Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) внесло критическую уязвимость в популярный текстовый редактор Notepad++ в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Эта мера предупреждает пользователей об опасности, которая может позволить злоумышленникам выполнить вредоносный (malicious) код на уязвимых системах.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-15556, затрагивает компонент обновления WinGUp в Notepad++. Проблема коренится в загрузке кода без проверки его целостности. Такая слабость позволяет киберпреступникам перехватывать или перенаправлять легитимный трафик обновлений. В результате приложение может загрузить и выполнить установщик, контролируемый атакующим, вместо официального обновления программного обеспечения. Успешная эксплуатация даёт противнику возможность запускать произвольный код с теми же привилегиями, что и у пользователя-жертвы.
Уязвимость классифицируется как CWE-494. Эта категория описывает недостатки, связанные именно с загрузкой кода без верификации его целостности. Когда программное обеспечение не проверяет подлинность и целостность загружаемых обновлений, возникает возможность для атак типа "человек посередине" (man-in-the-middle). В ходе таких атак злоумышленники могут подменить легитимные файлы скомпрометированными версиями.
Включение CISA этой уязвимости в каталог KEV указывает на опасения по поводу её активной эксплуатации в дикой природе. При этом агентство пока не подтвердило, используется ли данный недостаток в кампаниях, связанных с программами-вымогателями (ransomware). Потенциальное влияние уязвимости весьма значительно из-за повсеместного распространения Notepad++ среди разработчиков, системных администраторов и обычных пользователей по всему миру.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может установить вредоносное ПО, создать бэкдоры, похитить конфиденциальные данные или обеспечить постоянное (persistence) присутствие в скомпрометированных системах. Типичный сценарий атаки предполагает перехват сетевого трафика между приложением Notepad++ и серверами обновлений. Манипулируя DNS-ответами или выполняя атаки на сетевом уровне, угрозовые акторы могут перенаправлять запросы на обновление на вредоносные серверы. Эти серверы размещают вооружённые установщики, которые для уязвимого компонента обновления выглядят как легитимные.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-15556
- https://community.notepad-plus-plus.org/topic/27298/notepad-v8-8-9-vulnerability-fix
- https://notepad-plus-plus.org/news/hijacked-incident-info-update/
- https://github.com/notepad-plus-plus/notepad-plus-plus/commit/bcf2aa68ef414338d717e20e059459570ed6c5ab
- https://github.com/notepad-plus-plus/wingup/commit/ce0037549995ed0396cc363544d14b3425614fdb
- https://www.vulncheck.com/advisories/notepad-plus-plus-wingup-updater-lacks-update-integrity-verification
