Positive Technologies представила сентябрьский дайджест трендовых уязвимостей. Эксперты отнесли к трендовым еще восемь уязвимостей: недостатки безопасности в архиваторах файлов RARLAB WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver.
Опасные недостатки безопасности
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они уже активно эксплуатируются злоумышленниками либо могут быть использованы ими в ближайшее время.
Для обнаружения трендовых уязвимостей эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR
PT-2025-26225 (CVE-2025-6218, CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, CVSS — 8,8)
По данным исследователей, с момента выхода программа была загружена более 500 млн раз. Все устройства под управлением Windows с версиями WinRAR до 7.13 могут быть потенциально уязвимы.
Уязвимости, приводящие к удаленному выполнению кода, связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки (в том числе в системную, например Startup).
Как сообщают исследователи из ESET, злоумышленники создавали специально подготовленные RAR-архивы, файлы из которых при распаковке извлекались не в папку, которую выбрал пользователь, а в любую произвольную, заданную атакующим. Это позволяло обходить стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Помещенный в нее вредоносный файл автоматически запустится при следующем входе пользователя в систему, выполнится с его привилегиями. Это означает, что в случае успеха атакующий может перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.
Чтобы защититься, разработчики рекомендуют вручную загрузить и установить исправленную версию WinRAR ¾ 7.13.
Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip
PT-2025-32410 (CVE-2025-55188, CVSS — 3,6)
По данным платформы SourceForge, скачано около 430 млн копий программы. Все устройства, на которых установлены версии 7-Zip до 25.01, потенциально уязвимы.
В результате успешной эксплуатации уязвимости атакующий может повредить системные файлы, что позволит ему получить несанкционированный доступ к устройству или добиться удаленного выполнения кода при следующем входе пользователя в систему.
Уязвимость в первую очередь затрагивает операционные системы семейства Linux, в которых 7-Zip по умолчанию поддерживает обработку символических ссылок (специальный файл, который указывает на другой файл или папку в файловой системе). В таких случаях для успешной эксплуатации уязвимости достаточно, чтобы пользователь открыл вредоносный архив с помощью уязвимой версии 7-Zip. Эксплуатация этой уязвимости на устройствах на базе Windows тоже возможна, но она требует соблюдения дополнительных условий: процесс извлечения 7-Zip, запущенный с правами администратора, или активный режим разработчика.
Чтобы защититься, пользователям рекомендуется обновить программу до версии 25.01.
Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, Sap NetWeaver
PT-2025-20812 (CVE-2025-42999, CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, CVSS — 10,0)
Уязвимости были обнаружены в сервере разработки Visual Composer в SAP NetWeaver, который позволяет создавать компоненты приложений без программирования. По оценкам ИТ-интегратора «Т1 Интеграция», около 2 тыс. российских организаций продолжают использовать программные продукты SAP.
Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации (преобразовании данных из форматов, пригодных для передачи или хранения, обратно в объекты, с которыми работает программа). В таком случае отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер.
По сообщениям исследователей из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы (программы, которые внедряются на скомпрометированный сервер для получения постоянного доступа к системе), но и напрямую выполнять команды операционной системы. Выполнение этих команд с правами администратора приводит к полной компрометации системы, включая утечку конфиденциальных данных и нарушение работы сервисов SAP.
Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства. Кроме того, компании Onapsis и Mandiant совместно выпустили инструмент с открытым исходным кодом, с помощью которого пользователи SAP NetWeaver могут просканировать свои системы на наличие этих уязвимостей.
Уязвимости в платформе для проведения видеоконференций TrueConf Server
BDU:2025-10114 (оценка по CVSS — 7,5; высокий уровень опасности), BDU:2025-10115 (оценка по CVSS — 7,5; высокий уровень опасности), BDU:2025-10116 (оценка по CVSS — 9,8; критический уровень опасности)
По данным мониторинга актуальных угроз Positive Technologies, только в России на момент публикации информации об уязвимостях было обнаружено более 7 тыс. серверов, подверженных эксплуатации. Потенциально уязвимы все версии TrueConf Server до 5.5.1, 5.4.6, 5.3.7, установленные на любых операционных системах. При этом атака становится возможной, если уязвимая система расположена на внешнем периметре и доступна из публичной сети.
Все три уязвимости были обнаружены экспертом PT SWARM Никитой Петровым в программном решении TrueConf Server, предназначенном для организации видеоконференций. Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа к ресурсам. Эксплуатируя эту уязвимость, потенциальный злоумышленник может делать запросы к некоторым административным конечным точкам без аутентификации и проверки прав доступа. BDU:2025-10115 позволяет атакующему прочитать произвольные файлы в целевой системе и тем самым получить несанкционированный доступ к защищаемой информации. Эксплуатация BDU:2025-10116 дает нарушителю возможность удаленно внедрить и выполнить произвольные команды операционной системы.
Совместная эксплуатация этих уязвимостей позволяет нарушителю развивать атаку внутри корпоративной сети. Скомпрометировав уязвимый сервер, он может атаковать пользователей системы или развернуть шифровальщик с целью вымогательства.
Чтобы защититься, рекомендуется обновить TrueConf Server до версий 5.5.1, 5.4.6 и 5.3.7.
Источник: Positive Technologies
