Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло в свой каталог известных эксплуатируемых уязвимостей (KEV) два новых номера CVE (общеизвестные уязвимости). Это означает, что злоумышленники уже активно применяют эти бреши в реальных атаках. Речь идёт об уязвимости в ядре Linux CVE-2022-0492 и уязвимости в платформе Android CVE-2025-48595. Первая из них была описана ещё в 2022 году, а вторая была официально зафиксирована только в 2025 году, но обе до сих пор представляют серьёзную угрозу.
Детали уязвимостей
Начнём с уязвимости в ядре Linux. CVE-2022-0492 представляет собой проблему аутентификации в механизме управления группами процессов, который в среде Linux называется cgroups. Если говорить упрощённо, cgroups позволяют операционной системе распределять ресурсы между процессами. Уязвимость обнаружилась в функции cgroup_release_agent_write из исторически более старой версии этого механизма - cgroup v1. При определённых условиях злоумышленник может применить эту брешь для неожиданного повышения своих привилегий в системе и обхода изоляции пространств имён (namespace). Что это означает на практике? Атакующий, который уже имеет невысокий уровень доступа к системе, может перехватить управление ключевыми функциями ядра. Особенно опасно это для сред с контейнерами, таких как Docker, где предполагается жёсткая изоляция между контейнерами. Используя CVE-2022-0492, нарушитель способен выйти за пределы своего контейнера и получить доступ к хост-системе.
Разработчики ядра выпустили патч для этой уязвимости ещё в версии 5.17 rc3, то есть более трёх лет назад. Проблема в том, что многие организации до сих пор не обновили свои системы. CISA настоятельно рекомендует применить исправление всем, кто использует устаревшие ядра или старые дистрибутивы Linux с поддержкой cgroup v1. Корпоративные серверы, облачные инфраструктуры и встроенные устройства на базе Linux остаются под угрозой, если не было выполнено обновление.
Вторая уязвимость - CVE-2025-48595 - затрагивает уже платформу Android, а точнее, её среду выполнения, так называемый Android Framework. Согласно описанию, проблема локализована сразу в нескольких компонентах этой среды. Суть уязвимости - целочисленное переполнение (integer overflow). Это классическая ошибка работы с памятью: когда математическая операция даёт результат, превышающий допустимый диапазон для данного типа данных. На практике это может привести к непредусмотренному выполнению произвольного кода. Примечательно, что для атаки не требуется никаких дополнительных прав: уязвимость позволяет локально повысить привилегии без какого-либо взаимодействия с пользователем. Это критический момент, так как обычно самый надёжный способ защиты - не переходить по подозрительным ссылкам и не запускать незнакомые файлы - здесь не работает.
CISA отмечает, что уязвимость затрагивает сразу несколько версий Android: начиная с Android 14, 15, 16 и заканчивая 16-qpr2. Это означает, что под ударом находятся миллиарды устройств по всему миру, которые всё ещё работают на этих версиях. Производитель - компания Google - уже выпустила соответствующее исправление. Однако, как показывает практика, пользователи Android получают обновления с большой задержкой, особенно это касается устройств, не входящих в линейку Pixel. Производители смартфонов часто откладывают выпуск патчей, а многие бюджетные модели вообще перестают обновляться после года эксплуатации.
Чем же опасны обе уязвимости в долгосрочной перспективе?
Само добавление в каталог CISA KEV - это сигнал для специалистов по информационной безопасности, что данные бреши активно применяются в реальных кампаниях. Агентство не включает в перечень гипотетические угрозы, поэтому факт внесения требует немедленного реагирования. Для бизнеса, использующего серверы на Linux, последствия могут быть катастрофическими: утечка конфиденциальных данных, нарушение работы критических сервисов и компрометация всей корпоративной сети. Для обычных пользователей Android основная опасность -установка вредоносного программного обеспечения, которое получит доступ к личным данным, банковским приложениям и переписке.
Стоит отдельно подчеркнуть, что уязвимость Android не требует действий жертвы. Это значит, что защита должна выстраиваться исключительно на уровне операционной системы. Единственный выход - своевременная установка обновлений безопасности, которые выпускает Google. Рекомендуется проверить номер сборки прошивки вашего устройства и, если он не включает исправления последних месяцев июня 2025 года, обратиться к производителю за разъяснениями. Для корпоративных парков Android-устройств стоит как можно скорее внедрить политику принудительного обновления System WebView и основных компонентов ОС.
Какие выводы можно сделать из этой ситуации?
Очевидно, что даже давно исправленные уязвимости продолжают представлять угрозу, если организации не следят за обновлениями. Случай с CVE-2022-0492 - яркий пример: трёхлетняя брешь остаётся актуальной, потому что значительная часть инфраструктуры до сих пор работает на непропатченных ядрах. С другой стороны, появление CVE-2025-48595 напоминает, что даже флагманские платформы, такие как Android, подвержены фундаментальным ошибкам работы с памятью. Целочисленные переполнения - один из самых старых классов уязвимостей, и они продолжают встречаться в современном коде. Так что пользователям остаётся полагаться на добросовестность разработчиков и на своевременный выпуск обновлений, а администраторам - на строгую политику управления исправлениями и сегментацию сетей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2022-0492
- https://www.cve.org/CVERecord?id=CVE-2025-48595
- https://www.cisa.gov/news-events/alerts/2026/06/02/cisa-adds-two-known-exploited-vulnerabilities-catalog
