10.10.2025 10:43
ptsecurity 0 196 Источник

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 3 трендовые уязвимости.

Уязвимости в продуктах Cisco ASA и Cisco FTD

Уязвимость в утилите sudo

  • Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo PT-2025-27466 (CVE-2025-32463)

Начнем. 

Уязвимости в продуктах Cisco ASA и Cisco FTD

Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN

? PT-2025-39421 (CVE-2025-20362; CVSS — 6,5; средний уровень опасности)

? PT-2025-39420 (CVE-2025-20333; CVSS — 9,9; критический уровень опасности)

Cisco ASA и FTD - одни из самых распространённых решений для защиты периметра и организации удалённого доступа к корпоративной инфраструктуре. 25 сентября для них вышли обновления, исправляющие цепочку уязвимостей для получения полного контроля над устройствами:

? Уязвимость CVE-2025-20362 позволяет неаутентифицированному злоумышленнику получить доступ к URL с ограниченным доступом.

? Уязвимость CVE-2025-20333 позволяет аутентифицированному злоумышленнику выполнить произвольный код от root-а.

? Cisco сообщают, что цепочка уязвимостей эксплуатируется в атаках с мая 2025 года. Атаки связаны с кампанией ArcaneDoor. В атаках используются малвари LINE VIPER и RayInitiator.

? Shadowserver показывает более 45000 уязвимых хостов, из них более 2000 в России.

Признаки эксплуатации: обе уязвимости активно используются хакерами в реальных атаках. GreyNoise предупредила о сканированиях, нацеленных на Cisco ASA, которые начались еще в конце августа. Как отмечает Cisco, с мая CVE-2025-20362 и CVE-2025-20333 совместно применяются в атаках на государственные учреждения, использующие Cisco ASA серии 5500-X без настроенных Secure Boot и Trust Anchor, для установки шпионского ПО и кражи конфиденциальных данных. По сообщениям Национального центра кибербезопасности Великобритании (NCSC), злоумышленники также распространяли ранее неизвестные семейства вредоносного ПО RayInitiator и LINE VIPER с помощью этих уязвимостей. Кроме того, агентство CISA добавило CVE-2025-20362 и CVE-2025-20333 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 30 сентября в интернете было доступно более 48 000 экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России.

Способы устранения описанных уязвимостей: Cisco выпустила обновления безопасности для устранения CVE-2025-20333 и CVE-2025-20362. Рекомендуется обновить затронутые системы до исправленных версий. Кроме того, киберагентства ACSC (Австралия), CERT-FR (Франция), CISA (США) и CSE (Канада) опубликовали дополнительные рекомендации для организаций, использующих Cisco ASA и Cisco FTD.

Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo

? PT-2025-27466 (CVE-2025-32463; CVSS — 9,3; критический уровень опасности)

Sudo — это утилита в Unix-подобных операционных системах, которая позволяет пользователю запускать программу с привилегиями другого пользователя, по умолчанию — суперпользователя (root).

? Уязвимость позволяет локальному злоумышленнику повысить свои привилегии, заставив sudo загрузить произвольную динамическую библиотеку, используя указанный через опцию -R (--chroot) корневой каталог. Злоумышленник может выполнять произвольные команды от root-а на системах, поддерживающих /etc/nsswitch.conf (Name Service Switch configuration file).

⚙️ Уязвимость была исправлена в версии sudo 1.9.17p1, вышедшей 30 июня 2025 года.

? В тот же день вышел write-up от исследователя Rich Mirch с PoC-ом эксплоита.

? Я отмечал устранение этой уязвимости Linux-вендорами в рамках июльского Linux Patch Wednesday. Для уязвимости было доступно множество публичных эксплоитов.

? 29 сентября уязвимость была добавлена в CISA KEV.

Признаки эксплуатации: CISA зафиксировало случаи эксплуатации уязвимости в реальных атаках и добавило ее в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: под угрозой эксплуатации уязвимости находятся все Linux-системы, на которых установлена утилита sudo версии от 1.9.14 до 1.9.17.

Способы устранения, компенсирующие меры: пользователям рекомендуется установить актуальные версии пакетов sudo.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.

Александр Леонов

Ведущий эксперт PT Expert Security Center

Комментарии (0)