CISA предупреждает об активных атаках на SharePoint через цепочки уязвимостей

Агентство кибербезопасности и инфраструктуры США (CISA) опубликовало сегодня новый Отчет об анализе вредоносного ПО (Malware Analysis Report, MAR), посвященный активным кибератакам, эксплуатирующим критические уязвимости в Microsoft SharePoint. Отчет содержит анализ вредоносных файлов, связанных с этими атаками, а также индикаторы компрометации (IOC) и сигнатуры для их обнаружения, столь необходимые специалистам по безопасности для защиты корпоративных сред.

Описание

Фокус отчета сосредоточен на четырех конкретных уязвимостях SharePoint:

CVE-2025-49704 (CWE-94: Инъекция кода) и CVE-2025-49706 (CWE-287: Некорректная аутентификация). Эта пара уязвимостей образует цепочку эксплуатации, публично известную как «ToolShell», которую злоумышленники активно используют для получения несанкционированного доступа к локальным (on-premises) серверам SharePoint. Именно эти две уязвимости CISA добавила в свой Каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities Catalog) 22 июля 2025 года.
CVE-2025-53770 (CWE-502: Десериализация ненадежных данных). Эта уязвимость была внесена в каталог CISA двумя днями ранее, 20 июля 2025 года, что указывает на ее активное использование в дикой природе.
CVE-2025-53771 (CWE-287: Некорректная аутентификация). Хотя на момент публикации отчета дата добавления этой уязвимости в каталог CISA не была указана, ее наличие в MAR подчеркивает серьезность проблем с аутентификацией в SharePoint.

Публикация MAR с конкретными IOC и сигнатурами обнаружения - это прямой призыв CISA к действию для организаций, использующих уязвимые версии SharePoint, особенно в локальных развертываниях. Агентство настоятельно рекомендует администраторам безопасности и ИТ-специалистам немедленно применить предоставленные индикаторы в своих системах мониторинга безопасности (SIEM), системах предотвращения вторжений (IPS) и антивирусных решениях. Это позволит выявить потенциальные компрометации, уже произошедшие в их инфраструктуре, и предотвратить будущие атаки, использующие тот же вредоносный инструментарий.

Индикаторы компрометации

IPv4

103.186.30.186
104.238.159.149
107.191.58.76
128.199.240.182
131.226.2.6
134.199.202.205
139.144.199.41
149.28.124.70
149.40.50.15
154.223.19.106
172.174.82.132
185.197.248.131
188.130.206.168
206.166.251.228
212.125.27.102
45.77.155.170
64.176.50.109
86.48.9.38
89.46.223.88
91.132.95.60
95.179.158.42
96.9.125.147

MD5

02b4571470d83163d103112f07f1c434
039675253cb6c73f5458348295ff2f28
0e36ecda6fc4b5661f9a181984a53bb5
1f5c8df6bd296ebf68acda951a004a5b
2a11da5809d47c180a7aa559605259b5
403090c0870bb56c921d82a159dca5a3
40e609840ef3f7fea94d53998ec9f97f
531ff1038e010be3c55de9cf1f212b56
7768feda9d79ef6f87410c02e981f066
7d2f36f4cb82c75b83c210e655649b5d
7e09e837805c55dc5643cc21a87ff2a8
921ac86b258fa9ea3da4c39462bad782
93185bd1019bd277eef9815a17f1d074
b73c90a61195ef7457efab9d898490d9
ef6793ef1a2f938cddc65b439e44ea07
f7cb6b7293c5082045ba423cab20a758

SHA1

141af6bcefdcf6b627425b5b2e02342c081e8d36
1b8432fcda4c12b64cdf4918adf7880aecf054ec
27f154765054fbe0f5c234cd2c7829b847005d2a
37d1d1913d758f7d71020c08d4a7dae3efe83b68
3a438b239d8451b8e12e9cdd3c24d1240dd758c9
b8662c8cc9e383b4a0ac980e0fd94941fe12c31d
d80722b335806cb74ee27af385abc6c9b018e133
f5b60a8ead96703080e73a1f79c3e70ff44df271

SHA256
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SHA512

033f215fde36025a7ce434daddb70304d1e56f2dd2600e18a44d0af825a348fda388ee8fb1d684c2cdd006cdf042005bb26ab67cdf6c5eaac331650ea0ab9422
2e6799393458d42acd4586c9792c24edf10b5e4aa761419758fec8da6670197c0e7c21e46dab224673818146ea4811446b4fbeaeed581e98f2add0980eb9d47d
54a82a9d9747f872f21f20ac4acea25218ed38a61fd9c611fb858f3f0c2941d4bf7ed35bf93fc0432aa3ac5a891277754a4a9468ae03cf31ca11281a589bc224
6fd128a33e432d8fd5ea5dcf419a0b90f09648d7b4b95ceb6a5634fc01d8e0613d6d231bc038e2796f6a4d8fc277ebbea7b90ab773c0020dd2ad67149e52e4ff
83aa141fd090172fb9a22855c18f2aea8b37f663f0093edd675a7499186fe46b3f953edda9477ca8918cf2af82c8b723d07a6912a9d7aa62b26391d15a83c44d
c52ab55753ae7fcfca46e869b805f3aa2d19c45e7526a61f79b20b8cd38eccc09f1b7a06acbd8d77e936f68fea9ee3bba7b7c42d6f93cf0c27a22cf7555d70d3
c9ee5d32a59fad386570923df7950b562e1d4c000c7f4a20aebc214477f737815a401858a11d4e9139a80152afd5ddc8655ad804e71544e50f5a23cc9888eeba
deaed6b7657cc17261ae72ebc0459f8a558baf7b724df04d8821c7a5355e037a05c991433e48d36a5967ae002459358678873240e252cdea4dcbcd89218ce5c2