже 7.13 потенциально уязвимы.

Способ устранения описанных уязвимостей: поскольку WinRAR не имеет функции автоматического обновления, разработчики рекомендуют вручную загрузить и установить исправленную версию WinRAR 7.13.

Уязвимости в платформе SAP NetWeaver

? PT-2025-20812 (CVE-2025-42999, CVSS — 9,1)

? PT-2025-17845 (CVE-2025-31324, CVSS — 10,0)

SAP NetWeaver — базовая платформа SAP для запуска приложений и интеграции систем. Уязвимости были найдены в её компоненте Visual Composer — веб-среде для моделирования бизнес-приложений. Отсутствие проверки авторизации (CVE-2025-31324) и небезопасная десериализация (CVE-2025-42999) позволяют неаутентифицированным злоумышленникам добиваться удалённого выполнения кода и захватывать системы, данные и процессы SAP.

? Уязвимости были устранены SAP в апреле и мае 2025 года.

? 13 мая исследователи Onapsis сообщили, что эксплуатация CVE-2025-31324 началась ещё 10 февраля.

? Уязвимости добавили в CISA KEV 29 апреля и 15 мая. PoC-и эксплойтов для CVE-2025-31324 начали появляться на GitHub с конца апреля. Но публичный боевой эксплойт, использующий ещё и CVE-2025-42999, появился, по сообщению Onapsis, 15 августа.

? По оценкам, продукты SAP всё ещё используют около 2000 российских организаций.

Признаки эксплуатации: Onapsis отмечает, что обе уязвимости активно эксплуатируются в реальных атаках. Кроме того, CVE-2025-42999 и CVE-2025-31324 были добавлены в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: существует эксплойт, использующий обе уязвимости и позволяющий добиться удаленного выполнения кода без прохождения аутентификации.

Количество потенциальных жертв: по оценкам ИТ-интегратора «Т1 Интеграция», около 2000 российских организаций продолжают использовать программные продукты SAP.

Способ устранения описанных уязвимостей: установить обновления безопасности на уязвимые устройства. Кроме того, компании Onapsis и Mandiant совместно выпустили инструмент с открытым исходным кодом, с помощью которого пользователи SAP NetWeaver могут просканировать свои системы на наличие уязвимостей CVE-2025-31324 и CVE-2025-42999

Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip

? PT-2025-32410 (CVE-2025-55188, CVSS — 3,6)

7-Zip — популярный архиватор с открытым исходным кодом. Это Windows-приложение, но в рамках проекта предоставляются также консольные версии под Linux и macOS. Суть уязвимости: 7-Zip некорректно обрабатывает символьные ссылки и поэтому при извлечении специально подготовленного архива может перезаписывать произвольные файлы вне каталога распаковки. Похоже на WinRAR, да? ?

? В основном это эксплуатируется в Linux. Злоумышленники могут перезаписывать SSH-ключи, автозапускаемые скрипты и т. д.

? Эксплуатация возможна и в Windows, но процесс распаковки 7-Zip должен иметь право создавать симлинки (требуется запуск от администратора или Developer Mode). ?

? Уязвимость устранена в 7-Zip 25.01, вышедшем 3 августа.

? 9 августа исследователь lunbun разослал сообщение с описанием уязвимости, а 28 августа выложил write-up. PoC- и эксплоитов доступны на GitHub с 11 августа.

? Признаков эксплуатации вживую пока нет.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: по данным платформы SourceForge, скачано около 430 миллионов копий программы. Все устройства, на которых установлены версии ниже 7-Zip 25.01, потенциально уязвимы.

Способы устранения, компенсирующие меры: пользователям рекомендуется обновить программу до версии 25.01, в которой уязвимость была исправлена.

Уязвимости, связанные с удаленным выполнением кода, в платформе для проведения видеоконференций TrueConf Server

? ?? BDU:2025-10116, BDU:2025-10115, BDU:2025-10114

TrueConf Server — популярный российский корпоративный мессенджер и ВКС-система. Цепочка критических уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым:

? Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа и позволяет злоумышленнику делать запросы к некоторым административным эндпоинтам без проверки прав и аутентификации.

? Уязвимость BDU:2025-10115 позволяет злоумышленнику осуществить чтение произвольных файлов в системе.

? Самая критичная — BDU:2025-10116 позволяет потенциальному злоумышленнику внедрить и выполнить произвольные команды ОС.

? Обновления безопасности вышли 27 августа 2025 года.

? Признаков эксплуатации вживую и публичных эксплоитов пока нет.

? По данным Positive Technologies, только в России насчитывается более 7000 инсталляций TrueConf Server. TrueConf Server, как правило, доступен из Интернет и поэтому эти уязвимости могут быть использованы для получения первоначального доступа к внутренней инфраструктуре организаций.

Признаки эксплуатации: случаи эксплуатации уязвимостей не выявлены.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Количество потенциальн��х жертв: по данным мониторинга актуальных угроз Positive Technologies, только в России на момент публикации информации об уязвимостях было обнаружено более 7000 серверов, подверженных угрозе. Потенциально уязвимы все версии TrueConf Server, кроме 5.5.1, 5.4.6, 5.3.7, установленные на любых операционных системах. При этом атака становится возможной, если уязвимая система расположена во внешнем периметре и доступна из публичной сети.

Способы устранения, компенсирующие меры: пользователям рекомендуется обновить TrueConf Server до версий 5.5.1, 5.4.6 и 5.3.7, в которых уязвимости были полностью устранены.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.

Александр Леонов

Ведущий эксперт PT Expert Security Center