По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем уязвимости, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в сентябре к трендовым были отнесены восемь уязвимостей.
Две уязвимости высокого уровня опасности (PT-2025-26225, CVE-2025-6218 и PT-2025-32352, CVE-2025-8088), обнаруженные в архиваторе файлов RARLAB WinRAR, относятся к классу Directory Traversal1 и позволяют злоумышленнику удаленно выполнить вредоносный код в контексте текущего пользователя, то есть с его привилегиями и доступами к файлам, сетям и приложениям.
Две критически опасные уязвимости были обнаружены в платформе SAP NetWeaver. Эксплуатация уязвимости PT-2025-20812 (CVE-2025-42999) дает злоумышленнику возможность удаленно выполнить произвольный код с помощью специальных HTTP-запросов, позволяющих отправлять данные на сервер. При эксплуатации этой уязвимости вместе с PT-2025-17845 (CVE-2025-31324) атакующий получает возможность загружать вредоносные файлы на сервер без прохождения аутентификации.
Уязвимость низкого уровня опасности (PT-2025-32410, CVE-2025-55188) в файловом архиваторе 7-Zip связана с некорректной обработкой символических ссылок2 при распаковке архивов и позволяет злоумышленнику перезаписывать произвольные файлы в целевой системе.
Три уязвимости (BDU:2025-10114, BDU:2025-10115, BDU:2025-10116) были обнаружены в платформе видеоконференций TrueConf Server. Эксплуатируя цепочку из этих уязвимостей, потенциальный злоумышленник может полностью скомпрометировать уязвимые серверы и получить доступ к корпоративной сети организации.
Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
1Directory Traversal — тип кибератаки, при которой злоумышленник может получить доступ к защищенной информации, используя уязвимости в файловой системе.
2Символическая ссылка — специальный файл, который указывает на другой файл или папку в файловой системе.
Уязвимости в архиваторе файлов WinRAR
Уязвимости, связанные с удаленным выполнением кода
PT-2025-26225 (CVE-2025-6218; оценка по CVSS — 7,8; высокий уровень опасности) и PT-2025-32352 (CVE-2025-8088; оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимости, приводящие к удаленному выполнению кода, возникают из-за недостаточно тщательной проверки путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной директории (в том числе в критически важные системные папки, например в каталоги Startup). Как сообщают исследователи из ESET, злоумышленники создавали специально подготовленные RAR-архивы, файлы из которых при распаковке извлекались не в каталог, который выбрал пользователь, а в любой произвольный каталог, заданным атакующим. Это позволяло им обходить стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в эту папку, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями. Это означает, что в случае успеха атакующий может перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего развития атаки внутри инфраструктуры.
Признаки эксплуатации: по данным ESET Research, уязвимость CVE-2025-8088 использовалась в целевых фишинговых атаках группировки RomCom, которые затронули финансовые, производственные, оборонные и логистические компании в Канаде и Европе. Аналитики из BI.ZONE также обнаружили фишинговые атаки, нацеленные на российские организации, в которых эксплуатировалась уязвимость CVE-2025-6218. Кроме того, агентство CISA добавило CVE-2025-8088 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе опубликованы PoC для CVE-2025-6218 и CVE-2025-8088.
Количество потенциальных жертв: с момента своего выхода программа была загружена более 500 миллионов раз. Все устройства под управлением Windows с версиями WinRAR ниже 7.13 потенциально уязвимы.
Способ устранения описанных уязвимостей: поскольку WinRAR не имеет функции автоматического обновления, разработчики рекомендуют вручную загрузить и установить исправленную версию WinRAR 7.13.
Уязвимости в платформе SAP NetWeaver
Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer
PT-2025-20812 (CVE-2025-42999; оценка по CVSS — 9,1; критический уровень опасности) и PT-2025-17845 (CVE-2025-31324; оценка по CVSS — 10,0; критический уровень опасности)
Обе уязвимости были обнаружены в сервере разработки Visual Composer в SAP NetWeaver, который позволяет создавать компоненты приложений без программирования. Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации3, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 заключается в отсутствии надлежащих проверок при загрузке файлов на сервер. Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы4, но и напрямую выполнять команды операционной системы. Эти команды выполняются с правами администратора, что приводит к полной компрометации системы, включая утечку конфиденциальных данных и нарушение работы сервисов SAP.
Признаки эксплуатации: Onapsis отмечает, что обе уязвимости активно эксплуатируются в реальных атаках. Кроме того, CVE-2025-42999 и CVE-2025-31324 были добавлены в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: существует эксплойт, использующий обе уязвимости и позволяющий добиться удаленного выполнения кода без прохождения аутентификации.
Количество потенциальных жертв: по оценкам ИТ-интегратора «Т1 Интеграция», около 2000 российских организаций продолжают использовать программные продукты SAP.
Способ устранения описанных уязвимостей: установить обновления безопасности на уязвимые устройства. Кроме того, компании Onapsis и Mandiant совместно выпустили инструмент с открытым исходным кодом, с помощью которого пользователи SAP NetWeaver могут просканировать свои системы на наличие уязвимостей CVE-2025-31324 и CVE-2025-42999.
3Десериализация — процесс преобразования данных из форматов, пригодных для передачи или хранения (например, JSON или XML), обратно в объекты, с которыми работает программа.
4Веб-шелл — программа, которую злоумышленники внедряют на скомпрометированный сервер с целью получить постоянный доступ к системе.
Уязвимость в архиваторе 7-Zip
Уязвимость, связанная с удаленным выполнением кода
PT-2025-32410 (CVE-2025-55188; оценка по CVSS — 3,6; низкий уровень опасности)
Уязвимость, обнаруженная в популярном архиваторе 7-Zip, связана с перезаписью произвольных файлов. Проблема заключается в некорректной обработке символических ссылок при извлечении содержимого из архивов. Как сообщает исследователь безопасности lunbun, обнаруживший уязвимость, злоумышленники могут создавать специально подготовленные архивы, содержащие символические ссылки, которые указывают на произвольные файлы в целевой системе. При извлечении файлов архиватор, следуя по этим ссылкам, может перезаписывать файлы за пределами папки, которую выбрал пользователь. В результате успешной эксплуатации атакующий может повредить системные файлы, что позволит ему получить несанкционированный доступ к устройству или добиться удаленного выполнения кода при следующем входе пользователя в систему.
Уязвимость в первую очередь затрагивает операционные системы семейства Linux, в которых 7-Zip по умолчанию поддерживает обработку символических ссылок. В таких случаях для успешной эксплуатации уязвимости достаточно, чтобы пользователь открыл вредоносный архив с помощью уязвимой версии 7-Zip. На устройствах на базе Windows эксплуатация этой уязвимости тоже возможна, но она требует соблюдения дополнительных условий: процесс извлечения 7-Zip, запущенный с правами администратора, или активный режим разработчика. Изначально MITRE присвоила CVE-2025-55188 оценку 2,7 по шкале CVSS 3.1 (низкий уровень опасности). Однако после того, как исследователь подал запрос на повторную оценку уязвимости, она была повышена до 3,6 по шкале CVSS 3.1.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: по данным платформы SourceForge, скачано около 430 миллионов копий программы. Все устройства, на которых установлены версии ниже 7-Zip 25.01, потенциально уязвимы.
Способы устранения, компенсирующие меры: пользователям рекомендуется обновить программу до версии 25.01, в которой уязвимость была исправлена.
Уязвимости в продуктах TrueConf
Уязвимости в платформе TrueConf Server
BDU:2025-10114 (оценка по CVSS — 7,5; высокий уровень опасности), BDU:2025-10115 (оценка по CVSS — 7,5; высокий уровень опасности), BDU:2025-10116 (оценка по CVSS — 9,8; критический уровень опасности)
Все три уязвимости были обнаружены экспертом PT SWARM Никитой Петровым в программном решении TrueConf Server, предназначенном для организации видеоконференций. Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа к ресурсам. Эксплуатируя эту уязвимость, потенциальный злоумышленник может делать запросы к некоторым административным конечным точкам без аутентификации и проверки прав доступа. BDU:2025-10115 позволяет атакующему осуществить чтение произвольных файлов в целевой системе и тем самым получить несанкционированный доступ к защищаемой информации. Эксплуатация BDU:2025-10116 дает нарушителю возможность удаленно внедрить и выполнить произвольные команды операционной системы.
Как отмечает сам исследователь, совместная эксплуатация этих уязвимостей позволяет нарушителю развивать атаку внутри корпоративной сети. Скомпрометировав уязвимый сервер, он может провести атаку на пользователей системы или развернуть шифровальщик с целью вымогательства. При выводе системы из строя пользователи теряют возможность коммуникации как внутри организации, так и с внешними партнерами, что может привести к нарушению коммерческих связей и потенциальным убыткам.
Признаки эксплуатации: случаи эксплуатации уязвимостей не выявлены.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Количество потенциальных жертв: по данным мониторинга актуальных угроз Positive Technologies, только в России на момент публикации информации об уязвимостях было обнаружено более 7000 серверов, подверженных угрозе. Потенциально уязвимы все версии TrueConf Server, кроме 5.5.1, 5.4.6, 5.3.7, установленные на любых операционных системах. При этом атака становится возможной, если уязвимая система расположена во внешнем периметре и доступна из публичной сети.
Способы устранения, компенсирующие меры: пользователям рекомендуется обновить TrueConf Server до версий 5.5.1, 5.4.6 и 5.3.7, в которых уязвимости были полностью устранены.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по их устранению и защитить инфраструктуру компании.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, который аккумулирует данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.