В понедельник американское агентство по кибербезопасности CISA расширило свой каталог эксплуатируемых уязвимостей (KEV), включив в него сразу четыре свежие "дыру", которыми хакеры уже воспользовались на практике.
Список опасных уязвимостей:
- CVE-2014-3931 (CVSS: 9.8) — Переполнение буфера в Multi-Router Looking Glass (MRLG): позволяет удалённому злоумышленнику записывать данные по произвольному адресу, что приводит к сбоям и повреждению памяти.
- CVE-2016-10033 (CVSS: 9.8) — Уязвимость в PHPMailer: злонамеренный пользователь способен запускать на сервере любой код или полностью "положить" приложение.
- CVE-2019-5418 (CVSS: 7.5) — Проблема с обходом путей в Action View (Ruby on Rails): даёт постороннему доступ ко всем файлам на атакуемой машине.
- CVE-2019-9621 (CVSS: 7.5) — SSRF в Zimbra Collaboration Suite: даёт злоумышленнику лазейку к внутренним ресурсам, а также позволяет удалённо выполнять код.
- CVE-2014-3931 (CVSS: 9.8) — переполнение буфера в Multi-Router Looking Glass, из-за чего возможен полный сбой системы из-за произвольной записи в память.
CVE-2014-3931
- CVE-2016-10033 (CVSS: 9.8) — критическая брешь в PHPMailer: позволяет внедрять команды для выполнения и вызвать полный отказ в работе.
CVE-2016-10033
- CVE-2019-5418 (CVSS: 7.5) — через Action View на Rails можно получить доступ ко всем файлам на сервере.
CVE-2019-5418
- CVE-2019-9621 (CVSS: 7.5) — SSRF-уязвимость в Zimbra Collaboration Suite открывает доступ к внутренним сервисам и даёт возможность запускать посторонний код.
CVE-2019-9621
Детали эксплуатации первых трёх уязвимостей пока не раскрыты. Известно лишь, что четвёртую — CVE-2019-9621 — активно использовала киберпреступная группа Earth Lusca из Китая уже в сентябре 2023: через неё они внедряли web shell и Cobalt Strike.
Поскольку все эти дыры реально используются хакерами, американским госорганизациям предписано провести обновления не позднее 28 июля 2025 года, чтобы обезопасить свои сети.
Технические детали: свежая уязвимость Citrix Bleed 2
Параллельно лаборатории watchTowr и Horizon3.ai опубликовали технический анализ новой опасной уязвимости в Citrix NetScaler ADC (CVE-2025-5777, её также называют Citrix Bleed 2), которая уже подверглась хакерским атакам.
«Мы уже фиксируем реальные взломы с использованием CVE-2025-5777 и CVE-2025-6543, — сообщил основатель watchTowr Бенджамин Харрис. — Эта брешь позволяет выкачивать содержимое оперативной памяти: злоумышленники крадут логины, токены и другие приватные данные прямо во время HTTP-запросов».
Эксперты рассказали: если отправить специальный запрос на адрес "/p/u/doAuthentication.do" или похожие уязвимые точки входа, сервер возвращает введённые пользователем значения вне зависимости от того, успешен был вход или нет.
По данным Horizon3.ai, если в HTTP-запросе указать параметр “login” без знака “=” и значения, сервер отдаёт примерно 127 байт данных из памяти — отсюда можно достать токены сессий и другую критически важную информацию.
В корне уязвимости — некорректная работа функции snprintf с форматом "%.*s".
«%.*s даёт команду: “Печатай до N символов или до первого нулевого байта (\0)”. Такой байт рано или поздно встретится в памяти, поэтому утечка не бесконечна, но с каждого запроса можно получить новый кусочек данных», — поясняют специалисты.
«Если снова и снова отправлять запрос в "уязвимую" точку входа без знака ‘=’, в ответ вы получите новую порцию сырой информации из стека. Повторив атаку много раз, реально извлечь действительно ценные фрагменты».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru