CISA добавляет три активно эксплуатируемые уязвимости в каталог KEV

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло три новые уязвимости в свой каталог Known Exploited Vulnerabilities (KEV, Каталог известных эксплуатируемых уязвимостей) на основании подтвержденных данных об активной эксплуатации. Это решение подчеркивает растущую угрозу для федеральных сетей и критической инфраструктуры со стороны злоумышленников.

Детали уязвимостей

В обновленный перечень вошли уязвимости, затрагивающие ключевые технологии: ядро Linux, среду выполнения Android и платформу управления контентом Sitecore. CISA классифицирует подобные недостатки безопасности как частые векторы атак для злонамеренных киберпреступников, представляющие значительный риск.

Первая в списке, CVE-2025-38352, представляет собой уязвимость типа "time-of-check time-of-use" (TOCTOU, время проверки - время использования) в ядре Linux. Это состояние гонки в подсистеме posix-cpu-timers может привести к нестабильности системы. Как поясняется в описании, проблема возникает, если завершающаяся задача уже миновала этап exit_notify() и вызывает handle_posix_cpu_timers() из контекста прерывания. В этот момент родительский процесс или отладчик может забрать её ресурсы. Если в этот же момент параллельно выполняется posix_cpu_timer_del(), он не сможет корректно обработать ситуацию, что и создает уязвимость.

Вторая уязвимость, CVE-2025-48543, затрагивает среду выполнения Android. Её суть заключается в возможном использовании освобожденной памяти (use-after-free) в нескольких компонентах, что теоретически позволяет escaped from песочницы Chrome и атаковать системный процесс system_server. Это приводит к локальному повышению привилегий без необходимости наличия дополнительных прав и без потребности во взаимодействии с пользователем, что делает угрозу особенно серьезной.

Третья уязвимость, CVE-2025-53690, обнаружена в продуктах Sitecore Experience Manager (XM) и Sitecore Experience Platform (XP). Это недостаток безопасности, связанный с десериализацией непроверенных данных, который может привести к внедрению произвольного кода. Проблема затрагивает версии XM и XP вплоть до 9.0.

Добавление этих уязвимостей в каталог KEV осуществляется в рамках обязательного для исполнения операционного директива (Binding Operational Directive, BOD) 22-01. Этот документ, озаглавленный "Снижение значительного риска известных эксплуатируемых уязвимостей", предписывает агентствам федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) устранять выявленные уязвимости к установленному сроку для защиты своих сетей от активных угроз. Каталог KEV является динамическим списком известных идентификаторов CVE, несущих существенный риск.

Хотя директив BOD 22-01 юридически обязателен только для агентств FCEB, CISA настоятельно рекомендует всем организациям, как государственным, так и частным, снижать свою подверженность кибератакам. Для этого необходимо prioritized своевременное устранение уязвимостей, перечисленных в каталоге KEV, и интегрировать эту практику в общую систему управления уязвимостями. Агентство продолжит пополнять каталог уязвимостями, которые соответствуют установленным критериям, то есть имеют доказательства активной эксплуатации в дикой природе.

Данное решение CISA служит важным напоминанием для отделов информационной безопасности по всему миру. Эксплуатация уязвимостей остается одним из основных способов проникновения злоумышленников в системы. Своевременное применение исправлений и мониторинг авторитетных источников, таких как каталог KEV, являются crucial components эффективной стратегии кибербезопасности в современных условиях.

Детали уязвимостей

Ссылки