Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) для компрометации телекоммуникационной компании на Ближнем Востоке вскоре после её публичного раскрытия и последующего исправления в июле 2025 года. Инцидент демонстрирует, насколько быстро эксплойты могут быть использованы в реальных атаках даже после выпуска патчей.
Что такое ToolShell и связанные уязвимости
ToolShell — критическая уязвимость, затрагивающая локальные серверы SharePoint. Она допускает несанкционированный доступ, позволяя злоумышленникам удалённо выполнять код и получать доступ к содержимому сервера и файловым системам. Эта уязвимость функционировала как эксплойт zero-day и была исправлена в июле 2025 года.
Рядом с ToolShell в тот же период были устранены и другие связанные уязвимости:
- CVE-2025-49704 — связанная уязвимость, исправлена одновременно с ToolShell;
- CVE-2025-53771 — ошибка обхода пути, допускающая подмену сети авторизованными злоумышленниками, устранена вместе с ToolShell;
- CVE-2025-49706 — более старая уязвимость, на основе которой основывалась CVE-2025-53771, была устранена ранее.
Хронология инцидента
«Последовательность событий указывает на то, что вредоносные действия начались в телекоммуникационной компании 21 июля 2025 года, всего через два дня после установки исправления, поскольку злоумышленники развернули вероятную веб‑оболочку.»
Ключевые моменты:
- Публичное раскрытие и выпуск исправлений для ToolShell и сопутствующих CVE — июль 2025;
- Через два дня после установки исправления в целевой организации злоумышленники развернули вероятную веб‑оболочку;
- Атака была направлена не только на отдельные группы: она свидетельствует о более широком интересе китайских злоумышленников к этой уязвимости.
Последствия и выводы
Инцидент подчёркивает серьёзность уязвимости ToolShell и показывает, что атаки могут реализовываться оперативно — даже после официального исправления. Риски особенно высоки для организаций в секторах с критической инфраструктурой, таких как телекоммуникации, где компрометация серверов может привести к масштабным последствиям для доступности и конфиденциальности данных.
Рекомендации для организаций
- Своевременное применение патчей: устанавливать обновления безопасности сразу после их релиза и проверять успешность установки;
- Мониторинг и обнаружение: отслеживать аномалии в веб‑серверной активности и появление веб‑оболочек;
- Сегментация сети: ограничивать доступ между критическими системами и рабочими средами;
- Проверка целостности: регулярно сканировать файловые системы и сервера на признаки компрометации;
- Инцидент‑респонс: иметь готовые планы реагирования и средства для быстрой изоляции и восстановления пострадавших систем.
Этот случай служит напоминанием о том, что публикация и релиз исправления не гарантируют немедленной безопасности: злоумышленники готовы оперативно использовать уязвимости, и организациям необходимо поддерживать постоянную бдительность и оперативность в управлении уязвимостями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "ToolShell (CVE-2025-53770): компрометация телекомоператора после исправления".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
