Хабр, привет!
На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в мае 2026 года, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.
В дайджест попали:
CVE-2026-0300 – Palo Alto Networks PAN-OS
CVE-2026-42945 – Nginx
CVE-2026-31431 – Linux
CVE-2026-42897 – Microsoft Echange Server
CVE-2026-41091 – Microsoft Defender
CVE-2026-0300 | BDU:2026-06322: Уязвимость удалённого выполнения произвольного кода в PAN-OS
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Переполнение буфера в сервисе User-ID™ Authentication Portal (ранее - Captive Portal) программного обеспечения Palo Alto Networks PAN-OS. Сервис реализует веб-страницу аутентификации, через которую межсетевой экран запрашивает учётные данные у пользователя в тех случаях, когда сопоставить IP-адрес и идентификатор автоматическими методами не удалось.
Неаутентифицированный атакующий, имеющий сетевой доступ к Authentication Portal, отправляя специально сформированные сетевые пакеты, может вызвать переполнение буфера и добиться выполнения произвольного кода с привилегиями root на устройстве. Аутентификация и взаимодействие с пользователем не требуются.
Уязвимости подвержены межсетевые экраны PA-Series и VM-Series под управлением PAN-OS веток 10.2, 11.1, 11.2 и 12.1 с включённым Authentication Portal.
Статус эксплуатации уязвимости:
Palo Alto Networks подтвердил факт ограниченной эксплуатации против устройств с Authentication Portal, доступным из сети.
Команда Unit 42 отслеживает активность, связанную с эксплуатацией под идентификатором CL-STA-1132 и характеризует её как предположительно государственно-спонсированную. После успешной эксплуатации атакующие внедряют шеллкод в worker-процесс nginx, на котором построен Authentication Portal, зачищают журналы и crash-артефакты, после чего разворачивают открытые туннельные утилиты EarthWorm и ReverseSocks5 и проводят enumeration Active Directory с использованием служебной учётной записи межсетевого экрана.
Агентство CISA добавило эту уязвимость в каталог KEV.
Возможные негативные сценарии:
Перехват и подмена проходящего трафика, извлечение служебных учётных данных устройства и построение скрытых туннелей во внутренние сегменты сети.
Рекомендации по устранению
Palo Alto Networks выпустил обновление безопасности. Рекомендуется как можно скорее установить актуальное обновление на все затронутые устройства PA-Series и VM-Series.
CVE-2026-42945 | BDU:2026-06827: Уязвимость удалённого выполнения произвольного кода в Nginx
Уровень критичности по оценке CVSS: 8.1
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Исследователями из Depthfirst была обнаружена уязвимость в веб-сервере Nginx, которая также получила наименование NGINX Rift. Уязвимый код присутствует в Nginx около 18 лет. Она позволяет вызвать отказ в обслуживании (DoS) или RCE на хосте, где располагается сервер. Для эксплуатации злоумышленникам не требуется аутентификация, атака может выполняться удалённо.
Уязвимость находится в модуле ngx_http_rewrite_module. Если в конфигурации веб-сервера прописаны определённые директивы с использованием регулярных выражений, то атакующий с помощью специально подготовленных POST-запросов к серверу может вызвать переполнение кучи (heap-based buffer overflow), что может привести к DoS, либо при определённых условиях к удалённому выполнению кода.
Пример уязвимой конфигурации:
location ~ ^/api/(.*)$ {
rewrite ^/api/(.*)$ /internal?migrated=true;
set $original_endpoint $1;
}
Ошибка в модуле, которая приводит к уязвимости, связана с тем, как движок Nginx при такой конфигурации обрабатывает буфер, выделяемый для обработки запроса. Проблема заключается в том, что если в запросе будут символы экранирования, то на них в буфере будет выделяться 3 байта, а не один, как для обычных символов. Движок это не учитывает при выделении памяти, что приводит к переполнению кучи. Это позволяет вызвать DoS с помощью эксплуатации уязвимости или при определённых условиях, например при отключённом ASLR (рандомизация адресного пространства), привести к удалённому выполнению кода.
Статус эксплуатации уязвимости:
VulnCheck сообщает, что обнаружил попытки эксплуатации данной уязвимости в своей сети ханипотов. Также в публичном доступе присутствует рабочий публичный PoC при отключенном ASLR. Исследователи из Depthfirst также информируют, что возможно написать эксплойт и с обходом этой защиты.
Возможные негативные сценарии:
Отказ в обслуживании веб-сервера или компрометация хоста при RCE. Нужно отметить, что Nginx часто используется как балансировщик нагрузки для распределения сетевого трафика по нескольким бэкенд-серверам. Его отказ в обслуживании может привести к блокированию доступа к веб-приложениям. Такой простой может привести к значительным финансовым убыткам.
Рекомендации по устранению:
Установить последние обновления безопасности.
Воспользоваться следующими рекомендациями вендора для безопасного составления директив.
CVE-2026-31431 | BDU:2026-06123: Уязвимость повышения привилегий в криптографическом модуле ядра Linux (CopyFail)
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Информация об эксплуатации
Описание уязвимости:
Данная уязвимость была обнаружена в конце апреля 2026 года и присутствует во всех дистрибутивах Linux, начиная с 2017 года выпуска до момента выхода патча. Она получила наименование CopyFail. Уязвимость содержит логическую ошибку в криптографической системе algif_aead. Уязвимость позволяет атакующему перезаписывать 4 байта в кеше страницы любого доступного для чтения файла. Это позволяет модифицировать поведение любого файла или процесса в системе. Запись производится через сокет AF_ALG, который обеспечивает доступ к криптографическому API ядра Linux. Доступ к сокету есть у любого пользователя в системе.
Исследователи, которые обнаружили уязвимость, показали несколько возможных сценариев её эксплуатации.
Локальное повышение привилегий до root с помощью отключения проверки пароля в /usr/bin/su. После этого с помощью команды su root можно войти в систему как root. Также возможно изменение уже запущенного процесса.
В случае с контейнерными средами, например в Kubernetes, CopyFail позволяет выполнить произвольный код на соседних подах или совершить побег из контейнера на целевую систему.
Следует отметить, что запись во всех сценариях эксплуатации происходит не в файловую систему, и сами файлы никак не меняются. Изменения происходят в кеше страниц, которые находятся в оперативной памяти. Из-за этого многие стандартные средства защиты не могут обнаружить действия злоумышленника, что повышает критичность уязвимости.
Для обоих сценариев эксплуатации существуют лёгкие портативные PoC, написанные на Python.
Статус эксплуатации уязвимости:
Уязвимость была добавлена в CISA KEV 1 мая 2026 года. Есть рабочие публичные PoC.
Возможные негативные сценарии:
Локальное повышение привилегий до root в Linux-системах.
Побег из контейнера в случае эксплуатации в контейнерных средах.
Рекомендации по устранению:
Установить последние обновления ядра Linux, согласно установленному дистрибутиву.
Для снижения риска эксплуатации рекомендуется отключить модуль algif_aead:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true
CVE-2026-42897 | BDU:2026-06919: Уязвимость к подделке данных на сервере Microsoft Exchange Server
Уровень критичности по оценке CVSS: 8.1
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость относится к категории межсайтовый скриптинга (XSS) на стороне клиента. Эксплуатация возможна, только если жертва использует веб-интерфейс Outlook (OWA) для взаимодействия с сервером Exchange. Атакующий может использовать эту уязвимость, отправив пользователю специально сформированное электронное письмо. Если пользователь откроет это письмо в Outlook Web Access (OWA) и будут выполнены определённые условия взаимодействия, в браузере может быть выполнен произвольный JavaScript-код. Более подробную информацию вендор не раскрывает.
Статус эксплуатации уязвимости:
В Microsoft подтвердили эксплуатацию уязвимости в реальных атаках. Агентство CISA добавило эту уязвимость в каталог KEV, отметив важность исправления до 29 мая 2026 года.
Возможные негативные сценарии:
Успешная эксплуатация XSS позволяет злоумышленникам похищать cookie-файлы, токены сессий и другие данные браузера, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange. Также возможны подделка запросов и выполнение действий в сети от имени пользователя, что позволяет атакующим избегать своего обнаружения в сети.
Рекомендации по устранению:
Компания Microsoft на момент выпуска дайджеста ещё не выпустила полноценное обновление для Microsoft Exchange Server. До выхода патча она предлагает использовать следующие варианты:
Автоматически установить митигацию через службу Exchange по смягчению последствий чрезвычайных ситуаций (EM). Если она отключена, то необходимо её включить.
Для тех случаев, когда нет возможности или по каким-либо причинам нельзя использовать службу EM, можно воспользоваться скриптом для митигации Exchange On-premises Mitigation Tool (EOMT).
Вендор также сообщает, что митигация не будет работать, если для доступа к OWA используется клиент Internet Explorer или Microsoft Edge, использующий режим Internet Explorer. Internet Explorer не поддерживает политику защиты содержимого (CSP).
После установки защиты Microsoft предупреждает о нескольких проблемах. В Outlook Web Access может перестать работать печать календаря, а встроенные изображения в письмах могут некорректно отображаются.
CVE-2026-41091 | BDU:2026-07110: Уязвимость повышения привилегий в Microsoft Defender
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость локального повышения привилегий в Microsoft Malware Protection Engine — ядре сканирования, обнаружения и очистки, на котором построены Microsoft Defender Antivirus, Microsoft System Center Endpoint Protection (включая версии 2012 и 2012 R2) и Microsoft Security Essentials.
При выполнении файловых операций над объектами компонент некорректно разрешает символические ссылки и точки соединения (junction points) до обращения к целевому файлу. Локальный пользователь с минимальными привилегиями может, разместив в подконтрольной директории объект-приманку и одновременно создав на его пути точку соединения (junction point), ведущую в защищённый системный каталог, отправить ядру Defender привилегированную операцию по нежелательному пути. Поскольку операция выполняется от имени SYSTEM, результатом эксплуатации становится перезапись или модификация произвольного защищённого файла с последующим повышением привилегий.
Уязвимости подвержены сборки движка версии 1.1.26030.3008 и ниже. В составе Microsoft Defender Antivirus компонент поставляется с актуальными версиями Windows 11 и Windows Server, а также с теми редакциями Windows 10, для которых сохраняется расширенная поддержка (LTSC и ESU). Системы с отключённым Microsoft Defender не уязвимы.
Статус эксплуатации уязвимости:
Microsoft в своём бюллетене безопасности подтвердил, что уязвимость была публично раскрыта и эксплуатировалась в реальных атаках до выхода исправления.
Агентство CISA добавило эту уязвимость в каталог KEV, отметив важность исправления до 3 июня 2026 года.
Возможные негативные сценарии:
Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост: установить бэкдоры, отключить средства защиты, получить доступ к конфиденциальным данным и хранилищам учётных записей. В корпоративной среде это создаёт условия для кражи учётных данных, дальнейшего горизонтального перемещения по сети и компрометации критичных сервисов.
Рекомендации по устранению
19 мая 2026 года вендор выпустил обновление безопасности. Рекомендуется как можно скорее установить обновление на все затронутые продукты Microsoft.
Как защититься?
В приоритете находится не только своевременное выявление уязвимостей, но и регулярный контроль состояния используемого ПО, сервисов и компонентов ИТ-инфраструктуры, а также их своевременное обновление.
Практика и результаты наших исследований показывают, что для организаций важно не просто фиксировать уязвимости, а иметь актуальное представление о состоянии инфраструктуры. Это позволяет корректно расставлять приоритеты и контролировать процесс их устранения. Для этого используются решения класса Vulnerability Management (например, R-Vision VM), обеспечивающие непрерывную работу с уязвимостями - от обнаружения до контроля устранения.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.