Хабр, привет!
На связи команда инженер-аналитиков R-Vision. В ноябре нами было выявлено 13 трендовых уязвимостей. В дайджест вошли лишь те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.
Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM. Данные поступают в базу из более чем 300 источников и автоматически обновляются каждые 8 часов. Это позволяет обеспечивать актуальность и полноту представленной информации. Каждая уязвимость проходит проверку в лаборатории R-Vision, где развёрнуто более 700 тестовых стендов.
Итак, в дайджест за ноябрь 2025 вошли:
CVE-2025-62215 – Microsoft Windows
CVE-2025-64446 – Fortinet FortiWeb
BDU:2025-13736, BDU:2025-13737, BDU:2025-13738 – TrueConf Server
CVE-2025-48703 – Control Web Panel
BDU:2025-07182 – 1С:Предприятие
Уязвимость Windows
CVE-2025-62215 | BDU:2025-14039 : Уязвимость повышения привилегий в ядре Windows
Уровень критичности по оценке CVSS: 7
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость повышения привилегий в ядре операционной системы Windows и Windows Server вызвана состоянием гонки (race conditions) при параллельном доступе к ресурсам ядра, что приводит к двойному освобождению памяти. В результате успешной эксплуатации злоумышленник может добиться повреждения памяти ядра и получить возможность перезаписывать критические области памяти. Подмена этих указателей позволяет перенаправить выполнение на произвольный код злоумышленника в контексте ядра, что приведет к повышению привилегий до уровня SYSTEM.
Статус эксплуатации уязвимости:
Присутствует публичный PoC эксплойта на GitHub. По данным Microsoft, уязвимость эксплуатировалась и продолжает эксплуатироваться в реальных атаках как уязвимость нулевого дня.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 12 ноября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 3 декабря текущего года.
Возможные негативные сценарии:
Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учётных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.
Рекомендации по устранению
12 ноября вендор выпустил обновление безопасности. Рекомендуется как можно скорее обновить устройства под управлением ОС Windows.
Уязвимость FortiWeb
CVE-2025-64446 | BDU:2025-14084: Уязвимость удалённого выполнения кода в FortiWeb
Уровень критичности по оценке CVSS: 9.4
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Обнаружена критическая уязвимость в межсетевом экране FortiWeb. Уязвимость связана с обходом механизмов проверки доступа и позволяет неавторизованному злоумышленнику выполнять административные команды через специально сформированный POST-запрос на уязвимом устройстве. При эксплуатации уязвимости создается учетная запись с правами администратора, что приводит к полной компрометации системы.
Патч и выход уязвимости пришелся на вторую половину пятницы, что во многом усложнило быстрое исправление уязвимости во многих организациях.
Статус эксплуатации уязвимости:
Fortinet подтверждает, что уязвимость активно эксплуатируется в реальных атаках. До выхода исправлений на даркфорумах уже продавался эксплойт, который оценили в 1 биткоин (около 7 млн рублей).
В день публикации уязвимости она также была добавлена в Каталог известных эксплуатируемых уязвимостей (KEV), при этом вместо стандартного срока в 20 дней, регулятор установил срок исправления уязвимости в 7 дней, до 21 ноября текущего года.
По данным платформы CrowdSec Threat Intelligence, проэксплуатировано более 150 IP-адресов, где пик эксплуатаций приходился на 15 ноября.
Возможные негативные сценарии:
Успешная эксплуатация может привести к полной компрометации устройства, выполнению произвольного кода, краже данных или установке вредоносного ПО.
Рекомендации по устранению
Обновите программное обеспечение до версий, рекомендованных вендором.
Множественные уязвимости в TrueConf Server
BDU:2025-13736 | BDU:2025-13737 | BDU:2025-13738 | Цепочка уязвимостей н��левого дня в TrueConf
Уровень критичности по оценке CVSS: 7.6
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Эксперты компании СайберОК (Роман Малов и Алексей Седой) выявили цепочку из трёх уязвимостей в российском ПО TrueConf Server.
Цепочка начинается с BDU:2025-13736. Уязвимость связана с процедурой авторизации, что позволяет обходить проверки прав и получать доступ к функциям, недоступным обычному пользователю. На втором этапе эксплуатируется BDU:2025-13737. Уязвимость связана с отсутствием ограничений на количество попыток входа, что даёт злоумышленнику возможность проведения brute-force атаки или автоматизированной проверки утекших учётных записей для получения административного доступа. Завершает цепочку эксплуатации BDU:2025-13738 - уязвимость позволяющая удалённо выполнять произвольные команды ОС на сервере (OS command injection). В совокупности, эксплуатация всех трех уязвимостей может привести к полной компрометации сервера.
Статус эксплуатации уязвимости:
По данным платформы СКИПА, в российском сегменте зафиксировано около 11 000 экземпляров TrueConf, из которых примерно 30% потенциально подвержены данной цепочке у��звимостей. Хорошей новостью является то, что на момент публикаций дайджеста публичных эксплойтов не обнаружено, а сама цепочка уязвимостей эксплуатируются только в определённых конфигурациях сервера.
Экспертам из R-Vision удалось найти около 4 000 потенциально подверженных экземпляров TrueConf с помощью общедоступных IoT-систем.
Возможные негативные сценарии:
Полная удалённая компрометация сервера
Несанкционированный доступ к корпоративным ВКС и данным
Закрепление злоумышленника в инфраструктуре
Рекомендации по устранению
Обновите TrueConf Server до версии 5.5.2 и выше.
Уязвимость Control Web Panel
CVE-2025-48703 | BDU:2025-07803: Уязвимость удалённого выполнения кода в Control Web Panel
Уровень критичности по оценке CVSS: 9
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
В ноябре участились атаки на уязвимость удаленного выполнения кода в Control Web Panel (ранее CentOS Web Panel), опубликованную еще в июне.
Control Web Panel (CWP) – это бесплатная панель управления веб-хостингом для серверов на базе CentOS и других RPM-дистрибутивов.
Уязвимость состоит из двух связанных ошибок, эксплуатируемых в одном POST-запросе к файловому менеджеру. Первая ошибка позволяет обойти аутентификацию путем указания в параметре currentPath пути к существующей директории пользователя на хосте (например, /home/username). Вторая ошибка заключается в недостаточной фильтрации shell-метасимволов в параметре t_total, что даёт возможность выполнить произвольные команды операционной системы.
Эксплуатация возможна при знании действительного имени локального непривилегированного пользователя в системе (не root).
Статус эксплуатации уязвимости:
Уязвимость активно эксплуатируется, есть публичный эксплойт.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 4 ноября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 25 ноября текущего года.
Продукт активно индексируется специализированными IoT-поисковиками, что значительно упрощает его обнаружение и последующую эксплуатацию злоумышленниками:
Возможные негативные сценарии:
Компрометация каждого непривилегированного пользователя, что позволит надолго закрепиться в системе;
Выполнение произвольных команд и дальнейшая эскалация привилегий до администратора от каждого непривилегированного пользователя;
Сбор и нарушение целостности конфиденциальной информации.
Рекомендации по устранению
Обновите Control Web Panel до версии 0.9.8.1205 или выше.
Уязвимость 1С:Предприятие
BDU:2025-07182 : Уязвимость удалённого выполнения кода в 1С:Предприятие
Уровень критичности по оценке CVSS: 8.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость заключается в критической ошибке подсистемы контроля прав доступа платформы 1С:Предприятие 8. Ошибка связана с некорректной реализацией механизма авторизации, что позволяет обойти проверку учетных записей посредством отправки специально сформированных запросов к серверу. Эксплуатация уязвимости может позволить неаутентифицированному злоумышленнику, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, включая учетные записи с административными привилегиями, без знания паролей.
Статус эксплуатации уязвимости:
Публичного эксплойта в процессе разбора не обнаружено. При этом уязвимость была опубликована еще в июне и её до сих пор продолжают эксплуатировать.
С помощью специальных поисковых запросов, нашим экспертам удалось установить около 6 000 IP-адресов с 1C:Предприятие потенциально подверженных для атак.
Возможные негативные сценарии:
Полная компрометация устройства
Выполнение произвольного кода в системе
Удаление/изменение целостности данных, путем фальсификации отчётности и т.д.
Кража конфиденциальных данных или установке вредоносного ПО
Рекомендации по устранению
Настоятельно рекомендуем обновить 1С:Преприятие 8 в зависимости от конфигурации:
8.3.23, 8.3.24 → ≥ 8.3.24.1667 или выше;
8.3.z → ≥ 8.3.24.1674 (z) или выше;
8.3.25 → ≥ 8.3.25.1394 или выше.
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Следите за обновлениями и до встречи в следующем выпуске дайджеста!
