В системах электронной безопасности Libraesva ESG обнаружена критическая уязвимость внедрения команд, позволяющая злоумышленникам выполнять произвольные команды на уровне операционной системы. Уязвимость, получившая идентификатор CVE-2025-59689, затрагивает версии программного обеспечения, начиная с 4.5. По данным компании, инцидент активной эксплуатации уже зафиксирован.
Детали уязвимости
Техническая суть уязвимости заключается в недостаточной очистке входных данных при удалении активного кода из файлов, содержащихся в сжатых архивных вложениях электронных писем. Когда система Libraesva ESG обрабатывает определенные типы сжатых вложений, механизм сканирования неправильно проверяет параметры, что создает условия для успешной атаки внедрения команд. Это означает, что злоумышленники могут отправить специально сформированное письмо со сжатым архивом, внутри которого находится вредоносная полезная нагрузка. Конструкция файлов-полезной нагрузки позволяет обойти логику санитизации приложения и де-факто отключить security-контроли.
После успешного обхода системы безопасности угрожающие акторы получают возможность выполнять произвольные команды в оболочке операционной системы, но под учетной записью непривилегированного пользователя. Уязвимость напрямую затрагивает функционал обработки архивов в движке сканирования почты. В момент, когда система пытается проверить сжатое вложение на наличие вредоносного контента, неправильная обработка определенных форматов архивов позволяет внедренным командам вырваться из песочницы безопасности и выполниться на основной системе.
Компания Libraesva отреагировала оперативно, выпустив экстренные патчи для всех актуальных версий продуктовой линейки ESG. Пользователям ESG 5.0 необходимо обновиться до версии 5.0.31, для ESG 5.1 требуется версия 5.1.20. Клиентам с ESG 5.2 нужна версия 5.2.31, для ESG 5.3 - 5.3.16, для ESG 5.4 - 5.4.8, а для самой новой ESG 5.5 - версия 5.5.7. Компания задействовала систему автоматического развертывания исправлений, которая доставила фиксы на все установки ESG 5.x в течение семнадцати часов с момента обнаружения уязвимости.
Клиенты облачной версии получили обновления автоматически, без необходимости каких-либо действий с их стороны. Локальные установки версии 5.x также получили исправления в автоматическом режиме через канал обновлений. Комплексный ответ Libraesva включал не только основное исправление, устраняющее проблему санитизации, но и автоматизированное сканирование на предмет индикаторов компрометации, а также модуль самодиагностики для проверки целостности патча и обнаружения остаточных угроз.
Подтвержден один инцидент активной эксплуатации уязвимости. Высокая точность атаки и ее сфокусированность на единичных устройствах указывает на то, что целью продвинутых угрожающих акторов была именно стратегическая разведка, а не массовая кампания. Клиенты, которые до сих пор используют устаревшие версии 4.x, вышедшие из поддержки, должны вручную выполнить переход на версию 5.x, чтобы получить защиту от данной угрозы. Автоматические исправления для этих версий не предоставляются.
Обнаружение и эксплуатация уязвимости в системе безопасности почтового трафика, особенно той, что связана с обработкой архивов, подчеркивает сохраняющуюся актуальность угроз. Атака демонстрирует, что даже специализированные защитные решения требуют постоянного аудита и своевременного обновления. Для конечных организаций данный инцидент служит напоминанием о критической важности поддержки используемого программного обеспечения в актуальном состоянии и оперативного применения выпущенных производителем исправлений безопасности, особенно когда речь идет о периметровых системах защиты, таких как почтовые шлюзы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59689
- https://nvd.nist.gov/vuln/detail/CVE-2025-59689
- https://docs.libraesva.com/knowledgebase/security-advisory-command-injection-vulnerability-cve-2025-59689/
