Хабр, привет!
Мы проанализировали широкий спектр уязвимостей за октябрь 2025 и собрали в дайджест те уязвимости, которые представляют наибольшую опасность — по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.
В выпуск вошли:
CVE-2025-59287 - Windows Server Update Services
CVE-2025-59230 - Microsoft Windows
CVE-2025-49844 - Redis
CVE-2025-61882 - Oracle E-Business Suite
CVE-2025-41244 - Vmware Tools
Разбираем, чем опасны эти уязвимости и как минимизировать риски.
Множественные уязвимости в Microsoft
CVE-2025-59287 | BDU:2025-12999: Уязвимость удаленного выполнения кода в WSUS
Уровень критичности по оценке CVSS: 9.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Критическая уязвимость удалённого выполнения кода (RCE) была обнаружена в службе Windows Server Update Services (WSUS) на серверах Windows Server.
Удалённый атакующий может отправить специально сформированный SOAP-запрос, в котором вредоносный пейлоад передается через параметр Authorization Cookie. После расшифровки содержимое параметра десериализуется как доверенный объект. В результате происходит выполнение произвольного кода на уязвимом сервере с привилегиями локальной системы (учётная запись SYSTEM). Для успешной атаки не требуются учётные данные или взаимодействие с пользователями системы.
Как отмечают эксперты, уязвимость затрагивает только серверы, на которых включена роль сервера WSUS. По умолчанию эта функция отключена.
Статус эксплуатации уязвимости:
Первоначальный патч Microsoft, выпущенный 14 октября, не полностью устранил уязвимость. В связи с этим 23 октября компания выпустила экстренное обновление. После его публикации началась активная эксплуатация уязвимости в «дикой природе». Уже 24 октября зафиксированы массовые сканирования сети на наличие уязвимых WSUS-серверов и попытки их компрометации.
Телеметрия от Eye Security фиксирует, что с IP-адреса ???.???.???[.]??? поступают вредоносные запросы, связанные с попытками сканирования и эксплуатации уязвимости. В ходе сканирования было выявлено около 2500 серверов WSUS, которые по-прежнему уязвимы по всему миру.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 24 октября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 14 ноября текущего года.
По данным Shadow Server c 25 по 28 октября количество открытых в сети WSUS-серверов, которые потенциально доступны для атаки, сократилось примерно на 80%.
В России показатель снизился с 59 до 14, что подтверждает актуальность угрозы в регионе.
Возможные негативные сценарии:
Выполнение произвольного кода с системными привилегиями на уязвимых серверах удалённым неаутентифицированным атакующим.
Рекомендации по устранению
23 октября вендор выпустил внеплановое обновление безопасности, рекомендуется как можно скорее установить его на все затронутые продукты.
Компенсирующие меры:
Отключите роль сервера WSUS на сервере;
Заблокируйте TCP-порты 8530 и 8531 на брандмауэре, чтобы предотвратить удалённый доступ к WSUS.
CVE-2025-59230 | BDU:2025-12964: Уязвимость повышения привилегий в Windows Remote Access Connection Manager
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость связана с компонентом Windows Remote Access Connection. Эксплуатация возможна только при локальном доступе к системе и не требует взаимодействия с пользователем. В случае успешной атаки атакующий получает привилегии уровня SYSTEM, что может привести к нарушению конфиденциальности, целостности и доступности уязвимых систем Windows.
Компонент Windows Remote Access Connection запускается как LocalSystem в составе процесса svchost.exe (основной процесс для загрузки служб операционной системы Windows). Один из его экспортируемых IPC-интерфейсов обрабатывает запросы от локальных пользователей с низкими привилегиями, что и позволяет атакующему при наличии локального доступа к системе добиться повышения прав.
Microsoft не раскрывает деталей, но по оценке исследователей потенциальными векторами эксплуатации могут являться:
Mодификация реестра Windows;
Внедрение DLL в процессы RasMan;
Перезапись файлов в каталоге RasMan для внедрения вредоносного кода.
После размещения вредоносного кода перезапуск службы RasMan приводит к выполнению этого кода с привилегиями SYSTEM.
Статус эксплуатации уязвимости:
С января 2022 года, включая CVE-2025-59230, было зарегистрировано 22 уязвимости в службе диспетчера подключений удаленного доступа Windows (RasMan). Это первая зарегистрированная CVE RasMan, которая используется в качестве уязвимости нулевого дня.
Вендор заявляет об эксплуатации уязвимости, также она была добавлена в каталог известных эксплуатируемых уязвимостей (KEV).
Возможные негативные сценарии:
Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учётных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.
Рекомендации по устранению
Необходимо установить официальное обновления безопасности, устраняющие уязвимость CVE-2025-59230. Соответствующие исправления опубликованы на официальной странице вендора. Рекомендуется применить обновления и убедиться в успешной установке патча на всех уязвимых системах.
Уязвимость Redis
CVE-2025-49844 | BDU:2025-12553: Уязвимость удаленного выполнения кода в Redis
Уровень критичности по оценке CVSS: 9.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Исследователи обнаружили критическую уязвимость в Redis, получившую название RediShell. Она связана с ошибкой использования памяти после освобождения (Use-After-Free, UAF) и может привести к удалённому выполнению кода (RCE). По данным исследователей, дефект присутствовал в исходном коде Redis около 13 лет. Уязвимость позволяет злоумышленнику отправить специально сформированный вредоносный Lua-скрипт, выйти из изолированной среды Lua и выполнить произвольный код на хосте, где запущен Redis.
По умолчанию в Redis возможно выполнение произвольных скриптов Lua с помощью встроенных команд EVAL и EVALSHA. В уязвимых версиях Redis при выполнении таких скриптов возможно возникновение ошибки UAF, что позволяет атакующему выйти за пределы песочницы базы данных и выполнять произвольный код на машине, где размещена конечная точка.
Отправка вредоносных скриптов в Redis требует аутентификации, но в официальных контейнерных образах она по умолчанию отключена. Поскольку Redis часто разворачивают в контейнерных средах, такая ненадлежащая конфигурация заметно расширяет поверхность атаки.
Как сообщает команда исследователей Wiz, в интернете в открытом доступе находится 330 000 активов Redis, из ниx 60 000 не требуют аутентификации для подключения. В российском сегменте сети, по данным Shodan и Fofa за октябрь, было обнаружено 3 500 и 14 000 доступных сервисов соответственно – большинство из которых остаются уязвимыми.
Статус эксплуатации уязвимости:
Присутствует публичный PoC эксплойта на GitHub. На момент анализа фактических атаках не зафиксировано, однако наличие большого числа конечных устройств Redis без аутентификации повышает риск масштабной эксплуатации.
Возможные негативные сценарии:
Удаленное выполнение кода, которое может привести к компрометации уязвимого сервера. Это возможно с помощью отправки обратной оболочки для установки соединения с C2 инфраструктурой атакующего. В дальнейшем, закрепившись, атакующие могут дальше проводить горизонтальное перемещение или провести кражу конфиденциальной информации.
Рекомендации по устранению
Обновите Redis до версии 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2 или выше;
Необходимо включить аутентификацию на сервере Redis если она раньше не была включена;
До установки патча рекомендуется временно ограничить выполнение Lua-скриптов, добавив правила в ACL для блокировки команд EVAL и EVALSHA, а также обеспечить, чтобы доступ имели только доверенные пользователи.
Уязвимость Oracle E-Business Suite
CVE-2025-61882 | BDU:2025-12468: Уязвимость удаленного выполнения кода в Oracle E-Business Suite
Уровень критичности по оценке CVSS: 9.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Данная уязвимость представляет собой последовательность эксплуатации из нескольких зависимых друг от друга недостатков Oracle E-Business Suite. Конечным результатом цепочки является удалённое выполнения кода на целевой системе. Критичность повышается тем, что для успешной эксплуатации не требуется аутентификация на сервере.
Согласно исследованию WatchTower, последовательность эксплуатации включает следующие этапы:
1. SSRF - подделка запросов на стороне сервера из-за некорректной работы с Java- сервлетами;
2. CRLF-инъекция для изменения внутреннего HTTP-запроса, чтобы создать keep-alive соединение необходимое для успешной эксплуатации;
3. Обход аутентификации с помощью path traversal;
4. Использование уязвимости в XSL Transformation (XSLT) для удаленного выполнения кода.
Схема по эксплуатации представлена ниже:
Несмотря на нетривиальную техническую часть, сама эксплуатация при подготовленной полезной нагрузке не требует от атакующего значительных технических навыках. Во-первых, нужно подготовить свой веб-сервер где будет лежать полезная нагрузка в виде XSL документа для выполнения кода (например обратной оболочки).
Затем атакующий должен отправить специально сконструированный HTTP-запрос, который вынудит сервер жертвы обратиться с серверу атакующего и скачать для обработки вредоносный документ и спровоцировать RCE.
Oracle E-Business Suite является ERP системой, и должна располагаться в закрытом контурепо. Несмотря на это в российском сегменте сети было обнаружено несколько уязвимых конечных точек OEBS в открытом доступе.
Также до 2022 года Oracle E-Business Suite сравнительно часто использовался для автоматизации бизнес-процессов в российских компаниях, особенно крупных. Несмотря на уход Oracle с российского рынка и импортозамещение, еще могут оставаться экземпляры OEBS в связи со сложностью перехода на альтернативные ERP системы.
Статус эксплуатации уязвимости:
Как сообщила Oracle, в ходе расследования инцидентов были зафиксированы следы эксплуатации данной уязвимости. Есть также подтверждение со стороны Google Threat Intelligence Group, в которой сообщалось, что эксплойт для данной CVE используется в программе шифровальщике Cl0p.
Данный шифровальщик был обнаружен специалистами в области кибербезопасности в феврале 2019 года в ходе расследования крупной целевой фишинговой атаки. Исследователи из Лаборатории Касперского связали данное вредоносное программное обеспечение с преступными группировками TA505 и FIN11, и то что оно распространяется по модели программа-вымогатель как услуга» (ransomware-as-a-service, RaaS). Атакующие, согласно сообщениям той же Google Threat Intelligence Group, группа отправляла требования о выкупе через взломанные учетные записи электронной почты, утверждая, что они украли конфиденциальные данные из систем Oracle EBS.
Возобновленная активность вредоносной компании зафиксирована с конца сентября по начало октября 2025 года.
Также TI группа CrowdStrike предполагает, что эксплуатация данной уязвимости, является часть атак APT группировки Graceful Spider (по терминологии CrowdStrike), с финансовой мотивацией.
Есть PoC эксплойта в открытом доступе.
Возможные негативные сценарии:
Удаленное выполнение кода, которое может привести к компрометации уязвимого сервера атакующими. Так как Oracle E-Business Suite это ERP система, которая нужна для автоматизации бизнес-процессов, то ее захват атакующими может повлечь критические последствия, начиная с кражи конфиденциальной информации и заканчивая остановкой работы организации.
Рекомендации по устранению
Обновите Oracle E-Business Suite до версии 12.2.15 или выше.
Уязвимость VMware Tools
CVE-2025-41244 | BDU:2025-12421: Уязвимость повышения привилегий в VMware Tools и VMware Aria Operations
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Проблема затрагивает облачные инфраструктуры, где VMware Aria Operations собирает расширенные данные с Linux-виртуальных машин с включённым параметром credential-less service discovery». При такой настройке сбор выполняется агентами через VMware Tools/Open VM Tools и не требует учётных данных, что повышает риск при неправильной конфигурации.
Как выяснили исследователи из NVISO, VMware Tools/Open VM Tools собирает информацию о сервисах с помощью bash скрипта, который с определенной периодичностью запускается самим VMware Aria Operations. Данный скрипт для поиска сервисов на машине использует команду для поиска запущенных процессов с заданным паттерном. Паттерн настроен на поиск таких сервисов как httpd или apache.
Далее скрипт находит их исполняемые файлы и выполняет их в контексте текущего процесса Vmware Tools для получения версий.
Уязвимость заключается в том, что процесс не учитывает расположение файлов (CWE-426). Пользователь с правами на запись и запуск в доступных ему директориях может создать вредоносный исполняемый файл, название которого соответствует регулярному выражению в скрипте (например /tmp/httpd). После этого атакующий должен запустить его в ожидающем состоянии, как отдельный процесс. Когда VMware Tools начнет собирать информацию о процессах, то он сам найдет и выполнит вредоносный файл в контексте своего процесса. Так как VMware Tools работает с привилегиями суперпользователя, то вредоносный код выполнится с правами root.
Статус эксплуатации уязвимости:
По данным NVISO данная CVE эксплуатировалась ранее как уязвимость нулевого дня в середине октября 2024 года, китайской группировкой UNC5174. Уязвимость была добавлена CISA в Каталог известных эксплуатируемых уязвимостей (KEV) 30 октября 2025 года со сроком исправления до 20 ноября. Есть PoC эксплойта в открытом доступе.
Возможные негативные сценарии:
Локальное повышение привилегий на виртуальной машине до суперпользователя, что означает полную компрометацию хоста. В дальнейшем атакующий может развернуть необходимую инфраструктуру для дальнейшего горизонтального перемещения, либо провести кражу данных или их изменение.
Рекомендации по устранению
Необходимо обновить Vmware Tools до версий 12.5.4, 13.0.5 или выше и VMware Aria Operations до версии 8.18.5 или выше;
До установки обновлений отключить настройку credential-less service discovery для предотвращения запуска уязвимого скрипта на виртуальных машинах.
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Следите за обновлениями и до встречи в следующем выпуске дайджеста!