Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили еще три трендовые уязвимости:
уязвимость, связанная с повышением привилегий, в драйвере облачного сервиса Microsoft OneDrive – PT-2025-50155 (CVE-2025-62221)
уязвимость React2Shell, приводящая к удаленному выполнению кода, в React Server Components – PT-2025-48817 (CVE-2025-55182)
Уязвимость MongoBleed, приводящая к раскрытию данных, в MongoDB Server – PT-2025-52440 (CVE-2025-14847)
По традиции начнем с уязвимости Windows.
Уязвимость, связанная с повышением привилегий, в драйвере облачного сервиса Microsoft OneDrive
💥 PT-2025-50155 (CVE-2025-62221, оценка по CVSS — 7,8, высокий уровень опасности)
Cldflt.sys – это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились на компьютере. Уязвимость этого драйвера, исправленная в рамках декабрьского Microsoft Patch Tuesday, позволяет локальному атакующему получить привилегии SYSTEM. Причина уязвимости – некорректное управление памятью «Use After Free» (CWE-416).
⚙️ Уязвимость была обнаружена исследователями Microsoft (из MSTIC и MSRC). Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.
👾 Уязвимость была отмечена Microsoft как эксплуатирующаяся в реальных атаках и добавлена в CISA KEV. Подробностей по атакам пока нет.
🛠 С 10 декабря на GitHub были доступны репозитории, якобы содержащие эксплойты для уязвимости. Впоследствии они были удалены. Есть несколько объявлений о продаже эксплойтов (возможно, мошеннических).
Признаки эксплуатации: Microsoft отмечает случаи активной эксплуатации уязвимости в реальных атаках. Кроме того, CISA добавило CVE-2025-62221 в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: нет в открытом доступе.
Количество потенциальных жертв: по данным The Verge, уязвимость потенциально может затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.
Уязвимость React2Shell, приводящая к удаленному выполнению кода, в React Server Components
💥 PT-2025-48817 (CVE-2025-55182, оценка по CVSS — 10, критический уровень опасности)
React – популярный опенсорсный JavaScript-фреймворк; для ускорения приложений он позволяет выполнять часть логики на сервере через React Server Components (RSC). Используя уязвимость десериализации недоверенных данных в RSC, удалённый неаутентифицированный злоумышленник может добиться выполнения кода на сервере с помощью специально сформированного HTTP-запроса.
⚙️ Исправления React были выпущены 3 декабря. Уязвимы и другие фреймворки, включающие React, например, Next.js, React Router, Expo, Redwood SDK, Waku и другие.
🛠 Публичные эксплойты доступны с 3 декабря. К 19 декабря на GitHub 250+ проектов эксплойтов и сканеров. 😮
👾 Атаки массовые, фиксируются с 5 декабря. Уязвимость в CISA KEV – с 9 декабря.
🌐 Shadowserver детектирует в интернете более 100 000 уязвимых хостов. Оценка для Рунета от CyberOK– более 40 000 хостов (потенциально), от BIZONE 10 000–25 000 хостов. 🤔
Признаки эксплуатации: по данным GreyNoise, массовые атаки с использованием уязвимости фиксируются с 5 декабря. CISA также добавило CVE-2025-55182 в каталог известных эксплуатируемых уязвимостей. Кроме того, сообщается о множестве известных случаев использования React2Shell в реальных атаках:
Исследователи из BIZONE зафиксировали случаи эксплуатации React2Shell в атаках на российские компании из сфер страхования, электронной коммерции и IT. Злоумышленники преимущественно развертывали майнер XMRig, а в отдельных случаях — ботнеты RustoBot и Kaiji, а также имплант Sliver.
Microsoft сообщила об обнаружении нескольких сотен скомпрометированных узлов в организациях по всему миру. После эксплуатации React2Shell злоумышленники устанавливали Cobalt Strike, RMM-агент MeshAgent, трояны удаленного доступа VShell и EtherRAT, загрузчики вредоносного ПО SNOWLIGHT и ShadowPAD, майнер XMRig, а также инструменты TruffleHog и Gitleaks.
Исследователи из S-RM зафиксировали атаку, в которой React2Shell использовалась для получения первоначального доступа к корпоративной сети с последующим развертыванием шифровальщика Weaxor.
По данным CyberScoop, Palo Alto Networks выявила более 60 скомпрометированных организаций, в атаках на которые после эксплуатации React2Shell использовались те же инструменты, которые ранее упоминались в отчете Microsoft, а также бэкдоры KSwapDoor, Auto-Color и Noodle RAT.
Публично доступные эксплойты: опубликован PoC. Кроме того, в открытом доступе есть инструмент, позволяющий автоматизировать атаки на уязвимые серверы Next.js. сервисы подрядчиков и сайты компаний малого бизнеса.
Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 30 декабря в интернете было доступно более 90 000 уязвимых узлов. По оценкам CyberOK, в Рунете и соседних регионах потенциально могут быть уязвимы более 40 000 узлов. При этом в исследовании BIZONE говорится, что под ударом находятся от 10 000 до 25 000 веб-ресурсов. По данным Wiz Research, 39% облачных сред остаются уязвимыми для React2Shell.
Способы устранения, компенсирующие меры: необходимо обновить уязвимые пакеты React до одной из исправленных версий (19.0.1, 19.1.2 или 19.2.1). Пользователям Next.js необходимо дополнительно обновить пакеты до исправленных версий (15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7).
Уязвимость MongoBleed в MongoDB Server, приводящая к раскрытию данных
💥 PT-2025-52440 (CVE-2025-14847, оценка по CVSS — 7,5, высокий уровень опасности)
MongoDB – это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым – к чувствительным данным (учёткам, ключам, данным клиентов и т. д.).
⚙️ «Критические обновления» были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.
🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплойта, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.
🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k – в России.
Признаки эксплуатации: по данным Wiz, массовая эксплуатация MongoBleed была зафиксирована в реальных атаках. Агентство CISA также добавило CVE-2025-14847 в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: опубликован PoC. Кроме того, в открытом доступе существует инструмент для эксплуатации уязвимости MongoBleed.
Количество потенциальных жертв: по состоянию на 27 декабря платформа Censys обнаружила около 87 000 потенциально уязвимых серверов MongoDB, из которых около 2000 находятся в России. Wiz Research отмечает, что в 42% облачных сред есть как минимум один экземпляр MongoDB, уязвимый для CVE-2025-14847.
Способы устранения, компенсирующие меры: необходимо установить обновления, доступные в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Если это невозможно, в качестве компенсирующей меры разработчики рекомендуют отключить использование сжатия в zlib в серверных версиях MongoDB. Кроме того, следует ограничить доступ к серверу, разрешив подключение только с доверенных IP-адресов.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности несут в себе наибольшую угрозу и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также даются рекомендации вендоров по устранению пробелов в защите.
На этом всё! До встречи в новом дайджесте трендовых уязвимостей через месяц.
Александр Леонов
Ведущий эксперт PT Expert Security Center
