По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в мае к трендовым отнесены семь уязвимостей.
Три уязвимости обнаружены в продуктах компании Microsoft: две (CVE-2025-32701, CVE-2025-32706) в драйвере CLFS.sys для работы подсистемы журналирования, одна (CVE-2025-30400) — в библиотеке ядра Windows (DWM1 Core Library). Все они имеют высокий уровень опасности и могут позволить злоумышленнику повысить привилегии до уровня SYSTEM.
Эксплуатация критически опасной уязвимости (CVE-2024-38475) в HTTP-сервере Apache позволяет злоумышленнику без аутентификации удаленно выполнять код и читать произвольные файлы на уязвимых устройствах.
Уязвимость среднего уровня опасности в 7-Zip (BDU:2025-01793) связана с некорректной постановкой метки Mark of the Web при распаковке пользователем архивов и может упростить проведение фишинговых атак.
Две XSS-уязвимости2 среднего уровня опасности обнаружены в почтовых серверах MDaemon (CVE-2024-11182) и Zimbra Collaboration Suite (CVE-2024-27443). Обе позволяют атакующему выполнить произвольный JavaScript-код в контексте браузера при открытии жертвой вредоносного письма.
Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
1 DWM (Desktop Window Manager) — композитный оконный менеджер, используемый в операционной системе Windows (начиная с Windows Vista) и предназначенный для визуализации графического интерфейса пользователя с помощью аппаратного ускорения.
2 XSS (cross-site scripting, межсайтовый скриптинг) — уязвимость, используя которую злоумышленник может внедрить произвольный код в HTML-страницу, генерируемую скриптами на сервере.
Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
CVE-2025-30400 (оценка по CVSS — 7,8; высокий уровень опасности)
Уязвимость затрагивает DWM Core Library, библиотеку ядра, и связана с проблемой в использовании памяти после ее освобождения (CWE-416). Злоумышленник, получив первоначальный доступ к устройству, может использовать уязвимость и повысить привилегии до уровня SYSTEM. Это означает, что в случае успеха преступник может получить полный контроль над уязвимой системой.
The Hacker News отмечает, что CVE-2025-30400 — третья уязвимость в DWM Core Library, связанная с повышением привилегий и используемая в атаках с 2023 года. Одну из таких уязвимостей (CVE-2024-30051) мы рассматривали в нашем дайджесте в мае 2024 года.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA также добавила уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: отсутствуют в открытом доступе.
CVE-2025-32701 (оценка по CVSS — 7,8; высокий уровень опасности) и CVE-2025-32706 (оценка по CVSS — 7,8; высокий уровень опасности)
Обе уязвимости обнаружены в драйвере CLFS.sys, используемом для работы подсистемы журналирования Common Log File System (CLFS) операционной системы Windows. CVE-2025-32701 связана с проблемой в использовании памяти после ее освобождения (CWE-416), CVE-2025-32706 возникает из-за недостаточной проверки вводимых данных (CWE-20). Успешная эксплуатация этих уязвимостей позволяет локальному злоумышленнику повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы.
Как подчеркивает The Hacker News, CVE-2025-32701 и CVE-2025-32706 — седьмая и восьмая уязвимости в компоненте CLFS, связанные с повышением привилегий и используемые в реальных атаках с 2022 года. В предыдущем дайджесте трендовых уязвимостей мы описывали одну из таких уязвимостей — CVE-2025-29824. Она была проэксплуатирована в ряде инцидентов, в том числе связанных с группировкой вымогателей. Zero Day Initiative также подчеркивает: подобные недостатки использовались группировками вымогателей и вполне вероятно, что с этими уязвимостями преступники поступят так же.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации CVE-2025-32701 и CVE-2025-32706. CISA также добавила обе уязвимости в каталог KEV как активно эксплуатируемые.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-30400, CVE-2025-32701 и CVE-2025-32706).
CVE-2024-38475 (оценка по CVSS — 9,8; критический уровень опасности)
Уязвимость связана с неправильным экранированием выходных данных (CWE-116) в модуле mod_rewrite HTTP-сервера Apache, предназначенном для преобразования URL-адресов. Ошибка позволяет неаутентифицированному злоумышленнику сопоставлять URL-адреса с путями в файловой системе, доступными серверу, но не предназначенными для прямого обращения через URL. В результате преступник может получить возможность удаленно выполнять код или читать произвольные файлы. Успешная эксплуатация может привести к получению злоумышленником несанкционированного доступа к данным и к потере контроля над сервером.
Впервые CVE-2024-38475 и еще восемь других уязвимостей в HTTP-сервере Apache обнаружил исследователь Orange Tsai из компании DEVCORE — он представил информацию о них на конференции BlackHat USA 2024.
Признаки эксплуатации: стало известно, что уязвимость была проэксплуатирована для компрометации шлюзов безопасного доступа SonicWall SMA. Помимо нее, для атак на устройства этой серии использовалась уязвимость CVE-2023-44221. Компания watchTowr Labs в своем блоге сообщила, что CVE-2024-38475 позволяет читать файл базы SQLite3 с активными сессиями. Проэксплуатировав CVE-2024-38475 и CVE-2024-38475, злоумышленник может украсть токен текущей сессии администратора и выполнить произвольные команды на устройствах с SonicWall SMA. Кроме того, CISA добавила обе эти уязвимости в каталог KEV как активно эксплуатируемые.
Публично доступные эксплойты: в открытом доступе опубликован PoC. Дополнительно исследователи watchTowr Labs представили PoC для цепочки из CVE-2024-38475 и CVE-2023-44221.
Количество потенциальных жертв: согласно данным SecurityScorecard, обнаружено около 3,91 миллиона потенциально уязвимых IP-адресов.
Способы устранения, компенсирующие меры: согласно рекомендациям Apache, необходимо установить обновленную версию Apache HTTP Server (2.4.60 и выше). Компания SonicWall рекомендует пользователям обновить прошивку до версии 10.2.1.14-75sv и выше, а администраторам — проверить журналы авторизации и убедиться в отсутствии признаков взлома.
3 SQLite — одна из самых широко используемых систем управления базами данных с открытым исходным кодом. Хранит всю базу данных, состоящую из табличных записей, связей между ними, индексов и других сведений, в виде одного кросс-платформенного файла — это позволяет нескольким процессам или потокам одновременно обращаться к ней.
BDU:2025-01793 (оценка по CVSS — 5,7; средний уровень опасности)
Уязвимость обнаружена в версии 24.08 архиватора 7-Zip и связана с некорректной постановкой метки Mark of the Web — механизма защиты в операционных системах Windows, помечающего файлы, загруженные из ненадежных источников. При загрузке и последующей распаковке архива 7-Zip, содержащего вредоносный файл, механизмы безопасности Windows не сообщают пользователю об опасности. В результате успешной эксплуатации уязвимости преступник способен удаленно выполнить код, что может привести к установке вредоносного ПО на устройство жертвы и к утечке конфиденциальной информации.
В февральском дайджесте трендовых уязвимостей мы сообщали о похожей уязвимости — CVE-2025-0411. Она связана с запуском файлов из интерфейса архиватора, добавлена в каталог известных эксплуатируемых уязвимостей и устранена в обновлении. В описываемом же случае проблема затрагивает распакованные архивы. Разработчик утилиты сообщил исследователю из Positive Technologies Константину Дымову, обнаружившему уязвимость, что эта ошибка исправлена не будет.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Количество потенциальных жертв: по данным SourceForge, скачано около 430 миллионов копий программы. Все устройства с устаревшей версией 7-Zip потенциально уязвимы.
Компенсирующие меры: на сайте БДУ ФСТЭК приведены следующие рекомендации:
В конфигурации 7-Zip установить значение Yes для параметра Propagate Zone.Id stream.
Использовать антивирусное программное обеспечение для проверки содержимого архивов, полученных из недоверенных источников.
Использовать изолированную программную среду для распаковки архивов, полученных из недоверенных источников.
Ограничить возможность запускать исполняемые файлы программного обеспечения от имени администраторов безопасности.
CVE-2024-11182 (оценка по CVSS — 6,1; средний уровень опасности)
XSS-уязвимость (CWE-79) обнаружена в почтовом сервере MDaemon. Проблема возникает из-за ошибки в обработке содержимого HTML-писем. Злоумышленник может отправить жертве специально подготовленное HTML-письмо, в котором в теге <img> содержится вредоносный JavaScript-код. Если пользователь откроет письмо, вредоносный код выполнится в контексте его браузера. Успешно проэксплуатировав уязвимость, атакующий может украсть учетные данные, обойти двухфакторную аутентификацию, а также получить доступ к почтовому ящику и контактам пользователя.
Признаки эксплуатации: CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: как сообщает сама компания MDaemon, ее почтовый сервер используется более чем в 140 странах. По данным FOFA, почтовый сервер MDaemon работает более чем на 42 тысячах уникальных IP-адресов. Он распространен в Германии (более 12 тысяч уникальных IP-адресов), Италии (около 3 тысяч уникальных IP-адресов) и Китае (более 3 тысяч уникальных IP-адресов).
Способы устранения, компенсирующие меры: согласно рекомендации MDaemon, следует установить обновленную версию (24.5.1 и выше).
CVE-2024-27443 (оценка по CVSS — 6,1; средний уровень опасности)
XSS-уязвимость (CWE-79) обнаружена в функции CalendarInvite, связанной с приглашениями в календаре, пользовательского интерфейса веб-почты Zimbra и возникает из-за ошибки в обработке заголовка X-Zimbra-Calendar-Intended-For. Преступник может отправить жертве специально подготовленное письмо, в соответствующий заголовок которого будет внедрен вредоносный JavaScript-код. При просмотре сообщения в классическом веб-интерфейсе Zimbra вредоносная нагрузка выполнится в контексте браузера пользователя. В результате успешной эксплуатации уязвимости злоумышленник может украсть учетные данные пользователя, сообщения и контакты из почтового ящика.
Признаки эксплуатации: CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: по сообщениям компании Censys, на момент написания статьи обнаружено около 130 тысяч потенциально уязвимых экземпляров Zimbra Collaboration Suite.
Способы устранения, компенсирующие меры: необходимо обновить Zimbra Collaboration Suite до одной из исправленных версий (10.0.7, 9.0.0 Patch 39).
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.