Хабр, привет!
Вендоры и исследователи по кибербезопасности традиционно не спешат раскрывать технические детали уязвимостей сразу после их обнаружения. Причина в том, что публикация рабочего PoC (proof of concept) резко повышает вероятность массовой эксплуатации. Компании предпочитают выиграть время, чтобы пользователи успели установить обновления, и только после этого публикуют подробные отчёты.
Однако даже без раскрытия PoC можно определить уязвимости, которые представляют реальную опасность и требуют оперативной реакции.
Аналитики R-Vision регулярно отслеживают новые уязвимости, оценивают их критичность и подбирают практические рекомендации по защите. В сентябре мы выделили несколько CVE, которые уже эксплуатируются или могут представлять серьёзную угрозу.
В дайджест трендовых уязвимостей за сентябрь вошли:
Cisco: CVE-2025-20363, CVE-2025-20362, CVE-2025-20333, CVE-2025-20352
Chromium: CVE-2025-10585
PostgreSQL: CVE-2025-8714
Разбираем, чем опасны эти уязвимости и как минимизировать риски.
Множественные уязвимости Cisco
CVE-2025-20363 | BDU:2025-11752: Уязвимость удалённого выполнения кода в Cisco ASA, FTD, IOS, IOS XE и IOS XR
Уровень критичности по оценке CVSS: 9
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости
Уязвимость обнаружена в Cisco Adaptive Security Appliance (ASA), Cisco Firepower Threat Defense (FTD), а также в операционных системах IOS, IOS XE и 32-битной версии IOS XR. Проблема вызвана некорректной валидацией пользовательского ввода в HTTP-запросах, направляемых в веб-интерфейс управления или SSL VPN-порталу. Это позволяет атакующему отправить специально сформированный HTTP-запрос, который вызывает переполнение буфера и приводит к выполнению произвольного кода с привилегиями root (на ASA/FTD) или с правами суперпользователя (на IOS/IOS XE/IOS XR).
Для эксплуатации уязвимости необходимо, чтобы были включены следующие службы:
на устройствах ASA и FTD достаточно наличия веб-интерфейса управления или SSL VPN-портала (аутентификация не требуется);
на операционных системах IOS, IOS XE и IOS XR требуется аутентификация с минимальными привилегиями (обычный пользователь) при условии, что активированы функции Remote Access SSL VPN (для IOS/IOS XE) или HTTP-сервер на маршрутизаторах ASR 9001 с ОС на базе QNX (для IOS XR).
По данным ShadowServer, в России насчитывается более 2000 уязвимых устройств: Cisco ASA и Cisco FTD, доступных для потенциальных атак. Стоит отметить, что данная статистика применима и для двух других уязвимостей Cisco, о которых мы расскажем ниже (CVE-2025-20333 и CVE-2025-20362).
Статус эксплуатации уязвимости:
На момент публикации Cisco не зафиксировано публичных эксплойтов или подтверждённых случаев эксплуатации. Однако, как отмечают эксперты, данная уязвимость имеет высокий риск эксплуатации в «дикой природе».
Возможные негативные сценарии:
Успешная эксплуатация может привести к полной компрометации устройства, выполнению произвольного кода, краже данных или установке вредоносного ПО.
Рекомендации по устранению:
Обновите все затронутые устройства до последних версий программного обеспечения.
Определить необходимую версию для вашего устройства и ветки ПО можно с помощью официального инструмента Cisco Software Checker.
CVE-2025-20362 | BDU:2025-11751: Уязвимость в веб-сервере VPN
Уровень критичности по оценке CVSS: 6.5
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости
Уязвимость выявлена в веб-сервере VPN, используемом в продуктах Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD). Эксплуатация данной уязвимости позволяет удалённо без аутентификации получить доступ к ряду закрытых URL-ресурсов, которые в штатной конфигурации должны быть недоступны без ввода учётных данных. Это создаёт риск несанкционированного доступа к ресурсам устройства и дальнейшего негативного воздействия на защищаемую сеть.
Уязвимость зафиксирована в реальных инцидентах и используется как начальная точка входа в инфраструктуру, что может привести к разглашению конфиденциальной информации, несанкционированным изменениям конфигурации и дальнейшему распространению угрозы внутри сети. Однако в рассматриваемом инциденте признаков горизонтального перемещения (дальнейшего продвижения по внутренним системам) не выявлено: атакующие, по всей видимости, сосредоточились на шпионаже и извлечении данных с пограничных устройств и не использовали скомпрометированные ASA/FTD для углублённого проникновения в сеть.
Описание цепочки эксплуатации
В реальных инцидентах атакующие первично эксплуатируют уязвимость CVE-2025-20362 в веб-сервере VPN продуктов Cisco (ASA/FTD). Эксплуатация этой уязвимости даёт неаутентифицированный доступ к защищённым устройствам. Полученный доступ затем используют для дальнейшей эксплуатации уязвимости CVE-2025-20333 (поскольку для CVE-2025-20333 требуется аутентификация, которую атакующие получают через CVE-2025-20362).
После получения доступа атакующие загружают и запускают вредоносный payload, выполняющий сбор данных и их эксфильтрацию. В отдельных кампаниях наблюдалась также установка дополнительных бэкдоров и внедрение мер для сохранения доступа — вплоть до изменения прошивки и подавления логирования.
Зафиксировано распространение ранее незадокументированных вредоносов семейства RayInitiator и LINE VIPER.
RayInitiator представляет собой GRUB-буткит, устойчивый к перезагрузкам и обновлениям ПО, используемый для установки дополнительных вредоносных модулей, выполнения команд и вывода данных со скомпрометированных устройств.
LINE VIPER — шеллкод-загрузчик, способный выполнять CLI-команды, перехватывать пакеты, обходить механизмы аутентификации/авторизации/учёта (AAA) VPN для устройств, подавлять системные журналы, собирать пользовательские команды CLI и инициировать отложенную принудительную перезагрузку.
Атаки были направлены в первую очередь на устаревшие модели Cisco ASA 5500-X (включая 5512-X, 5515-X, 5525-X, 5545-X, 5555-X и 5585-X) с версиями ПО ASA 9.12 или 9.14 и активными веб-сервисами VPN. Целевые устройства, срок службы которых истекал или истёк 30 сентября 2025 года, не имели защиты от несанкционированного доступа к прошивке, что делало возможными манипуляции с прошивкой и повышало риск долгосрочной компрометации.
Потенциальная реализация атаки
Разведка — массовое сканирование публично доступных интерфейсов ASA/FTD.
Первоначальный доступ к защищённым устройствам — эксплуатация CVE-2025-20362.
Получение прав суперпользователя и удалённое исполнение кода — эксплуатация CVE-2025-20333.
Сохранение устойчивого присутствие вредоносных программ — модификация ROMMON (ROM Monitor).
CVE-2025-20333 | BDU:2025-11706: Уязвимость удалённого выполнения кода в веб-сервере VPN
Уровень критичности по оценке CVSS: 9.9
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости
Данная уязвимость также касается продуктов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD) при включённом на них веб-сервере VPN. Эксплуатация происходит за счёт отправки специально подготовленного HTTP-запроса на уязвимую конечную точку. Запрос вызывает ошибку переполнения буфера (CWE-120), что позволяет добиться удалённого выполнения кода с правами суперпользователя. Это может привести к компрометации всего устройства. Для успешного применения эксплойта необходимо иметь действительные учетные данные пользователя VPN; атакующий может обойти эту преграду с помощью эксплуатации уязвимости CVE-2025-20362.
На момент обнаружения уязвимости, по данным сервиса Shodan, в российском сегменте интернета было обнаружено 3165 потенциально уязвимых конченых устройств Cisco ASA, действующих как шлюзы на базе технологии SSL-VPN. Анализ организаций, к которым относятся найденные устройства, показал, что средни низ — компании из банковской сферы, хостинг-провадйеры, промышленный сектор, фармацевтические организации и ИТ-компании.
Статус эксплуатации уязвимости:
Эксплуатация уязвимости была зафиксирована в реальных атаках в связке с CVE-2025-20362. Обе уязвимости занесены 25 сентября 2025 года в CISA KEV со сроком закрытия 26 сентября.
Возможные негативные сценарии:
Атакующий, успешно проведя эксплуатацию данной уязвимости может, добиться компрометации всего устройства. Поскольку ASA и FTD, настроенные как шлюзы VPN, являются критически важными для работы и безопасности информационной инфраструктуры организации, компрометация может привести к серьёзным последствиям. Атакующие смогут:
перехватить и прослушивать трафик, входящий и исходящий через сетевой периметр организации;
использовать шлюз как точку входа и посредством бокового перемещения продвигаться дальше вглубь сети организации;
вызвать отказ в обслуживании, что может нарушить рабочие процессы.
Что связывает эти три уязвимости?
Хотя явных подтверждений нет, Cisco предполагает связь новой цепочки атак со старой компанией ArcaneDoor. По данным Cisco Talos, за кампанией ArcaneDoor стоит опытная хакерская группировка UAT4356 (STORM-1849), предположительно связанная с Китаем.
Эксперты отмечают, что ArcaneDoor — шпионская кампания, нацеленная на «периметральные» сетевые устройства (фаерволы), что позволяло атакующим получать доступ к внутренним ресурсам организаций.
Хакерская группировка UAT4356 | |
Другие имена |
STORM-1849 (Microsoft Threat Intelligence) |
Дата создания |
2023 год |
Цели |
Государственные учреждения по всему миру |
Известные кампании |
ArcaneDoor (июль 2023 – апрель 2024) |
Инструменты/методы |
Использование собственных бэкдоров: Line Runner и Line Dancer; применение анти-форензики, модификация конфигураций, сбор и эксфильтрация сетевого трафика, шпионаж |
Происхождение |
Считается, что группа имеет тесные связи с Китаем |
В ходе расследования Cisco подтвердили случаи успешной компрометации устройств Cisco ASA серии 5500-X (включая модели 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X), в версиях 9.12 или 9.14 с включенными веб-сервисами VPN, которые не поддерживают технологии Secure Boot и Trust Anchor. За подробными рекомендациями по обнаружению, проверкам и первичным действиям при подозрении на компрометацию смотрите официальный документ и руководство по обнаружению от Cisco.
Ранее за этой же группировкой отмечались похожие атаки. Так, в 2024 году UAT4356 воспользовалась двумя уязвимостями в Cisco ASA (CVE-2024-20353 и CVE-2024-20359) для установки бэкдоров: Line Runner и Line Dancer.
С помощью этих бэкдоров хакеры могли модифицировать конфигурации устройств, перехватывать и эксфильтровать сетевой трафик, а также распространяться внутри инфраструктуры организации.
Рекомендации по устранению
На момент публикации данные уязвимости затрагивали устройства Cisco, если на них была установлена уязвимая версия программного обеспечения Cisco Secure Firewall ASA или Cisco Secure FTD Software и была включена одна или несколько уязвимых конфигураций, перечисленных в следующих двух таблицах.
Cisco Secure Firewall ASA Software Feature |
Possible Vulnerable Configuration |
AnyConnect IKEv2 Remote Access (with client services) |
crypto ikev2 enable <interface name> client-services port <port_numbers> |
Mobile User Security (MUS) |
webvpn |
|
SSL VPN |
webvpn |
Cisco Secure FTD Software Feature |
Possible Vulnerable Configuration |
AnyConnect IKEv2 Remote Access (with client services) |
crypto ikev2 enable <interface_name> client-services port <port_number> |
AnyConnect SSL VPN |
webvpn |
Для устранения уязвимостей
Обновите программное обеспечение до версий, рекомендованных вендором.
Отключить на уязвимых устройствах все веб-сервисы VPN на базе SSL/TLS. Это включает в себя отключение клиентских сервисов IKEv2, обеспечивающих обновление программного обеспечения и профилей конечных точек клиентов, а также всех сервисов SSL VPN.
CVE-2025-20352 | BDU:2025-12385: Уязвимость переполнения стека в SNMP-подсистеме Cisco IOS и IOS XE
Уровень критичности по оценке CVSS: 7.7
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости
Уязвимость выявлена в подсистеме протокола SNMP на устройствах Cisco IOS и IOS XE. В зависимости от уровня доступа атакующего возможны два сценария:
При наличии только read-only SNMP-строки (SNMPv1/v2c) или валидных SNMPv3-учётных данных обычного пользователя атакующий может вызвать отказ в обслуживании (DoS).
При наличии привилегированных учётных данных (например, SNMPv3 с администраторскими правами) атакующий может выполнить произвольный код на уровне root и получить полный контроль над устройством.
Уязвимость затрагивает все версии затронутых ОС и эксплуатируется при отправке специально созданного пакета на UDP-порт 161. Следует учитывать, что read-only community strings нередко публикуются в открытом доступе (например, в баннерах, видимых через IoT-поисковики и OSINT-инструменты).
Статус эксплуатации уязвимости:
Уязвимость уже используется в реальных атаках. Cisco PSIRT подтвердил успешную эксплуатацию после компрометации административных учётных данных SNMP. 29 сентября 2025 г. CISA внесла уязвимость в каталог известных эксплуатируемых (KEV), установив срок устранения до 20 октября 2025 года.
Возможные негативные сценарии:
Отказ в обслуживании (DoS): атакующий может перезагрузить уязвимое устройство.
Удалённое выполнение кода (RCE): атакующий с административными SNMP-данными может запустить код с правами root, получив полный контроль над устройством.
Рекомендации по устранению:
Обновите все затронутые устройства до последних версий программного обеспечения.
Определить необходимую версию для вашего устройства и ветки ПО можно с помощью официального инструмента Cisco Software Checker.
Компенсирующие меры:
Разрешать доступ к SNMP только доверенным пользователям и хостам.
Настроить мониторинг затронутых систем командой:
show snmp host |
Отключите затронутые OID через snmp-server view и примените настройки к SNMP community или SNMPv3-группе.
Уязвимость Chromium
CVE-2025-10585 | BDU:2025-11457: Ошибка type confusion в V8
Уровень критичности по оценке CVSS: 8.8
Вектор атаки: удаленный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости
В движке выполнения JavaScript V8 присутствует уязвимость класса Type Confusion при обработке специального подготовленного контента (JS/HTML). В результате JIT-компилятор генерирует обращения к памяти по неверным смещениям, что приводит к повреждению кучи (heap corruption) и ошибкам чтения/записи памяти. Эксплуатация уязвимости может привести к удалённому выполнению кода (RCE) в процессе рендерера.
RCE в процессе рендерера обычно остаётся в пределах песочницы. Для выхода за её пределы (доступ к файловой системе, запуск внешних процессов, повышение привилегий) атакующему потребуется дополнительная эксплуатация уязвимостей в подсистемах браузера — например, в механизме межпроцессного взаимодействия Mojo (IPC) или валидации дескрипторов безопасности.
CVE-2025-2783 - уязвимость в компонентах Mojo (IPC), исправленная весной 2025 года. Публичные записи указывают, что в ряде сценариев её эксплуатация может привести к выходу из песочницы. С учётом текущих тенденций стоит повысить приоритет мониторинга и обновлений.
Статус эксплуатации уязвимости:
Google не раскрывает технические детали эксплуатации, но заявляет, что эксплойт «существует в природе».
Возможные негативные сценарии:
Эксплуатация CVE-2025-10585 может привести к удалённому выполнению кода в процессе рендерера, внутри песочницы. При определённых условиях не исключается выход из песочницы и повышение привилегий, однако официальные детали не раскрываются.
Рекомендации по устранению
Обновите браузеры на базе Chromium до версий:
140.0.7339.185/.186 — для Windows/Mac
140.0.7339.185 — для Linux
Уязвимость PostgreSQL
CVE-2025-8714 | BDU:2025-09829: Уязвимость удаленного выполнения кода в psql
Уровень критичности по оценке CVSS: 8.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость связана с тем, как PostgreSQL генерирует и обрабатывает дампы баз данных в текстовом формате с помощью метакоманд pg_dumpall и pg_dump. В такие дампы может быть внедрён вредоносный код, который будет исполнен во время восстановления дампа от имени учётной записи операционной системы, где запущен psql.
Для успешной эксплуатации атакующий может использовать несколько векторов атаки. В первом варианте необходимо подготовить вредоносный дамп и методом социальной инженерии вынудить администратора СУБД использовать его для восстановления. Во втором варианте, если атакующий уже проник в систему, он может изменить существующие текстовые дампы, добавив произвольный код Bash или PowerShell (в зависимости от ОС, где установлен PostgreSQL). Такой «спящий» вредонос может долго оставаться незаметным и активироваться только при восстановлении данных.
Статус эксплуатации уязвимости:
Присутствует публичный PoC эксплойта на GitHub. На момент анализа упоминаний о фактических атаках не зафиксировано, однако, уязвимость может быть легко проэксплуатирована.
Возможные негативные сценарии:
Удалённое выполнение произвольного кода на машине, где расположена СУБД PostgreSQL, что может привести к компрометации хоста. Если восстановление дампов автоматизировано (например, в целях резервного копирования), внедрение вредоносного кода в дампы может привести к компрометации значительной части инфраструктуры.
Рекомендации по устранению
Обновите PostgreSQL до версий 17.6, 16.10, 15.14, 14.19 или 13.22.
Не используйте дампы в формате обычного текста, отдавайте предпочтение pg_dump -Fc в сочетании с pg_restore. Данная команда создает дамп в виде бинарного файла, а не текстового, что делает невозможным инъекцию кода.
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Следите за обновлениями и до встречи в следующем выпуске дайджеста!