Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло пять новых уязвимостей в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) на основании доказательств активного использования злоумышленниками. Данные уязвимости представляют собой частые векторы атак для злонамеренных киберакторов и создают значительные риски для федеральных ведомств и частного сектора.
Детали уязвимостей
В перечень попали уязвимости в продуктах SKYSEA, Rapid7, Microsoft и IGEL OS, охватывающие различные аспекты безопасности - от неправильной аутентификации до обхода механизмов защиты. CISA настоятельно рекомендует организациям уделить приоритетное внимание устранению этих уязвимостей в рамках своих программ управления уязвимостями.
Первой в списке значится CVE-2016-7836 в клиентском ПО SKYSEA Client View версии 11.221.03 и более ранних. Уязвимость заключается в ошибке аутентификации при обработке TCP-соединения с программой консоли управления, что позволяет удаленно выполнить произвольный код. Несмотря на то что уязвимости уже несколько лет, её продолжают активно эксплуатировать, что подчеркивает необходимость своевременного обновления даже давно выпущенных продуктов.
Особый интерес представляет CVE-2025-6264 в платформе для цифровой криминалистики и реагирования на инциденты Velociraptor от компании Rapid7. Платформа позволяет собирать VQL-запросы, упакованные в артефакты с конечных точек. Эти артефакты обычно выполняются с повышенными привилегиями. Уязвимость заключается в том, что артефакт Admin.Client.UpdateClientConfig, используемый для обновления конфигурации клиента, не требовал дополнительных разрешений, позволяя пользователям с правами COLLECT_CLIENT (обычно предоставляемыми ролью "Investigator") собирать его с конечных точек и изменять конфигурацию. Это может привести к выполнению произвольных команд и полному захвату конечной точки. Для успешной эксплуатации злоумышленник уже должен иметь доступ к сбору артефактов с конечной точки.
Уязвимость CVE-2025-24990 затрагивает драйвер модема Agere, который поставляется вместе с поддерживаемыми операционными системами Windows. Microsoft сообщает об уязвимостях в этом стороннем драйвере и announces его предстоящее удаление. Драйвер уже был удален в октябрьском накопительном обновлении. Факс-модемное оборудование, зависящее от этого конкретного драйвера, больше не будет работать в Windows. Компания рекомендует устранить существующие зависимости от этого оборудования.
CVE-2025-47827 в операционной системе IGEL OS до версии 11 позволяет обойти безопасную загрузку (Secure Boot) из-за неправильной проверки криптографической подписи модулем igel-flash-driver. В результате можно подключить созданную корневую файловую систему из непроверенного образа SquashFS. Эта уязвимость представляет особую опасность для устройств, требующих гарантированной целостности системы при загрузке.
Завершает список CVE-2025-59230 - неправильный контроль доступа в диспетчере удаленного доступа к подключениям Windows (Remote Access Connection Manager), который позволяет авторизованному злоумышленнику повысить привилегии локально. Хотя для эксплуатации требуется наличие первоначальных прав доступа, такая уязвимость может стать ключевым звеном в цепочке атаки для получения полного контроля над системой.
Добавление этих уязвимостей в каталог KEV означает, что федеральные агентства США должны устранить их в установленные сроки в соответствии с Binding Operational Directive 22-01. Для частных организаций этот каталог служит важным ориентиром для определения приоритетов в исправлении уязвимостей, которые активно используются в реальных атаках.
Эксперты по безопасности отмечают, что разнообразие продуктов и систем, затронутых этими уязвимостями, подчеркивает необходимость комплексного подхода к управлению уязвимостями. Организациям рекомендуется не только своевременно применять обновления безопасности, но и проводить регулярный аудит используемого программного обеспечения, отслеживать выпуск исправлений и оценивать потенциальное воздействие уязвимостей на свою инфраструктуру.
Особое внимание следует уделить уязвимостям в инструментах безопасности, таких как Velociraptor, поскольку компрометация таких систем может серьезно затруднить обнаружение и расследование инцидентов безопасности. Тот факт, что некоторые из этих уязвимостей требуют наличия определенных прав доступа для эксплуатации, напоминает о важности принципа наименьших привилегий и регулярного пересмотра прав доступа пользователей.
Активное использование этих уязвимостей в дикой природе делает их устранение критически важным для предотвращения потенциальных нарушений безопасности. Организациям рекомендуется обратиться к официальным бюллетеням безопасности соответствующих вендоров для получения подробной информации о доступных исправлениях и рекомендаций по внедрению.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2016-7836
- https://www.cve.org/CVERecord?id=CVE-2025-6264
- https://www.cve.org/CVERecord?id=CVE-2025-24990
- https://www.cve.org/CVERecord?id=CVE-2025-47827
- https://www.cve.org/CVERecord?id=CVE-2025-59230
