ТОП-5 ИБ-событий недели по версии Jet CSIRT

Уязвимость CVE-2025-0411 позволяет обходить защиту Windows Mark-of-the-Web

Уязвимость CVE-2025-0411 (CVSS 7.0) позволяет злоумышленникам обходить механизм защиты WIndows Mark-of-the-Web путем двойного архивирования содержимого с помощью 7-Zip. При разархивировании Motw помечает локальную копию файла, если он был получен из интернета, что предотвращает выполнение на конечном узле. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл, например, с помощью фишинговых писем. При извлечении файлов из созданного архива, который содержит Mark-of-the-Web, 7-Zip не распространяет Mark-of-the-Web на извлеченные файлы. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в контексте текущего пользователя. Чтобы предотвратить проведение атаки, рекомендуется немедленно обновить архиватор до версии 7-Zip 24.09.

Критическая уязвимость Veeam Backup

Критическая уязвимость CVE-2025-23114 (CVSS 9.0), обнаруженная в компоненте Veam Updater, затрагивает продукты Veam Backup для Salesforce, Nutanix AHV, AWS, Microsoft Azure, Google Cloud, Oracle Linux Virtualization Manager и Red Hat. Эксплуатация уязвимости позволяет злоумышленникам перехватывать и изменять запросы на обновление между уязвимым устройством Veam и сервером обновлений, внедряя вредоносный код, что может привести к полному взлому системы. Специалисты Veeam уже выпустили обновление для уязвимых продуктов Veeam Updater. Обновление можно выполнить с помощью встроенного Veeam Updater для обновления самого компонента Veeam Updater.

Выпущен PoC-эксплойт для уязвимости ядра macOS

Появился proof-of-concept-эксплойт для уязвимости ядра macOS, обозначенной как CVE-2025-24118 (CVSS: 9.8), позволяющей злоумышленнику повысить привилегии и выполнить код на уровне ядра. Уязвимость нацелена на учетные данные процесса, хранящиеся в области, предназначенной только для чтения. Как правило, эта информация защищена Safe Memory Reclamation (SMR), однако принцип обновления памяти создает «состояние гонки», позволяющее атакующему подменить указатель учетных данных. Рекомендуется провести обновление систем macOS до последних версий: iPadOS 17.7.4, macOS Sequoia 15.3, macOS Sonoma 14.7.3.

Cisco выпустила обновления с исправлениями критических уязвимостей Identity Services Engine (ISE)

Компания Cisco выпустила срочные обновления для Identity Services Engine (ISE), устраняющие две критические уязвимости (CVE-2025-20124 и CVE-2025-20125), позволяющие злоумышленникам удаленно выполнять произвольный код и повышать свои привилегии. CVE-2025-20124 (CVSS 9.9) — уязвимость десериализации Java, позволяющая аутентифицированному злоумышленнику выполнять команды с правами root. CVE-2025-20125 (CVSS 9.1) — уязвимость обхода авторизации, дающая аутентифицированному пользователю с правами только для чтения доступ к конфиденциальной информации, возможности изменения настроек и перезагрузки системы. Обе уязвимости независимы друг от друга и эксплуатируются путем отправки специально сформированных HTTP-запросов или сериализованных Java-объектов. Рекомендуем пользователям немедленно обновить свои системы ISE до версий 3.0. (и выше).

Злоумышленники используют открытые ключи ASP.NET для развертывания вредоносного ПО

Microsoft предупреждает, что злоумышленники внедряют вредоносное ПО в атаках с инъекций кода ViewState, используя машинные ключи ASP.NET, найденные в интернете. Злоумышленники находят ключи, забытые разработчиками в публично доступных репозиториях Git, и используют их для получения несанкционированного доступа к веб-приложениям, работающим на платформе ASP.NET. ASP.NET Web Forms использует ViewState для сохранения данных пользователя между перезагрузками страницы. Однако компрометация машинного ключа позволяет злоумышленникам манипулировать ViewState, добавляя вредоносный код. При обработке POST-запроса сервер ASP.NET расшифровывает и выполняет этот вредоносный код, что приводит к установке дополнительных вредоносных программ на сервере IIS. Разработчикам рекомендуется самостоятельно генерировать и не использовать найденные в публичном доступе ключи, а также обновить приложение до версии ASP.NET 4.8 для включения возможности сканирования вредоносных программ.