Критическая уязвимость в Remote for Mac позволяет выполнять удалённый код без аутентификации

Эксперты по кибербезопасности предупреждают о выявлении критической уязвимости в популярном приложении Remote for Mac для удалённого управления. Идентифицированная как CVE-2025-34089, эта уязвимость представляет серьёзную угрозу, поскольку позволяет злоумышленнику выполнять произвольный код на целевой системе без необходимости аутентификации. Информация об уязвимости внесена в Банк данных угроз безопасности информации (БДУ) под номером BDU:2026-00162.

Детали уязвимости

Уязвимость затрагивает версии приложения Remote for Mac до 2025.7, разработанного компанией Aexol Studio. Проблема коренится в двух фундаментальных ошибках. Прежде всего, это некорректное управление генерацией кода (CWE-94), также известное как инъекция кода. Кроме того, разработчики не реализовали аутентификацию для критически важной функции (CWE-306). В совокупности эти недостатки открывают широкие возможности для атак.

Уровень опасности уязвимости оценён как критический по всем основным версиям системы оценки CVSS. Баллы достигают максимальных значений: 10.0 по CVSS 2.0 и 9.8 по CVSS 3.1. Оценка по актуальной методологии CVSS 4.0 также остаётся чрезвычайно высокой - 9.3. Такие показатели указывают на то, что для успешной атаки злоумышленнику не требуется ни специальных условий, ни привилегий на целевой системе, ни взаимодействия с пользователем.

Наиболее тревожным аспектом является наличие публичного эксплойта. Фреймворк Metasploit, широко используемый как специалистами по безопасности, так и хакерами, уже включает готовый модуль для эксплуатации этой уязвимости. Следовательно, даже злоумышленники с невысоким уровнем технической подготовки могут попытаться провести атаку. Эксплойт использует технику инъекции, чтобы удалённо выполнить произвольные команды на компьютерах с уязвимым программным обеспечением.

Учитывая функционал приложения - удалённое управление macOS-системами, - потенциальный ущерб от эксплуатации уязвимости крайне велик. Злоумышленник может получить полный контроль над устройством жертвы. В результате возможно хищение конфиденциальных данных, установка программ-вымогателей (ransomware) или скрытого вредоносного обеспечения для обеспечения постоянного присутствия (persistence) в системе. Более того, атакованное устройство может быть использовано как плацдарм для перемещения по корпоративной сети.

На данный момент официальные исправления от вендора, Aexol Studio, не выпущены. Статус устранения уязвимости и информация о доступных патчах остаются неопределёнными. Однако эксперты рекомендуют администраторам и пользователям незамедлительно принять компенсирующие меры для снижения рисков. Во-первых, необходимо проверить используемую версию приложения. Если это версия 2025.7 или более ранняя, следует рассмотреть возможность полного отключения или удаления программы до выхода обновления безопасности.

Дополнительно, для минимизации потенциального ущерба, следует придерживаться принципа наименьших привилегий. Это означает, что учётные записи пользователей, особенно те, под которыми работает уязвимое ПО, не должны обладать административными правами. Также важно отключить или удалить все неиспользуемые учётные записи, чтобы сократить возможную поверхность для атаки. Для обнаружения попыток эксплуатации специалистам рекомендуется усилить мониторинг и анализ журналов аудита (лог-файлов) на всех потенциально затронутых системах.

Обнаружение этой уязвимости вновь поднимает вопросы безопасности в сфере программ для удалённого доступа. Подобные инструменты по своей природе являются привлекательной целью для злоумышленников. Поэтому выбор проверенных решений, своевременное обновление и сегментация сетей, где они используются, становятся критически важными практиками. Пока вендор не предоставит исправление, единственной надёжной защитой остаётся отказ от использования уязвимых версий Remote for Mac и переход на альтернативные, безопасно сконфигурированные средства удалённого управления.

Детали уязвимости

Ссылки