Агентство кибербезопасности и инфраструктурной безопасности США (CISA) объявило о включении двух новых уязвимостей в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Решение принято на основании обнаруженных свидетельств активного использования этих уязвимостей злоумышленниками в реальных атаках. Обе уязвимости представляют собой типичные векторы атак для malicious (вредоносных) киберакторов и создают значительные риски для федеральных информационных систем.
Детали уязвимостей
Первая из добавленных уязвимостей получила идентификатор CVE-2025-59287 и затрагивает службу обновлений Windows Server (WSUS). Технически проблема представляет собой десериализацию непроверенных данных - уязвимость класса десериализации, когда система обрабатывает ненадёжные данные без должной проверки. Эта уязвимость позволяет неавторизованному злоумышленнику выполнить произвольный код через сеть, что фактически предоставляет возможность удалённого захвата контроля над системой. Особую опасность такой уязвимости придаёт критическая роль WSUS в корпоративных инфраструктурах - эта служба отвечает за управление обновлениями безопасности во всей сети организации. Компрометация WSUS может привести к катастрофическим последствиям, включая распространение вредоносного ПО на все подключённые рабочие станции и серверы.
Вторая уязвимость с идентификатором CVE-2025-54236 обнаружена в популярных платформах электронной коммерции Adobe Commerce и Magento. Проблема относится к категории неправильной проверки входных данных (Improper Input Validation). Уязвимость затрагивает версии 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 и более ранние. Успешная эксплуатация позволяет злоумышленнику осуществить захват сессии, что повышает уровень воздействия на конфиденциальность и целостность данных до высокого. Важной характеристикой данной уязвимости является то, что для её эксплуатации не требуется взаимодействие с пользователем - атака может быть проведена полностью автоматически.
Добавление уязвимостей в каталог KEV означает, что CISA располагает достоверными доказательствами их активного использования в реальных кибератаках. Согласно обязательному директиву BOD 22-01, все федеральные гражданские агентства США должны в срочном порядке устранить эти уязвимости в своих системах. Хотя директива формально применяется только к государственным организациям США, CISA настоятельно рекомендует всем организациям частного сектора и международным компаниям также уделить приоритетное внимание устранению этих уязвимостей, учитывая их активную эксплуатацию.
Особую озабоченность экспертов вызывает комбинация характеристик обеих уязвимостей. Уязвимость в WSUS представляет угрозу для базовой инфраструктуры организаций, в то время как проблема в Adobe Commerce затрагивает критически важные бизнес-системы - платформы электронной коммерции. Обе уязвимости имеют высокий потенциал для масштабных компрометаций и могут использоваться в составе цепочек атак для получения первоначального доступа к корпоративным сетям.
Исторически уязвимости, связанные с десериализацией в сервисах Microsoft, неоднократно использовались различными группами киберпреступников, включая APT (Advanced Persistent Threat - продвинутая постоянная угроза) группы. Аналогично, платформы электронной коммерции традиционно являются привлекательной мишенью для злоумышленников, поскольку содержат конфиденциальные данные клиентов и финансовую информацию.
В настоящее время производители уже выпустили исправления для обеих уязвимостей. Microsoft предоставила обновления безопасности для WSUS через свои регулярные каналы распространения патчей. Компания Adobe выпустила исправления для уязвимых версий Adobe Commerce в рамках своего графика обновлений безопасности. Администраторам систем настоятельно рекомендуется немедленно установить соответствующие обновления и проверить свои системы на признаки возможной компрометации.
CISA также рекомендует организациям реализовать дополнительные меры защиты, включая сегментацию сети, применение минимальных привилегий и мониторинг необычной активности, особенно в системах WSUS и серверах электронной коммерции. Для администраторов Magento особое внимание следует уделить проверке журналов доступа и мониторингу подозрительных действий, связанных с управлением сессиями.
Включение этих уязвимостей в каталог KEV подчёркивает сохраняющуюся актуальность классических векторов атак, связанных с недостаточной проверкой входных данных и проблемами десериализации. Несмотря на постоянное совершенствование средств защиты, эти фундаментальные классы уязвимостей продолжают представлять серьёзную угрозу для организаций по всему миру. Эксперты отмечают, что своевременное применение обновлений безопасности остаётся одним из наиболее эффективных способов защиты от известных уязвимостей, активно используемых киберпреступниками.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59287
- https://www.cve.org/CVERecord?id=CVE-2025-54236
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
- https://helpx.adobe.com/security/products/magento/apsb25-88.html
