MaxPatrol VM
Где находятся уязвимости в вашей инфраструктуре?
Эксперты Positive Technologies отнесли к трендовым еще семь уязвимостей. Это недостатки безопасности в продуктах Microsoft, веб-сервере Apache, архиваторе 7-Zip и серверах электронной почты MDaemon и Synacore.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Уязвимости в продуктах Microsoft
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (с самых ранних и до Windows 10, Windows 11 включительно).
Уязвимость, связанная с повышением привилегий, в библиотеке ядра (DWM Core Library)
CVE-2025-30400 (CVSS — 7,8)
Злоумышленник, получив первоначальный доступ к устройству, может использовать уязвимость и повысить привилегии до уровня SYSTEM. Это означает, что в случае успеха преступник может получить полный контроль над уязвимой системой.
Уязвимости, связанные с повышением привилегий, в драйвере подсистемы журналирования Common Log File System (CLFS.sys)
CVE-2025-32701 (CVSS — 7,8) и CVE-2025-32706 (CVSS — 7,8)
Обе уязвимости обнаружены в драйвере CLFS.sys, используемом для работы подсистемы журналирования Common Log File System (CLFS) операционной системы Windows. CVE-2025-32701 связана с проблемой в использовании памяти после ее освобождения (CWE-416), CVE-2025-32706 возникает из-за недостаточной проверки вводимых данных (CWE-20). Успешная эксплуатация уязвимости позволяет локальному злоумышленнику повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы.
В предыдущем дайджесте мы описывали одну из подобных уязвимостей — CVE-2025-29824. Она была проэксплуатирована в ряде инцидентов, в том числе связанных с группировкой вымогателей. Zero Day Initiative также подчеркивает: подобные недостатки безопасности использовались группировками вымогателей и вполне вероятно, что с этими уязвимостями злоумышленники поступят так же.
Для того чтобы защититься, необходимо установить обновления безопасности — CVE-2025-30400, CVE-2025-32701 и CVE-2025-32706.
Уязвимости в веб-сервере Apache
Уязвимость, связанная с удаленным выполнением кода и чтением произвольных файлов
CVE-2024-38475 (CVSS — 9,8)
Согласно данным SecurityScorecard, обнаружено около 3,91 миллиона потенциально уязвимых IP-адресов.
Уязвимость связана с неправильным экранированием выходных данных (CWE-116) в модуле mod_rewrite HTTP-сервера Apache, предназначенном для преобразования URL-адресов. Ошибка позволяет неаутентифицированному злоумышленнику сопоставлять URL-адреса с путями в файловой системе, доступными серверу, но не предназначенными для прямого обращения через URL. В результате преступник может получить возможность удаленно выполнять код или читать произвольные файлы. Успешная эксплуатация уязвимости может привести к получению злоумышленником несанкционированного доступа и контроля над сервером.
Для того чтобы защититься, согласно рекомендациям Apache, необходимо установить обновленную версию Apache HTTP Server (2.4.60 и выше). Компания SonicWall рекомендует пользователям обновить прошивку до версии 10.2.1.14-75sv и выше, а администраторам — проверить журналы авторизации и убедиться в отсутствии признаков взлома.
Уязвимость в файловом архиваторе 7-Zip
Уязвимость, связанная с удаленным выполнением кода
BDU:2025-01793 (CVSS — 5,7)
По данным SourceForge, до даты последнего обновления информации об уязвимости (30 апреля) скачано около 430 миллионов копий программы. Все устройства с устаревшей версией 7-Zip потенциально подвержены опасности.
Уязвимость обнаружена в версии 7-Zip 24.08 и связана с некорректной постановкой метки Mark of the Web — механизма защиты в операционных системах Windows, помечающего файлы, загруженные из ненадежных источников. При загрузке и последующей распаковке архива 7-Zip, содержащего вредоносный файл, механизмы безопасности Windows не сообщают пользователю об опасности. В результате успешной эксплуатации уязвимости преступник способен удаленно выполнить код, что может привести к установке вредоносного ПО на устройство жертвы и к утечке конфиденциальной информации.
Для того чтобы защититься, необходимо следовать рекомендациям на сайте БДУ ФСТЭК:
- В конфигурации 7-Zip установить значение Yes для параметра Propagate Zone.Id stream.
- Использовать антивирусное программное обеспечение для проверки содержимого архивов, полученных из недоверенных источников.
- Использовать изолированную программную среду для распаковки архивов, полученных из недоверенных источников.
- Ограничить возможность запуска исполняемых файлов программного обеспечения от имени администраторов безопасности.
Уязвимости в продуктах MDaemon
XSS-уязвимость1 в почтовом сервере MDaemon
CVE-2024-11182 (CVSS — 6,1)
По данным компании MDaemon, ее почтовый сервер используется более чем в 140 странах. По информации FOFA, почтовый сервер MDaemon работает более чем на 42 тысячах уникальных IP-адресов.
Злоумышленник может отправить жертве специально подготовленное HTML-письмо, в котором в теге <img> содержится вредоносный JavaScript-код. Если пользователь откроет письмо, вредоносный код выполнится в контексте его браузера. Успешно проэксплуатировав уязвимость, атакующий может украсть учетные данные, обойти двухфакторную аутентификацию, а также получить доступ к почтовому ящику и контактам пользователя.
Для того чтобы защититься, следует установить обновленную версию почтового сервера (от 24.5.1 и выше).
Уязвимости в продуктах Synacore
XSS-уязвимость в почтовом сервере Zimbra Collaboration Suite
CVE-2024-27443 (CVSS — 6,1)
По данным компании Censys, обнаружено около 130 тысяч потенциально уязвимых экземпляров Zimbra Collaboration Suite.
XSS-уязвимость обнаружена в функции CalendarInvite, связанной с приглашениями в календаре, пользовательского интерфейса веб-почты Zimbra и возникает из-за ошибки в обработке заголовка X-Zimbra-Calendar-Intended-For. Злоумышленник может отправить жертве специально подготовленное письмо, в соответствующий заголовок которого будет внедрен вредоносный JavaScript-код. При просмотре сообщения в классическом веб-интерфейсе Zimbra вредоносная нагрузка выполнится в контексте браузера пользователя. В результате успешной эксплуатации уязвимости атакующий может украсть учетные данные пользователя, сообщения и контакты из почтового ящика.
Для того чтобы защититься, необходимо обновить Zimbra Collaboration Suite до одной из исправленных версий (10.0.7, 9.0.0 Patch 39).
- XSS (cross-site scripting, межсайтовый скриптинг) — уязвимость, используя которую злоумышленник может внедрить произвольный код в HTML-страницу, генерируемую скриптами на сервере.
