Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило три новые критически важные уязвимости в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Данное решение основано на доказательствах активного использования этих брешей злоумышленниками в реальных атаках. Каталог KEV служит важнейшим инструментом для специалистов по безопасности, поскольку он фокусируется на тех уязвимостях, которые представляют непосредственную и высокую опасность. Включение в этот список обязывает федеральные агентства США в срочном порядке применить соответствующие патчи. Более того, этот шаг является четким сигналом для всех организаций по всему миру о необходимости немедленных действий.
Детали уязвимостей
Первой и наиболее серьезной в новом списке стала уязвимость CVE-2025-20393, затрагивающая продукты Cisco Secure Email Gateway и Cisco Secure Email and Web Manager. Проблема классифицируется как ошибка неправильной проверки входных данных (Improper Input Validation). Уязвимость получила максимально возможный балл 10.0 по шкале CVSS 3.1, что соответствует критическому уровню опасности. Её эксплуатация позволяет удаленному злоумышленнику, не обладающему привилегиями, выполнить произвольный код на атакуемом устройстве. По сути, это открывает полный контроль над ключевыми системами безопасности электронной почты. По данным Cisco, уязвимости подвержены многочисленные версии программного обеспечения, включая актуальные сборки. Хотя вендор все еще расследует инцидент, наличие доказательств эксплуатации в дикой среде делает установку обновлений первостепенной задачей для всех пользователей.
Второй угрозой в списке CISA является CVE-2025-40602 в устройствах SonicWall Secure Mobile Access (SMA) 1000. Эта уязвимость связана с отсутствием надлежащей проверки полномочий (Missing Authorization). Подобные бреши часто позволяют злоумышленникам обходить механизмы аутентификации и получать несанкционированный доступ к защищенным функциям или данным. Устройства серии SMA 1000 широко используются для обеспечения безопасного удаленного доступа сотрудников к корпоративным сетям. Следовательно, успешная эксплуатация этой уязвимости может открыть путь в внутреннюю инфраструктуру компании. Компания SonicWall уже выпустила исправления, и администраторам настоятельно рекомендуется как можно скорее обновить свои системы, чтобы закрыть эту опасную лазейку.
Особый интерес представляет третья уязвимость - CVE-2025-59374 в клиенте ASUS Live Update. Эта ситуация является классическим примером компрометации цепочки поставок (supply chain compromise). Согласно описанию, определенные версии клиента для обновления прошивок и драйверов были распространены с несанкционированными модификациями, содержащими встроенный вредоносный код (Embedded Malicious Code). Иными словами, легитимное программное обеспечение от известного производителя было тайно изменено на этапе сборки или распространения. Модифицированные сборки могли заставлять устройства, соответствующие определенным целевым условиям, выполнять несанкционированные действия. Критически важно отметить, что клиент Live Update достиг окончания срока поддержки (End-of-Support, EOS) еще в октябре 2021 года. Таким образом, на текущий момент ни одно поддерживаемое устройство или продукт ASUS не затронуто данной проблемой. Однако этот инцидент служит суровым напоминанием о долгосрочных рисках, связанных с использованием неподдерживаемого программного обеспечения и сложностями защиты цепочки поставок.
Добавление этих трех уязвимостей в каталог KEV подчеркивает несколько ключевых трендов в современной киберугрозе. Во-первых, злоумышленники продолжают активно нацеливаться на периметровые устройства безопасности, такие как шлюзы электронной почты и VPN-решения. Взлом этих систем предоставляет им стратегический плацдарм внутри сети. Во-вторых, атаки через цепочку поставок остаются изощренным и высокоэффективным вектором атаки, подрывающим базовое доверие к процессам обновления. В-третьих, наличие доказательств активной эксплуатации до публикации полных деталей или даже официальных исправлений становится все более распространенным явлением.
Для специалистов по информационной безопасности и системных администраторов действия должны быть незамедлительными и четкими. Первым шагом является проверка всех используемых в инфраструктуре продуктов на предмет наличия перечисленных уязвимых версий. Далее необходимо в приоритетном порядке установить все доступные обновления безопасности от соответствующих вендоров. В случае с устаревшим ПО ASUS Live Update следует убедиться, что на всех системах используется актуальное, поддерживаемое программное обеспечение для управления обновлениями. Кроме того, рекомендуется усилить мониторинг сетевой активности, исходящей и направленной на затронутые устройства, на предмет признаков компрометации, используя такие фреймворки, как MITRE ATT&CK. Своевременное применение исправлений остается самым эффективным способом защиты от известных уязвимостей, особенно когда они уже используются в реальных кибератаках.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20393
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
- https://www.cve.org/CVERecord?id=CVE-2025-59374
- https://www.asus.com/news/hqfgvuyz6uyayje1/
