Агентство по кибербезопасности и защите инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (KEV). В него попали четыре уязвимости, по которым уже подтверждены атаки. Это означает, что федеральные ведомства США теперь обязаны устранить их в установленные сроки, а бизнесу по всему миру стоит как можно быстрее установить обновления, чтобы не стать жертвой взлома.
Детали уязвимостей
Первая проблема получила идентификатор CVE-2024-7399 и затрагивает серверную платформу Samsung MagicINFO 9 (версии до 21.1050). Эта система используется для управления цифровыми вывесками и рекламными экранами в офисах, магазинах и на транспорте. Суть уязвимости - обход ограничения пути к файлу (path traversal). Атакующий с правами учётной записи может обмануть сервер и записать произвольный файл в любую папку на уровне системы. При этом ему не требуется никакого взаимодействия с жертвой. В сочетании с возможностью загружать исполняемые файлы эта уязвимость позволяет полностью захватить сервер. Компания Samsung уже выпустила исправление в версии 21.1050.
Вторая пара уязвимостей относится к популярному программному обеспечению для удалённой поддержки SimpleHelp. Оно широко применяется в службах технической поддержки и администрирования. CVE-2024-57726 - это ошибка отсутствия авторизации в версиях SimpleHelp до 5.5.7 включительно. Злоумышленник, имеющий низкие привилегии технического специалиста, может создать ключи API с избыточными полномочиями. Используя такой ключ, он способен повысить свои права до уровня администратора сервера. Другими словами, простой сотрудник поддержки может получить полный контроль над всей системой. CVE-2024-57728 - это уже обход пути через механизм загрузки zip-архивов. Администратор (или злоумышленник, получивший права админа) может загрузить специально сформированный архив, в котором файлы извлекаются за пределы целевой папки. В результате возможна запись произвольных файлов в любую директорию сервера, что ведёт к выполнению вредоносного кода. Разработчики SimpleHelp уже выпустили обновление, закрывающее обе проблемы.
Четвёртая уязвимость, CVE-2025-29635, касается маршрутизатора D-Link DIR-823X (прошивки 240126 и 240802). Это командная инъекция (command injection) в функции "/goform/set_prohibiting". Авторизованный пользователь может отправить специально сформированный POST-запрос, в результате которого на устройстве выполняются произвольные команды с правами суперпользователя. Учитывая, что многие роутеры D-Link этой модели используются в домашних и малых офисных сетях, атака может привести к перехвату трафика, изменению настроек или превращению роутера в точку входа в корпоративную сеть. Компания D-Link рекомендует установить последнюю прошивку, хотя официального патча для этой модели, возможно, уже нет - устройство снято с поддержки.
Почему это событие важно?
CISA ведёт каталог KEV именно для того, чтобы организации не тратили время на анализ сотен новых уязвимостей, а сосредоточились на тех, что реально используются хакерами. Попадание в этот список - сигнал: злоумышленники уже активно атакуют данные системы. Для Samsung MagicINFO это особенно опасно: серверы цифровых вывесок часто остаются без обновлений, а их компрометация может дать доступ к внутренней сети торгового центра или офиса. SimpleHelp используется многими IT-отделами и сервисными компаниями; уязвимости позволяют не только повысить привилегии, но и закрепиться в системе на долгое время. D-Link DIR-823X - пример устаревшего оборудования, которое производитель уже не поддерживает; его владельцам остаётся только заменить устройство.
Специалистам по информационной безопасности стоит в первую очередь проверить, используются ли в инфраструктуре серверы Samsung MagicINFO 9, SimpleHelp (особенно версии до 5.5.7), а также роутеры D-Link DIR-823X. Для первых двух продуктов необходимо срочно установить обновления. Для D-Link - рассмотреть замену или, если возможно, изолировать устройство в отдельном сегменте сети и ограничить удалённое управление. Ждать, пока злоумышленники воспользуются этими уязвимостями, не стоит: каталог CISA уже подтверждает их активное использование. Как показывает практика, атаки на такие цели происходят в течение нескольких недель после публикации доказательств эксплуатации.
Таким образом, четыре простые, но опасные уязвимости получили зелёный свет для массовых атак. Бездействие может стоить компаниям дорого: от утечки данных до остановки производства.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-29635
- https://www.cve.org/CVERecord?id=CVE-2024-57728
- https://www.cve.org/CVERecord?id=CVE-2024-57726
- https://www.cve.org/CVERecord?id=CVE-2024-7399
- https://www.cisa.gov/news-events/alerts/2026/04/24/cisa-adds-four-known-exploited-vulnerabilities-catalog
