Хабр, привет!
На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, телеграм-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное - трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили в общий список еще четыре трендовые уязвимости:
yязвимость, приводящая к локальному повышению привилегий, в подсистеме криптографического API ядра Linux - PT-2026-34274, (CVE-2026-31431);
уязвимость, приводящая к удаленному выполнению кода, в Apache ActiveMQ Classic - PT-2026-30805, (CVE-2026-34197);
уязвимость, приводящая к подмене данных, в Microsoft SharePoint Server - PT-2026-32853, (CVE-2026-32201);
уязвимость, приводящая к удаленному выполнению кода, в Adobe Acrobat Reader - PT-2026-32093, (CVE-2026-34621).
В этот раз отступим от традиции и начнем не с уязвимостей Microsoft, а с громкой уязвимости в Linux. Опасна она тем, что позволяет очень просто и надежно повысить привилегии в системе и получить полный контроль над хостом.
Уязвимость, приводящая к локальному повышению привилегий, в подсистеме криптографического API ядра Linux
PT-2026-34274 (CVE-2026-31431, оценка по CVSS — 7,8, высокий уровень опасности)
Уязвимость локального повышения привилегий в компоненте ядра Linux AF_ALG, которая вызвана ошибкой работы с памятью, позволяет непривилегированному пользователю поднять привилегии до root-а. Проэксплуатировав эту уязвимость, злоумышленник может полностью захватить систему: читать и изменять любые файлы, включая пароли и ключи, подменять системные бинарные файлы, отключать защитные механизмы и средства мониторинга, незаметно устанавливать бэкдоры и закрепляться в системе, скрывать следы своей активности, использовать хост как плацдарм для атак на другие сетевые активы.
Что отличает эту уязвимость от подобных EOP/LPE в Linux?
В Linux Kernel уже были громкие уязвимости повышения привилегий. Dirty Cow требовала выигрыша в race condition. Часто приходилось делать несколько попыток, и иногда это приводило к падению системы. Dirty Pipe была привязана к конкретным версиям и требовала точных манипуляций с pipe buffer.
Но, в отличие от Dirty Cow и Dirty Pipe, как сообщают исследователи, Copy Fail - это прямолинейная логическая ошибка. Она срабатывает без гонок, повторных попыток или нестабильных временных окон, приводящих к сбоям.
🧬 Портируемость. Один и тот же скрипт эксплуатации работает на всех протестированных дистрибутивах и архитектурах, включая Ubuntu, Amazon Linux, Red Hat Enterprise Linux и SUSE Linux Enterprise. Никаких оффсетов под конкретный дистрибутив. Никакой перекомпиляции. В эксплоите нет проверок версии.
✧ Минимализм. Весь эксплойт - это короткий скрипт на Python, использующий только стандартные модули библиотеки os, socket, zlib. Требуется Python 3.10+ для os.splice. Никаких скомпилированных нагрузок, никакой установки зависимостей.
🥷 Скрытность. Операция записи выполняется, минуя обычный путь записи VFS («ordinary VFS write path»). Повреждённая страница никогда не помечается ядром как dirty в механизме writeback. Стандартные инструменты контроля целостности файлов, сравнивающие контрольные суммы на диске, не заметят эксплуатацию, потому что файл на диске не изменяется. Повреждается только кэш страниц в памяти.
📦 Межконтейнерное воздействие. Кэш страниц разделяется всеми процессами в системе, в том числе между контейнерами. Copy Fail - это не просто локальное повышение привилегий. Это примитив выхода из контейнера и вектор компрометации узла Kubernetes.
Признаки эксплуатации: CISA добавило CVE-2026-31431 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: по данным платформы Couponsly.in, уязвимость Copy Fail потенциально затрагивает от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.
Способы устранения, компенсирующие меры: администраторам затронутых систем рекомендуется обновить ядро Linux до версии 6.18.22, 6.19.12 или 7.0. Также исследователи рекомендуют отключить модуль algif_aead.
Продолжим уязвимостью в решении, широко используемом в корпоративных системах и интеграционных платформах.
Уязвимость, приводящая к удаленному выполнению кода, в Apache ActiveMQ Classic
PT-2026-30805 (CVE-2026-34197, оценка по CVSS — 8,8, высокий уровень опасности)
Apache ActiveMQ - популярный брокер сообщений с открытым исходным кодом, написанный на языке Java. Его основная задача - передавать сообщения между разными сервисами, системами и микросервисами без прямого соединения между ними.
Уязвимость из апрельского Linux Patch Wednesday. Подробности об уязвимости были опубликованы 7 апреля в блоге компании HORIZON3.ai. Они утверждают, что эта уязвимость в Apache ActiveMQ Classic оставалась незамеченной на протяжении 13 лет. Атакующий может вызвать управляющую операцию («invoke a management operation») через API Jolokia в ActiveMQ, чтобы заставить брокер загрузить удалённый файл конфигурации и выполнить произвольные команды операционной системы. В результате злоумышленник может получить доступ к конфиденциальной информации, включая сообщения, учётные данные и файлы конфигурации, внедрить вредоносное ПО или использовать скомпрометированный сервер для дальнейшего развития атаки внутри инфраструктуры.
Для эксплуатации уязвимости требуются учётные данные, однако во многих средах по-прежнему используются стандартные учётные данные (admin:admin). В некоторых версиях (6.0.0-6.1.1) учётные данные не требуются вовсе из-за другой уязвимости, CVE-2024-32114, которая непреднамеренно открывает доступ к API Jolokia без аутентификации. В этих версиях CVE-2026-34197 фактически является unauthenticated RCE.
Признаки эксплуатации: по данным Fortinet FortiGuard Labs, эксплуатация уязвимости в реальных атаках началась 13 апреля. Уже 16 апреля CISA добавило CVE-2026-34197 в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 13 мая более 7000 серверов Apache ActiveMQ остаются уязвимыми для CVE-2026-34197.
Способы устранения, компенсирующие меры: пользователям рекомендуется установить обновленные версии Apache ActiveMQ 5.19.4 или 6.2.3, в которых уязвимость CVE-2026-34197 была полностью устранена.
В качестве дополнительных мер защиты рекомендуется:
отключить компонент Jolokia, если он не используется;
ограничить доступ к порту 8161 из внешней сети с помощью правил межсетевого экрана или списков контроля доступа обратного прокси-сервера;
изменить учетные данные администратора, особенно если используются стандартные логин и пароль (admin:admin);
ограничить доступ к веб-интерфейсу управления Apache ActiveMQ только внутренней сетью;
настроить правила межсетевого экрана уровня приложений на обратном прокси-сервере для фильтрации аномальных запросов к Jolokia API;
мониторить логи addConnector на предмет подозрительной активности.
Кроме того, в открытом доступе опубликованы инструменты, с помощью которых администраторы могут проверить инфраструктуру на наличие уязвимых версий Apache ActiveMQ.
Продолжим уязвимостью в решении Microsoft, широко используемом в корпоративных системах для организации совместной работы, управления документами и построения внутренних порталов.
Уязвимость, приводящая к подмене данных, в Microsoft SharePoint Server
PT-2026-32853 (CVE-2026-32201, оценка по CVSS — 6,5, средний уровень опасности)
Уязвимость из апрельского Microsoft Patch Tuesday. Описание, которое дали эксперты Microsoft, максимально неконкретное: «Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить спуфинг по сети. Атакующий, успешно проэксплуатировавший эту уязвимость, может просматривать некоторую чувствительную информацию (конфиденциальность), вносить изменения в раскрытую информацию (целостность), но не может ограничить доступ к ресурсу (доступность).»
Спуфинг - это атака, при которой злоумышленник подделывает данные, адрес, идентификатор или доверенный источник, чтобы выдать себя за легитимного пользователя, сервис или систему.
Что же скрывается за этим описанием на самом деле? В апрельском обзоре на MSPT эксперт ZDI заметил, что уязвимости такого рода в SharePoint часто связаны с XSS-атаками.
23 апреля на GitHub был опубликован эксплойт, автор которого утверждает, что уязвимость сводится к следующему: «Неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос для внедрения вредоносного JavaScript-кода (reflected XSS), который будет выполнен в контексте безопасности сайта SharePoint.»
Иными словами, атакующий отправляет специально сформированный запрос на сервер SharePoint, из-за чего SharePoint формирует вредоносную ссылку от имени доверенного источника. Атакующий передаёт эту ссылку пользователю. Когда пользователь открывает такую ссылку, внедрённый вредоносный JavaScript выполняется в контексте SharePoint, что может использоваться для кражи данных из текущей сессии, перехвата токенов аутентификации, а также выполнения действий от имени пользователя через его активную сессию.
Признаки эксплуатации: Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. Исследователи из компании Defused предположили, что эксплуатация этой уязвимости могла быть связана с разведывательной кампанией, направленной на серверы Microsoft SharePoint с 1 по 11 апреля 2026 года. 14 апреля 2026 года CVE-2026-32201 была добавлена в каталог CISA KEV.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: под угрозой организации, использующие Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 и Microsoft SharePoint Enterprise Server 2016, в особенности те, которые предоставляют внешний доступ к своим серверам Microsoft SharePoint.
Способы устранения, компенсирующие меры: уязвимость была устранена в рамках апрельского «вторника обновлений» Microsoft. Пользователям рекомендуется установить обновления безопасности, которые представлены на официальном сайте Microsoft. В качестве компенсирующей меры ФСТЭК России рекомендует использовать средства межсетевого экранирования, чтобы ограничить возможность удаленного доступа к уязвимым системам.
Закончим уязвимостью в одном из наиболее распространенных решений для просмотра, работы и взаимодействия с PDF-документами в корпоративной и пользовательской среде. Такие уязвимости нередко становятся удобным инструментом для фишинговых атак.
Уязвимость, приводящая к удаленному выполнению кода, в Adobe Acrobat Reader
PT-2026-32093 (CVE-2026-34621, оценка по CVSS — 8,6, высокий уровень опасности)
Adobe Acrobat Reader (с 2003 по 2015 «Adobe Reader») - это бесплатная программа от компании Adobe для просмотра PDF-файлов. Доступны версии под Windows, macOS, Android, iOS. Уязвимость удаленного выполнения кода в Adobe Acrobat для Windows и macOS вызвана неправильной обработкой атрибутов прототипа объекта (CWE-1321 - «Prototype Pollution»). Эксплуатация уязвимости позволяет злоумышленнику добиться выполнения произвольного кода на системе при открытии жертвой специально подготовленного документа.
Об уязвимости и существовании эксплоита 7 апреля сообщил исследователь Haifei Li, разработчик EXPMON - системы на основе песочницы для обнаружения файловых zero-day и труднообнаруживаемых эксплоитов. 26 марта некто отправил PDF образец yummy_adobe_exploit_uwu.pdf в публичный сервис EXPMON.
Сообщалось, что по результатам анализа образец ведет себя как начальный эксплоит (initial exploit) с возможностью сбора и передачи злоумышленнику различных типов информации, потенциально с последующим выполнением произвольного кода (RCE) и эксплоитами выхода из песочницы (SBX). Он использует zero-day в Adobe Reader, которая позволяет ему вызывать привилегированные API Acrobat. Было подтверждено, что эксплоит работал на актуальной версии Acrobat. Конкретно он вызывает API «util.readFileIntoStream()», позволяющий читать произвольные файлы (доступные для изолированного процесса Reader) в локальной системе. Таким образом зловред может собирать широкий спектр информации с локальной системы и красть данные локальных файлов. Вызов API «RSS.addFeed()» используется для отправки информации, собранной с локальной системы, на удалённый сервер и получения дополнительного JavaScript-кода для выполнения. Такой механизм позволяет злоумышленнику собирать пользовательскую информацию, красть локальные данные, выполнять продвинутый «фингерпринтинг» и развивать атаку. Если цель соответствует условиям атакующего, он может доставить дополнительный эксплойт для достижения RCE или SBX. Однако во время тестов исследователю не удалось получить указанный дополнительный эксплойт - сервер был доступен, но не отвечал. Это может быть связано с различными причинами. Например, локальные тестовые окружения могли не соответствовать специфическим критериям атакующего.
Признаки эксплуатации: Adobe официально подтвердила, что ей известно об использовании CVE-2026-34621 в реальных атаках. Существуют свидетельства того, что эксплуатация уязвимости могла длиться как минимум с ноября 2025 года. Исследователь Gi7w0rm сообщил об обнаружении вредоносных документов с приманками на русском языке, которые были связаны с текущими событиями в нефтегазовой отрасли России. Это может указывать на потенциальное использование уязвимости в целевые атаках на российские организации. Кроме того, CISA включило CVE-2026-34621 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: нет в открытом доступе.
Количество потенциальных жертв: уязвимость затрагивает популярные версии Acrobat Reader и Acrobat DC, а также Acrobat 2024. Последствия могут коснуться всех пользователей Windows и macOS, на которых установлены уязвимые версии этих программ.
Способы устранения, компенсирующие меры: Adobe выпустила экстренные обновления безопасности для устранения CVE-2026-34621. Пользователям рекомендуется обновить установленные программы до последних версий. Это можно сделать через встроенный инструмент «Help > Check for Updates», запустив автообновления, или загрузить установщик Acrobat Reader с официального сайта Adobe. До установки обновлений следует с особой осторожностью открывать PDF-файлы, полученные из внешних источников.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом всё! Увидимся в новом дайджесте трендовых уязвимостей через месяц.
Александр Леонов
Ведущий эксперт Expert Security Center Positive Technologies
