Агентство кибербезопаcности и инфраструктуры США (CISA) 2 сентября 2025 года внесло две новые уязвимости в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Основанием для этого послужили полученные доказательства активного использования этих уязвимостей злоумышленниками в реальных атаках. Данный каталог служит важным инструментом для федеральных ведомств и частных компаний, позволяя prioritize своевременное устранение наиболее опасных пробелов в безопасности.
Детали уязвимости
Первая из добавленных уязвимостей получила идентификатор CVE-2020-24363. Она затрагивает беспроводные усилители сигнала TP-Link модели TL-WA855RE версии V5 с прошивкой от 15 апреля 2020 года. Её суть заключается в отсутствии проверки подлинности для критически важной функции (Missing Authentication for Critical Function). Это позволяет злоумышленнику, находящемуся в той же сети, отправить на устройство специальный POST-запрос TDDP_RESET, который инициирует полный сброс настроек к заводским и перезагрузку устройства. После этого атакующий может получить полный контроль над устройством, установив новый пароль администратора. Данная уязвимость представляет собой типичный вектор для атак, направленных на сетевое оборудование.
Вторая уязвимость, CVE-2025-55177, обнаружена в популярном мессенджере WhatsApp. Она классифицируется как ошибка некорректного контроля авторизации (Incorrect Authorization Vulnerability). Проблема существовала в механизме синхронизации сообщений сlinked устройствами. Уязвимыми оказались клиенты WhatsApp для iOS версий ранее 2.25.21.73, WhatsApp Business для iOS версий ранее 2.25.21.78 и WhatsApp для Mac версий ранее 2.25.21.78. Её эксплуатация могла позволить одному пользователю инициировать на устройстве-жертвы обработку контента с произвольного URL-адреса. В своем описании CISA отмечает, что эта уязвимость, в сочетании с уязвимостью на уровне операционной системы платформ Apple (CVE-2025-43300), вероятно, использовалась в рамках сложной целевой атаки против конкретных пользователей.
Добавление этих записей в каталог KEV осуществляется в соответствии с обязательным оперативным директивным указанием (Binding Operational Directive, BOD) 22-01. Этот документ, озаглавленный «Снижение значительного риска известных эксплуатируемых уязвимостей», обязывает агентства федеральной гражданской исполнительной власти (FCEB) устранять внесенные в каталог уязвимости в установленные сроки. Цель директивы - защита сетей государственных ведомств от активных угроз. Хотя формально требование распространяется только на государственные структуры, CISA настоятельно рекомендует всем организациям, как коммерческим, так и государственным, уделять первоочередное внимание исправлению уязвимостей из каталога KEV в рамках своих программ управления уязвимостями. Своевременная установка обновлений безопасности считается одной из самых эффективных мер по снижению экспозиции перед кибератаками.
Обе уязвимости являются характерными векторами для злонамеренных киберакторов и представляют значительный риск. Уязвимость в сетевом оборудовании TP-Link может быть использована для получения контроля над сегментом сети, что часто становится первым шагом для более масштабного вторжения. Уязвимость в WhatsApp, будучи использованной в связке с другой, подчеркивает тенденцию к сложным цепочкам эксплуатации (exploit chains), когда для достижения цели злоумышленники комбинируют несколько уязвимостей. CISA продолжит пополнение каталога уязвимостями, которые соответствуют критериям активной эксплуатации и высокой степени серьезности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2020-24363
- https://www.tp-link.com/us/support/download/tl-wa855re/#Firmware
- http://malwrforensics.com/en/2020/08/31/cve-2020-24363-tl-wa855re-v5-advisory/
- https://pastebin.com/VjHM4UiA
- https://www.cve.org/CVERecord?id=CVE-2025-55177
- https://www.whatsapp.com/security/advisories/2025/
