Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), включив в него четыре новые критические угрозы. Эти уязвимости затрагивают популярное корпоративное программное обеспечение и инструменты разработки, включая Zimbra и Vite. Все они активно используются злоумышленниками, что требует немедленных действий по их устранению.
Детали уязвимостей
Четыре уязвимости были добавлены в каталог 23 января 2026 года. Включение этих угроз в каталог KEV свидетельствует об активных атаках в дикой природе, использующих различные векторы, от компрометации цепочки поставок ПО до атак на платформы управления сетями.
Первая угроза, CVE-2025-68645, затрагивает Zimbra Collaboration Suite. Это уязвимость типа "включение локального файла" (Local File Inclusion, LFI) в компоненте Webmail Classic UI. Она позволяет неаутентифицированному удаленному злоумышленнику, отправляя специально созданные запросы к конечной точке "/h/rest", включать произвольные файлы из каталога веб-сервера. Администраторам Zimbra настоятельно рекомендуется незамедлительно установить обновления безопасности от вендора и настроить правила веб-прикладного межсетевого экрана для ограничения доступа к уязвимым конечным точкам.
Вторая критическая проблема, CVE-2025-54313, связана с компрометацией цепочки поставок. В популярном пакете для разработчиков "eslint-config-prettier" версий 8.10.1, 9.1.1, 10.1.6 и 10.1.7 был обнаружен встроенный вредоносный код. Установка скомпрометированного пакета приводит к выполнению файла "install.js", который запускает зловредную библиотеку "node-gyp.dll" на системах Windows. Разработчикам необходимо срочно проверить зависимости в своих проектах, откатиться на безопасные версии пакетов и проанализировать логи CI/CD-конвейеров на предмет подозрительной активности.
Третья добавленная уязвимость, CVE-2025-31125, обнаружена в инструменте сборки Vite (Vitejs). Проблема классифицируется как "неправильный контроль доступа" (Improper Access Control), что может привести к несанкционированному доступу. Как и в случае с Prettier, командам разработки следует провести аудит своих проектов, использующих Vite, и обновить зависимости.
Четвертая угроза, CVE-2025-34026, имеет рейтинг критичности 9.2 по шкале CVSS 4.0. Она затрагивает платформу оркестрации SD-WAN от компании Versa, а именно продукт Concerto. Уязвимость представляет собой обход аутентификации (Authentication Bypass) в конфигурации обратного прокси Traefik. Эта ошибка позволяет злоумышленнику получить доступ к административным конечным точкам, включая внутренний эндпоинт Actuator, что может привести к утечке конфиденциальных данных, таких как дампы памяти и логи трассировки. Проблема затрагивает версии Concerto с 12.1.2 по 12.2.0. Операторам, использующим это решение, рекомендуется провести ротацию учетных данных, проанализировать сегментацию сети, особенно для систем с открытыми административными интерфейсами, и применить патчи от вендора.
Эксперты CISA подчеркивают, что организациям необходимо немедленно провести аудит систем, использующих затронутое программное обеспечение. Особое внимание следует уделить согласованному развертыванию исправлений в средах разработки, тестирования и производства. Параллельно требуется усилить мониторинг на предмет признаков эксплуатации, включая неожиданное выполнение процессов, несанкционированный доступ к файлам и аномальные шаблоны аутентификации.
Обновление каталога KEV наглядно демонстрирует тенденцию сближения двух типов угроз: компрометации инструментов разработки и уязвимостей в корпоративной инфраструктуре. Следовательно, для эффективной защиты требуется скоординированный подход к реагированию на инциденты и упреждающее управление обновлениями во всей цепочке поставок программного обеспечения. Это особенно актуально в свете требований обязательной оперативной директивы CISA 22-01 для федеральных агентств, использующих облачные сервисы. Своевременное устранение этих уязвимостей является ключевым шагом для предотвращения несанкционированного доступа, утечки данных и последующего перемещения злоумышленников внутри корпоративных сетей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-68645
- https://www.cve.org/CVERecord?id=CVE-2025-54313
- https://www.cve.org/CVERecord?id=CVE-2025-54313
- https://www.cve.org/CVERecord?id=CVE-2025-34026
