Агентство кибербезопасности и инфраструктуры США (CISA) внесло семь новых уязвимостей в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Это решение основано на подтвержденных данных об активном использовании данных уязвимостей злоумышленниками в реальных атаках. Подобные уязвимости являются частым вектором атак для злонамеренных киберакторов и представляют значительные риски для федеральных ведомств и частного сектора.
Детали уязвимостей
В обновленный список вошли уязвимости, затрагивающие продукты таких крупных вендоров, как Microsoft, Mozilla, Oracle и ядро Linux. Хронологически они охватывают период с 2010 по 2025 год, что подчеркивает необходимость постоянного контроля за исправлениями для систем, находящихся в эксплуатации долгие годы.
Самой свежей в списке является CVE-2025-61882 - неуточненная уязвимость в продукте Oracle Concurrent Processing, входящем в состав Oracle E-Business Suite. Она затрагивает компонент BI Publisher Integration и существует в поддерживаемых версиях с 12.2.3 по 12.2.14. Уязвимость характеризуется высокой степенью опасности: ее может легко эксплуатировать неаутентифицированный злоумышленник, имеющий доступ к сети через HTTP. Успешная атака позволяет полностью захватить контроль над Oracle Concurrent Processing. Базовая оценка по шкале CVSS 3.1 составляет 9.8 баллов из 10, что указывает на критический уровень угрозы для конфиденциальности, целостности и доступности данных.
Две другие современные уязвимости относятся к 2021 году. CVE-2021-43226 - это уязвимость повышения привилегий в драйвере общей файловой системы журналов (Common Log File System Driver) Windows. CVE-2021-22555 - уязвимость выхода за границы кучи (heap out-of-bounds write) в ядре Linux, присутствующая с версии 2.6.19-rc1. Она обнаруживается в компоненте net/netfilter/x_tables.c и позволяет атакующему повысить привилегии в системе или вызвать отказ в обслуживании (Denial of Service, DoS) через повреждение памяти кучи, используя пространство имен пользователя.
В каталог также попали несколько исторических, но все еще активно используемых уязвимостей. CVE-2013-3918 - уязвимость в ActiveX-элементе управления InformationCardSigninHelper Class в библиотеке icardie.dll Microsoft Windows. Она приводит к записи за пределами выделенной памяти (out-of-bounds write) и удаленному выполнению кода при посещении пользователем специально созданной веб-страницы в Internet Explorer. Известно, что эта уязвимость активно использовалась в ноябре 2013 года.
CVE-2011-3402, известная как "Уязвимость синтаксического анализатора шрифтов TrueType", связана с неспецифицированной проблемой в механизме анализа шрифтов TrueType в драйвере win32k.sys. Удаленные злоумышленники могли выполнить произвольный код, используя специально созданные данные шрифта в документе Word или на веб-странице. Эта уязвимость печально известна тем, что активно эксплуатировалась вредоносной программой Duqu в ноябре 2011 года.
Браузерные уязвимости также представлены в списке. CVE-2010-3962 - это уязвимость использования памяти после освобождения (use-after-free) в Internet Explorer версий 6, 7 и 8. Она позволяла выполнить произвольный код через векторы, связанные с последовательностями токенов каскадных таблиц стилей (CSS) и атрибутом clip. Атаки с ее использованием были зафиксированы в ноябре 2010 года.
CVE-2010-3765 затрагивает целый ряд продуктов Mozilla: Firefox 3.5.x-3.5.14 и 3.6.x-3.6.11, Thunderbird и SeaMonkey. При включенном JavaScript удаленные злоумышленники могли выполнить произвольный код, используя векторы, связанные с функцией nsCSSFrameConstructor::ContentAppended, методом appendChild и некорректным отслеживанием индекса, что приводило к повреждению памяти. В октябре 2010 года эту уязвимость активно использовало вредоносное ПО Belmoo.
Добавление уязвимостей в каталог KEV является директивным для федеральных гражданских агентств США, которые обязаны выполнить их устранение в установленные сроки. Для частных организаций по всему миру этот каталог служит авторитетным ориентиром для определения приоритетов в процессе исправления уязвимостей. Регулярное обновление списка KEV демонстрирует, что киберпреступники продолжают успешно использовать как недавно обнаруженные дыры в безопасности, так и уязвимости, исправленные много лет назад, но до сих пор присутствующие в корпоративных сетях из-за несвоевременного обновления систем. Это лишний раз подчеркивает важность комплексного подхода к управлению уязвимостями, включающего не только оперативное внедрение заплаток, но и регулярный аудит ИТ-инфраструктуры на наличие давно известных, но не устраненных проблем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2010-3765
- https://www.cve.org/CVERecord?id=CVE-2010-3962
- https://www.cve.org/CVERecord?id=CVE-2011-3402
- https://www.cve.org/CVERecord?id=CVE-2013-3918
- https://www.cve.org/CVERecord?id=CVE-2021-22555
- https://www.cve.org/CVERecord?id=CVE-2021-43226
- https://www.cve.org/CVERecord?id=CVE-2025-61882
