Хабр, привет!

На связи команда инженер-аналитиков R-Vision. В ноябре нами было выявлено 13 трендовых уязвимостей. В дайджест вошли лишь те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.

Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM. Данные поступают в базу из более чем 300 источников и автоматически обновляются каждые 8 часов. Это позволяет обеспечивать актуальность и полноту представленной информации. Каждая уязвимость проходит проверку в лаборатории R-Vision, где развёрнуто более 700 тестовых стендов.

Итак, в дайджест за ноябрь 2025 вошли: 

• CVE-2025-62215 – Microsoft Windows

• CVE-2025-64446 – Fortinet FortiWeb

• BDU:2025-13736, BDU:2025-13737, BDU:2025-13738 –  TrueConf Server

• CVE-2025-48703 – Control Web Panel

• BDU:2025-07182 – 1С:Предприятие

Уязвимость Windows

CVE-2025-62215 | BDU:2025-14039 : Уязвимость повышения привилегий в ядре Windows

Уровень критичности по оценке CVSS: 7

Вектор атаки: локальный

Подтверждение вендора:

• Microsoft

Информация об эксплуатации

Описание уязвимости:

Уязвимость повышения привилегий в ядре операционной системы Windows и Windows Server вызвана состоянием гонки (race conditions) при параллельном доступе к ресурсам ядра, что приводит к двойному освобождению памяти. В результате успешной эксплуатации злоумышленник может добиться повреждения памяти ядра и получить возможность перезаписывать критические области памяти. Подмена этих указателей позволяет перенаправить выполнение на произвольный код злоумышленника в контексте ядра, что приведет к повышению привилегий до уровня SYSTEM.

Статус эксплуатации уязвимости:

Присутствует публичный PoC эксплойта на GitHub. По данным Microsoft, уязвимость эксплуатировалась и продолжает эксплуатироваться в реальных атаках как уязвимость нулевого дня.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 12 ноября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 3 декабря текущего года.

Возможные негативные сценарии:

Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учётных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.

Рекомендации по устранению

12 ноября вендор выпустил обновление безопасности.  Рекомендуется как можно скорее обновить устройства под управлением ОС Windows.

Уязвимость FortiWeb

CVE-2025-64446 | BDU:2025-14084: Уязвимость удалённого выполнения кода в FortiWeb

Уровень критичности по оценке CVSS: 9.4

Вектор атаки: сетевой

Подтверждение вендора:

• Fortinet

Информация об эксплуатации

Описание уязвимости:

Обнаружена критическая уязвимость в межсетевом экране FortiWeb. Уязвимость связана с обходом механизмов проверки доступа и позволяет неавторизованному злоумышленнику выполнять административные команды через специально сформированный POST-запрос на уязвимом устройстве. При эксплуатации уязвимости создается учетная запись с правами администратора, что приводит к полной компрометации системы.

Патч и выход уязвимости пришелся на вторую половину пятницы, что во многом усложнило быстрое исправление уязвимости во многих организациях.

Статус эксплуатации уязвимости:

Fortinet подтверждает, что уязвимость активно эксплуатируется в реальных атаках. До выхода исправлений на даркфорумах уже продавался эксплойт, который оценили в 1 биткоин (около 7 млн рублей).

В день публикации уязвимости она также была добавлена в Каталог известных эксплуатируемых уязвимостей (KEV), при этом вместо стандартного срока в 20 дней, регулятор установил срок исправления уязвимости в 7 дней, до 21 ноября текущего года.

По данным платформы CrowdSec Threat Intelligence, проэксплуатировано более 150 IP-адресов, где пик эксплуатаций приходился на 15 ноября.

Возможные негативные сценарии:

Успешная эксплуатация может привести к полной компрометации устройства, выполнению произвольного кода, краже данных или установке вредоносного ПО.

Рекомендации по устранению

Обновите программное обеспечение до версий, рекомендованных вендором.

Множественные уязвимости в TrueConf Server

BDU:2025-13736 | BDU:2025-13737 | BDU:2025-13738 | Цепочка уязвимостей нулевого дня в TrueConf

Уровень критичности по оценке CVSS: 7.6

Вектор атаки: сетевой

Подтверждение вендора:

• TrueConf

Информация об эксплуатации

Описание уязвимости:

Эксперты компании СайберОК (Роман Малов и Алексей Седой) выявили цепочку из трёх уязвимостей в российском ПО TrueConf Server.

Цепочка начинается с BDU:2025-13736. Уязвимость связана с процедурой авторизации, что позволяет обходить проверки прав и получать доступ к функциям, недоступным обычному пользователю. На втором этапе эксплуатируется BDU:2025-13737. Уязвимость связана с отсутствием ограничений на количество попыток входа, что даёт злоумышленнику возможность проведения brute-force атаки или автоматизированной проверки утекших учётных записей для получения административного доступа. Завершает цепочку эксплуатации BDU:2025-13738 - уязвимость позволяющая удалённо выполнять произвольные команды ОС на сервере (OS command injection). В совокупности, эксплуатация всех трех уязвимостей может привести к полной компрометации сервера.

Статус эксплуатации уязвимости:

По данным платформы СКИПА, в российском сегменте зафиксировано около 11 000 экземпляров TrueConf, из которых примерно 30% потенциально подвержены данной цепочке уязвимостей. Хорошей новостью является то, что на момент публикаций дайджеста публичных эксплойтов не обнаружено, а сама цепочка уязвимостей эксплуатируются только в определённых конфигурациях сервера.

Экспертам из R-Vision удалось найти около 4 000 потенциально подверженных экземпляров TrueConf с помощью общедоступных IoT-систем.

Возможные негативные сценарии:

• Полная удалённая компрометация сервера

• Несанкционированный доступ к корпоративным ВКС и данным

• Закрепление злоумышленника в инфраструктуре

Рекомендации по устранению

Обновите TrueConf Server до версии 5.5.2 и выше.

Уязвимость Control Web Panel

CVE-2025-48703 | BDU:2025-07803: Уязвимость удалённого выполнения кода в Control Web Panel

Уровень критичности по оценке CVSS: 9

Вектор атаки: сетевой

Подтверждение вендора:

• WebPros

Информация об эксплуатации

Описание уязвимости:

В ноябре участились атаки на уязвимость удаленного выполнения кода в Control Web Panel (ранее CentOS Web Panel), опубликованную еще в июне.

Control Web Panel (CWP) –  это бесплатная панель управления веб-хостингом для серверов на базе CentOS и других RPM-дистрибутивов.

Уязвимость состоит из двух связанных ошибок, эксплуатируемых в одном POST-запросе к файловому менеджеру. Первая ошибка позволяет обойти аутентификацию путем указания в параметре currentPath пути к существующей директории пользователя на хосте (например, /home/username). Вторая ошибка заключается в недостаточной фильтрации shell-метасимволов в параметре t_total, что даёт возможность выполнить произвольные команды операционной системы.

Эксплуатация возможна при знании действительного имени локального непривилегированного пользователя в системе (не root).

Статус эксплуатации уязвимости:

Уязвимость активно эксплуатируется, есть публичный эксплойт.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 4 ноября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 25 ноября текущего года.

Продукт активно индексируется специализированными IoT-поисковиками, что значительно упрощает его обнаружение и последующую эксплуатацию злоумышленниками:

• Censys ~379k

• Shodan ~ 225k

• ZoomEYE ~ 156k

• Netlas ~ 144k

• FOFA ~ 71k

• Criminal IP ~13k

Возможные негативные сценарии:

• Компрометация каждого непривилегированного пользователя, что позволит надолго закрепиться в системе;

• Выполнение произвольных команд и дальнейшая эскалация привилегий до администратора от каждого непривилегированного пользователя;

• Сбор и нарушение целостности конфиденциальной информации.

Рекомендации по устранению

Обновите Control Web Panel до версии 0.9.8.1205 или выше.

Уязвимость 1С:Предприятие

BDU:2025-07182 : Уязвимость удалённого выполнения кода в 1С:Предприятие

Уровень критичности по оценке CVSS: 8.8

Вектор атаки: сетевой

Подтверждение вендора:

• 1С

Информация об эксплуатации

Описание уязвимости:

Уязвимость заключается в критической ошибке подсистемы контроля прав доступа платформы 1С:Предприятие 8. Ошибка связана с некорректной реализацией механизма авторизации, что позволяет обойти проверку учетных записей посредством отправки специально сформированных запросов к серверу. Эксплуатация уязвимости может позволить неаутентифицированному злоумышленнику, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, включая учетные записи с административными привилегиями, без знания паролей.

Статус эксплуатации уязвимости:

Публичного эксплойта в процессе разбора не обнаружено. При этом уязвимость была опубликована еще в июне и её до сих пор продолжают эксплуатировать.

С помощью специальных поисковых запросов, нашим экспертам удалось установить около 6 000 IP-адресов с 1C:Предприятие потенциально подверженных для атак.

Возможные негативные сценарии:

• Полная компрометация устройства

• Выполнение произвольного кода в системе

• Удаление/изменение целостности данных, путем фальсификации отчётности и т.д.

• Кража конфиденциальных данных или установке вредоносного ПО

Рекомендации по устранению

Настоятельно рекомендуем обновить 1С:Преприятие 8 в зависимости от конфигурации:

• 8.3.23, 8.3.24 → ≥ 8.3.24.1667 или выше;

• 8.3.z → ≥ 8.3.24.1674 (z) или выше;

• 8.3.25 → ≥ 8.3.25.1394 или выше.

Как защититься?

В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.

Следите за обновлениями и до встречи в следующем выпуске дайджеста!