Positive Technologies представила мартовский дайджест трендовых уязвимостей

В марте 2025 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости. Это недостатки безопасности в продуктах Microsoft, сетевых устройствах Palo Alto Networks и в почтовом сервере CommuniGate Pro.

Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 10 и 11).

Уязвимость, связанная с повышением привилегий пользователя, в драйвере Ancillary Function (AFD.sys)

CVE-2025-21418 (CVSS — 7,8)

Эксплуатируя уязвимость, злоумышленник может добиться переполнения буфера компьютера, которое позволит перезаписать соседние области памяти в куче[1]. Атакующий способен перехватить управление системой и выполнить произвольный код с привилегиями SYSTEM[2]. В случае успеха преступник может получить полный контроль над уязвимой системой. Это позволит, например, устанавливать вредоносное ПО, красть конфиденциальные данные или использовать скомпрометированную систему для дальнейшей реализации атаки в сети.

Уязвимость, связанная с повышением привилегий, в хранилище Windows

CVE-2025-21391 (CVSS — 7,1)

Уязвимость обнаружена в Windows Storage, отвечающем за хранение данных на компьютере. Она связана с некорректной обработкой символических ссылок[3] и ярлыков, используемых при операциях с файлами. В результате эксплуатации уязвимости может быть удалена критически важная информация, что может стать причиной не только потери данных, но и сбоев в работе. Кроме того, Zero Day Initiative сообщает о том, что произвольное удаление затронутых файлов в ряде случаев может привести к повышению привилегий и полному захвату системы.

Чтобы защититься, пользователям необходимо установить обновления безопасности — CVE-2025-21418, CVE-2025-21391.

Уязвимость, связанная с обходом аутентификации, в сетевых устройствах Palo Alto Networks

CVE-2025-0108 (CVSS — 8.8)

Уязвимость может быть проэксплуатирована совместно с другими недостатками безопасности — CVE-2024-9474, CVE-2025-0111. Эксперты Positive Technologies отнесли эту уязвимость к трендовой, потому что решения Palo Alto Networks широко используются в России. По данным Palo Alto Networks, уязвимости уже используются злоумышленниками в инцидентах. Потенциально к атаке, осуществляемой посредством совместной эксплуатации уязвимостей, могут быть уязвимы 2000 серверов.

Уязвимость связана с ошибкой аутентификации в веб-интерфейсе управления операционной системы PAN-OS, возникающей из-за различий в обработке запросов между веб-серверами nginx и Apache. Выполнив специальный запрос, злоумышленник может обойти аутентификацию и запустить определенные PHP[4]-скрипты. Как следствие, он может получить несанкционированный доступ к критически важным функциям системы, что повысит риск дальнейшего развития атаки.

Чтобы защититься, пользователям необходимо установить обновления на уязвимые устройства и следовать рекомендациям вендора.

Уязвимость, связанная с удаленным выполнением кода, в почтовом сервере CommuniGate Pro 

BDU:2025-01331 (CVSS — 9,8)

По данным TAdviser, в России доступно более 2000 почтовых серверов c программным обеспечением CommuniGate.

Уязвимость в почтовом сервере CommuniGate Pro возникает из-за ошибки, связанной с переполнением буфера, расположенном в стеке компьютера. Для эксплуатации недостатка не требуется проходить аутентификацию, что делает почтовый сервер уязвимым, поскольку он доступен из интернета. Успешная эксплуатация позволяет атакующему выполнить произвольный код и далее получить несанкционированный доступ к системе, украсть данные или при определенных условиях захватить систему.

Чтобы защититься, пользователям необходимо установить обновленную версию ПО и следовать рекомендациям вендора.

[1] Куча — область памяти, выделенная определенной программе.
[2] SYSTEM — самые высокие привилегии в операционной системе Windows.
[3] Символическая ссылка — тип файла, указывающий на другой файл или папку в файловой системе.
[4] PHP — это серверный язык написания скриптов, предназначенный для создания интерактивных веб-страниц.