#Уязвимости #ИБ #Инфра R-Vision опубликовал обзор наиболее критичных уязвимостей за ноябрь Аналитики R-Vision проанализировали широкий спектр уязвимостей по итогам ноября 2025 года и выделили 13 трендовых среди них. В ежемесячный дайджест были включены те, что подлежат устранению в первую очередь – с высоким уровнем риска, подтверждённой эксплуатацией и особым интересом для специалистов в области ИБ. Уязвимость Windows CVE-2025-62215 | BDU:2025-14039: Уязвимость повышения привилегий в ядре Windows CVSS: 7 | Вектор атаки: локальный Уязвимость повышения привилегий в ядре операционной системы Windows и Windows Server вызвана состоянием гонки (race conditions) при параллельном доступе к ресурсам ядра, что приводит к двойному освобождению памяти. В результате успешной эксплуатации злоумышленник может добиться повреждения памяти ядра и получить возможность перезаписывать критические области памяти. Подмена этих указателей позволяет перенаправить выполнение на произвольный код злоумышленника в контексте ядра, что приведет к повышению привилегий до уровня SYSTEM. Присутствует публичный PoC эксплойта на GitHub. По данным Microsoft, уязвимость эксплуатировалась и продолжает эксплуатироваться в реальных атаках как уязвимость нулевого дня. Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учётных данных и последующему горизонтальному перемещению по сети и компрометации критических сервисов. 12 ноября вендор выпустил обновление безопасности. Рекомендуется как можно скорее обновить устройства под управлением ОС Windows. Уязвимость FortiWeb CVE-2025-64446 | BDU:2025-14084: Уязвимость удалённого выполнения кода в FortiWeb CVSS: 9.4 | Вектор атаки: сетевой Обнаружена критическая уязвимость в межсетевом экране FortiWeb. Уязвимость связана с обходом механизмов проверки доступа и позволяет неавторизованному злоумышленнику выполнять административные команды через специально сформированный POST-запрос на уязвимом устройстве. При эксплуатации уязвимости создается учетная запись с правами администратора, что приводит к полной компрометации системы. Fortinet подтверждает, что уязвимость активно эксплуатируется в реальных атаках. До выхода исправлений на даркфорумах уже продавался эксплойт, который оценили в 1 биткоин (около 7 млн рублей). По данным платформы CrowdSec Threat Intelligence, проэксплуатировано более 150 IP-адресов, где пик эксплуатаций приходился на 15 ноября. Для устранения уязвимости необходимо обновить программное обеспечение до версий, рекомендованных вендором. Множественные уязвимости в TrueConf Server BDU:2025-13736 | BDU:2025-13737 | BDU:2025-13738: Цепочка уязвимостей нулевого дня в TrueConf CVSS: 7.6 | Вектор атаки: сетевой Эксперты компании СайберОК (Роман Малов и Алексей Седой) выявили цепочку из трёх уязвимостей в российском ПО TrueConf Server. Цепочка начинается с BDU:2025-13736. Уязвимость связана с процедурой авторизации, что позволяет обходить проверки прав и получать доступ к функциям, недоступным обычному пользователю. На втором этапе эксплуатируется BDU:2025-13737. Уязвимость связана с отсутствием ограничений на количество попыток входа, что даёт злоумышленнику возможность проведения brute-force атаки или автоматизированной проверки утекших учётных записей для получения административного доступа. Завершает цепочку эксплуатации BDU:2025-13738 — уязвимость позволяющая удалённо выполнять произвольные команды ОС на сервере (OS command injection). В совокупности, эксплуатация всех трех уязвимостей может привести к полной компрометации сервера. По данным платформы СКИПА, в российском сегменте зафиксировано около 11 000 экземпляров TrueConf, из которых примерно 30% потенциально подвержены данной цепочке уязвимостей. Хорошей новостью является то, что на момент публикации дайджеста публичных эксплойтов не обнаружено, а сама цепочка уязвимостей эксплуатируется только в определённых конфигурациях сервера. Экспертам из R-Vision удалось найти около 4000 потенциально подверженных экземпляров TrueConf с помощью общедоступных IoT-поисковиков. Для устранения необходимо обновить TrueConf Server до версии 5.5.2 или более поздней. Уязвимость Control Web Panel CVE-2025-48703 | BDU:2025-07803: Уязвимость удалённого выполнения кода в Control Web Panel CVSS: 9 | Вектор атаки: сетевой В ноябре участились атаки на уязвимость удаленного выполнения кода в Control Web Panel (ранее CentOS Web Panel), опубликованную еще в июне. Control Web Panel (CWP) – это бесплатная панель управления веб-хостингом для серверов на базе CentOS и других RPM-дистрибутивов. Уязвимость состоит из двух связанных ошибок, эксплуатируемых в одном POST-запросе к файловому менеджеру. Первая ошибка позволяет обойти аутентификацию путем указания в параметре currentPath пути к существующей директории пользователя на хосте (например, /home/username). Вторая ошибка заключается в недостаточной фильтрации shell-метасимволов в параметре t_total, что даёт возможность выполнить произвольные команды операционной системы. Эксплуатация возможна при знании действительного имени локального непривилегированного пользователя в системе (не root). Уязвимость активно эксплуатируется, есть публичный эксплойт. Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 4 ноября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 25 ноября текущего года. Продукт активно индексируется специализированными IoT-поисковиками, что значительно упрощает его обнаружение и последующую эксплуатацию злоумышленниками: Censys ~379k Source: https://cisoclub.ru/r-vision-opublikoval-obzor-naibolee-kritichnyh-ujazvimostej-za-nojabr/