Агентство кибербезопасности и безопасности инфраструктуры США (CISA) внесло пять новых уязвимостей в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Это решение принято на основании подтвержденных данных об активном использовании этих уязвимостей злоумышленниками в реальных атаках. Данные уязвимости представляют серьезную угрозу для федеральных информационных систем и требуют немедленного внимания со стороны организаций по всему миру.
Детали уязвимостей
В обновленный каталог вошли уязвимости, затрагивающие различные операционные системы, сетевое оборудование, системы автоматизации и мобильные устройства. Среди них - уязвимость в операционной системе GNU Bash (CVE-2014-6278), связанная с внедрением команд. Несмотря на свой возраст, данная уязвимость остается актуальным вектором атаки, позволяющим злоумышленникам выполнять произвольные команды на целевой системе. Особую озабоченность вызывает то, что эта проблема является следствием неполного исправления ранее известных критических уязвимостей Shellshock.
Сетевое оборудование Juniper также оказалось под угрозой из-за уязвимости CVE-2015-7755 в операционной системе ScreenOS. Проблема некорректной аутентификации позволяет удаленным злоумышленникам получить полный административный доступ к устройствам через SSH или TELNET сессии, используя специально сконфигурированный пароль. Это создает прямую угрозу для сетевой периметровой безопасности организаций.
Система автоматизации Jenkins подвержена критической уязвимости удаленного выполнения кода (CVE-2017-1000353). Проблема затрагивает версии 2.56 и более ранние, а также LTS-версии 2.46.1 и ранее. Уязвимость позволяет неавторизованным злоумышленникам обходить механизмы защиты на основе черного списка и выполнять произвольный код на серверах Jenkins путем передачи специально созданных сериализованных Java-объектов.
Современные устройства также представлены в списке - уязвимость CVE-2025-4008 затрагивает систему Meteobridge от Smartbedded, используемую для сбора данных с метеостанций. Веб-интерфейс устройства содержит уязвимость внедрения команд, которая позволяет удаленным неавторизованным атакующим выполнять произвольные команды с привилегиями root на уязвимых устройствах. Это создает серьезную угрозу для интернета вещей (IoT).
Мобильная экосистема представлена уязвимостью CVE-2025-21043 в мобильных устройствах Samsung. Проблема записи за пределами буфера в библиотеке libimagecodec.quram.so может быть использована удаленными злоумышленниками для выполнения произвольного кода. Уязвимость затрагивает устройства до выхода обновления безопасности SMR за сентябрь 2025 года.
Эксперты по безопасности подчеркивают, что уязвимости, включенные в каталог KEV, являются частыми векторами атак для злонамеренных киберакторов и представляют значительные риски не только для государственного сектора, но и для частных компаний. Регулярный мониторинг обновлений каталога KEV и оперативное применение исправлений должны стать неотъемлемой частью стратегии кибербезопасности любой современной организации.
CISA продолжит добавлять уязвимости в каталог по мере выявления новых угроз, соответствующих установленным критериям. Организациям рекомендуется подписаться на уведомления CISA и регулярно проверять обновления каталога KEV для обеспечения своевременного реагирования на emerging threats. Проактивный подход к управлению уязвимостями позволяет существенно снизить риски успешных кибератак и минимизировать потенциальный ущерб для бизнес-процессов и репутации организаций.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2014-6278
- https://www.cve.org/CVERecord?id=CVE-2015-7755
- https://www.cve.org/CVERecord?id=CVE-2017-1000353
- https://www.cve.org/CVERecord?id=CVE-2025-4008
- https://www.cve.org/CVERecord?id=CVE-2025-21043
