Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
11.10.2025

Октябрьский обзор трендовых уязвимостей: Cisco и Linux под угрозой

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 3 трендовых уязвимости:

Уязвимости в продуктах Cisco ASA и Cisco FTD

Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN: PT-2025-39421 ( CVE-2025-20362 ) и PT-2025-39420 ( CVE-2025-20333 )

Уязвимость в утилите sudo

Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo: PT-2025-27466 ( CVE-2025-32463 )

Начнем.

Уязвимости, связанные с удаленным выполнением кода, в компоненте веб-сервера VPN

PT-2025-39421 (CVE-2025-20362; CVSS — 6,5; средний уровень опасности) и PT-2025-39420 (CVE-2025-20333; CVSS — 9,9; критический уровень опасности)

Cisco ASA и FTD — одни из самых распространённых решений для защиты периметра и организации удалённого доступа к корпоративной инфраструктуре. 25 сентября для них вышли обновления, исправляющие цепочку уязвимостей для получения полного контроля над устройствами:

Уязвимость CVE-2025-20362 позволяет неаутентифицированному злоумышленнику получить доступ к URL с ограниченным доступом.

Уязвимость CVE-2025-20333 позволяет аутентифицированному злоумышленнику выполнить произвольный код от root-а.

Cisco сообщают , что цепочка уязвимостей эксплуатируется в атаках с мая 2025 года. Атаки связаны с кампанией ArcaneDoor . В атаках используются малвари LINE VIPER и RayInitiator.

Shadowserver показывает более 45000 уязвимых хостов, из них более 2000 в России.

Признаки эксплуатации: обе уязвимости активно эксплуатируются в реальных атаках. GreyNoise предупредила о сканированиях, нацеленных на Cisco ASA, которые начались еще в конце августа. Как отмечает Cisco , с мая CVE-2025-20362 и CVE-2025-20333 совместно используются в атаках на государственные учреждения, использующие Cisco ASA серии 5500-X без настроенных Secure Boot и Trust Anchor, для установки шпионского ПО и кражи конфиденциальных данных. По сообщениям Национального центра кибербезопасности Великобритании (NCSC) , злоумышленники также распространяли ранее неизвестные семейства вредоносного ПО RayInitiator и LINE VIPER с помощью этих уязвимостей. Кроме того, агентство CISA добавило CVE-2025-20362 и CVE-2025-20333 в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Количество потенциальных жертв: согласно The Shadowserver Foundation , по состоянию на 30 сентября в интернете было доступно более 48 000 экземпляров Cisco ASA и Cisco FTD, уязвимых к CVE-2025-20362 и CVE-2025-20333. Более 2000 из них находились в России.

Способы устранения описанных уязвимостей: Cisco выпустила обновления безопасности для устранения CVE-2025-20333 и CVE-2025-20362 . Рекомендуется обновить затронутые системы до исправленных версий. Кроме того, киберагентства ACSC (Австралия), CERT-FR (Франция), CISA (США) и CSE (Канада) опубликовали дополнительные рекомендации для организаций, использующих Cisco ASA и Cisco FTD.

Уязвимость, связанная с повышением привилегий, в функции chroot утилиты sudo

PT-2025-27466 (CVE-2025-32463; CVSS — 9,3; критический уровень опасности)

Sudo — это утилита в Unix-подобных операционных системах, которая позволяет пользователю запускать программу с привилегиями другого пользователя, по умолчанию — суперпользователя (root).

Уязвимость позволяет локальному злоумышленнику повысить свои привилегии, заставив sudo загрузить произвольную динамическую библиотеку, используя указанный через опцию -R (--chroot) корневой каталог. Злоумышленник может выполнять произвольные команды от root-а на системах, поддерживающих /etc/nsswitch.conf ( Name Service Switch configuration file ).

Уязвимость была исправлена в версии sudo 1.9.17p1, вышедшей 30 июня 2025 года.

В тот же день вышел write-up от исследователя Rich Mirch с PoC-ом эксплоита .

Я отмечал устранение этой уязвимости Linux-вендорами в рамках июльского Linux Patch Wednesday . Для уязвимости было доступно множество публичных эксплоитов .

29 сентября уязвимость была добавлена в CISA KEV.

Признаки эксплуатации: CISA зафиксировало случаи эксплуатации уязвимости в реальных атаках и добавило ее в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: под угрозой эксплуатации уязвимости находятся все Linux-системы, на которых установлена утилита sudo версии от 1.9.14 до 1.9.17.

Способы устранения, компенсирующие меры: пользователям рекомендуется установить актуальные версии пакетов sudo.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs , в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.