- Специальный корреспондент
Если вы думали, что всё под контролем — ловите свежие 0day.
Apple выпустила обновления безопасности iOS 18.4.1 и iPadOS 18.4.1, , активно использовавшиеся в реальных атаках.
Обе уязвимости использовались в крайне изощрённой цепочке атак, нацеленной на конкретных пользователей. Они были обнаружены совместно специалистами Apple и Google TAG.
Check Point зафиксировал активную эксплуатацию уязвимости — проблемы в Windows Explorer, позволяющей утекать NTLMv2-SSP хэши через файлы с расширением .library-ms. Достаточно просто открыть папку, содержащую такой файл — никакого дополнительного взаимодействия не требуется.
Атаки всего через 8 дней после выхода исправления 11 марта 2025 года. В одной из кампаний вредоносный архив распространялся через Dropbox и содержал четыре файла, каждый из которых задействовал известные уязвимости, включая . Целями стали учреждения в Польше и Румынии.
Поддельный .library-ms файл содержал ссылку на внешний SMB-сервер. После того как пользователь открывает папку или даже наводит курсор на файл, происходит автоматическая отправка NTLM-хэша на сервер атакующего, позволяя проводить relay-атаки или брутфорс паролей.
Несмотря на то, что уязвимость в устройстве SonicWall SMA100 была обнаружена и исправлена ещё в 2021 году, она до сих пор активно эксплуатируется злоумышленниками. Проблема представляет собой командную инъекцию (OS Command Injection), которая может быть использована удалённо без аутентификации.
16 апреля 2025 года CISA эту уязвимость в каталог активно эксплуатируемых уязвимостей, предписав всем федеральным учреждениям устранить её в кратчайшие сроки в рамках директивы BOD 22-01. Организациям, не подпадающим под действие директивы, также рекомендовано срочно обновить прошивки и закрыть доступ к администрированию устройств из внешней сети.
Спустя почти два года после закрытия уязвимости исследователи из RCE Security опубликовали . Речь идёт об SDK Emarsys для Android, версиях до 3.6.1, используемом в мобильных приложениях от SAP.
По словам SAP, проблема якобы заключалась лишь в возможности злоумышленника инициировать открытие веб-страниц через приложение. Однако исследование показало, что уязвимость позволяет:
Уязвимость обусловлена отсутствием проверки URL в JSON-нагрузке, передаваемой через Intent в активность com.emarsys.NotificationOpenedActivity. Это позволяет злоумышленнику подменить содержимое интерфейса, создать фишинговое наложение или даже украсть сессии пользователей.
В функции extract() во всех актуальных ветках PHP (5.x, 7.x, 8.x) обнаружена , позволяющая выполнить произвольный код на стороне сервера.
Суть проблемы — некорректная работа с памятью при использовании флага EXTR_REFS, позволяющая вызвать двойное освобождение памяти (double free) в PHP 5 или use-after-free в новых версиях. Исследователи показали, что уязвимость позволяет:
Отладка через GDB продемонстрировала, как можно добиться двойного освобождения zval-объектов, после чего зловредный код получает прямой доступ к куче Zend Engine. Патчи пока не выпущены, официальная позиция Zend сводится к тому, что «преднамеренный крах не считается уязвимостью».
Команда из Ruhr University Bochum обнаружила уязвимость (CVSS 10.0) в SSH-реализации Erlang/OTP. Она позволяет удалённому злоумышленнику выполнить произвольный код до прохождения аутентификации, просто отправив специальный протокольный пакет.
Уязвимость связана с ошибкой в обработке сообщений на стадии соединения. Она затрагивает все серверы, использующие библиотеку Erlang/OTP SSH для удалённого доступа. Если демон SSH работает с правами root, это означает полный контроль над системой.
Уязвимость устранена в версиях OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Временное решение — блокировка сетевого доступа к SSH-порту через фаервол.
Компания Cisco выпустила для своих продуктов. Среди самых значимых:
Также исправлены XSS и уязвимости с раскрытием информации в Nexus Dashboard, SD-WAN Manager и Webex for BroadWorks. Рекомендовано немедленно обновить системы в корпоративной инфраструктуре.
1. Два Zero-Day в iOS: CVE-2025-31200 и CVE-2025-31201
Apple выпустила обновления безопасности iOS 18.4.1 и iPadOS 18.4.1, , активно использовавшиеся в реальных атаках.
- CVE-2025-31200 — в компоненте CoreAudio, которая позволяла выполнить произвольный код при обработке специально сформированных медиафайлов. Проблема заключалась в повреждении памяти, и была исправлена путём усиления проверки границ.
- CVE-2025-31201 — уязвимость в компоненте RPAC, позволявшая обойти механизм Pointer Authentication при наличии произвольного доступа на чтение и запись. Уязвимый код был полностью удалён.
Обе уязвимости использовались в крайне изощрённой цепочке атак, нацеленной на конкретных пользователей. Они были обнаружены совместно специалистами Apple и Google TAG.
2. Утечка NTLM-хэшей в Windows: CVE-2025-24054
Check Point зафиксировал активную эксплуатацию уязвимости — проблемы в Windows Explorer, позволяющей утекать NTLMv2-SSP хэши через файлы с расширением .library-ms. Достаточно просто открыть папку, содержащую такой файл — никакого дополнительного взаимодействия не требуется.
Атаки всего через 8 дней после выхода исправления 11 марта 2025 года. В одной из кампаний вредоносный архив распространялся через Dropbox и содержал четыре файла, каждый из которых задействовал известные уязвимости, включая . Целями стали учреждения в Польше и Румынии.
Поддельный .library-ms файл содержал ссылку на внешний SMB-сервер. После того как пользователь открывает папку или даже наводит курсор на файл, происходит автоматическая отправка NTLM-хэша на сервер атакующего, позволяя проводить relay-атаки или брутфорс паролей.
3. SonicWall SMA100: эксплуатация CVE-2021-20035
Несмотря на то, что уязвимость в устройстве SonicWall SMA100 была обнаружена и исправлена ещё в 2021 году, она до сих пор активно эксплуатируется злоумышленниками. Проблема представляет собой командную инъекцию (OS Command Injection), которая может быть использована удалённо без аутентификации.
16 апреля 2025 года CISA эту уязвимость в каталог активно эксплуатируемых уязвимостей, предписав всем федеральным учреждениям устранить её в кратчайшие сроки в рамках директивы BOD 22-01. Организациям, не подпадающим под действие директивы, также рекомендовано срочно обновить прошивки и закрыть доступ к администрированию устройств из внешней сети.
4. Уязвимость в Android SDK SAP Emarsys: CVE-2023-6542
Спустя почти два года после закрытия уязвимости исследователи из RCE Security опубликовали . Речь идёт об SDK Emarsys для Android, версиях до 3.6.1, используемом в мобильных приложениях от SAP.
По словам SAP, проблема якобы заключалась лишь в возможности злоумышленника инициировать открытие веб-страниц через приложение. Однако исследование показало, что уязвимость позволяет:
- читать произвольные файлы из директории приложения /data/data/<package>;
- удалять эти файлы через встроенный вызов File.delete();
- загружать произвольные HTML-страницы и внедрять их в интерфейс приложения.
Уязвимость обусловлена отсутствием проверки URL в JSON-нагрузке, передаваемой через Intent в активность com.emarsys.NotificationOpenedActivity. Это позволяет злоумышленнику подменить содержимое интерфейса, создать фишинговое наложение или даже украсть сессии пользователей.
5. Критическая RCE в PHP extract(): double free / use-after-free
В функции extract() во всех актуальных ветках PHP (5.x, 7.x, 8.x) обнаружена , позволяющая выполнить произвольный код на стороне сервера.
Суть проблемы — некорректная работа с памятью при использовании флага EXTR_REFS, позволяющая вызвать двойное освобождение памяти (double free) в PHP 5 или use-after-free в новых версиях. Исследователи показали, что уязвимость позволяет:
- перехватывать и перезаписывать zval-структуры;
- читать и записывать произвольную память;
- восстанавливать отключённые функции, включая system().
Отладка через GDB продемонстрировала, как можно добиться двойного освобождения zval-объектов, после чего зловредный код получает прямой доступ к куче Zend Engine. Патчи пока не выпущены, официальная позиция Zend сводится к тому, что «преднамеренный крах не считается уязвимостью».
6. Удалённая RCE без авторизации в Erlang/OTP SSH: CVE-2025-32433
Команда из Ruhr University Bochum обнаружила уязвимость (CVSS 10.0) в SSH-реализации Erlang/OTP. Она позволяет удалённому злоумышленнику выполнить произвольный код до прохождения аутентификации, просто отправив специальный протокольный пакет.
Уязвимость связана с ошибкой в обработке сообщений на стадии соединения. Она затрагивает все серверы, использующие библиотеку Erlang/OTP SSH для удалённого доступа. Если демон SSH работает с правами root, это означает полный контроль над системой.
Уязвимость устранена в версиях OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Временное решение — блокировка сетевого доступа к SSH-порту через фаервол.
7. Массовые обновления от Cisco
Компания Cisco выпустила для своих продуктов. Среди самых значимых:
- CVE-2025-20236: RCE в Cisco Webex App — клиентская уязвимость, позволяющая выполнение кода на стороне пользователя.
- CVE-2024-20439, CVE-2024-20440: критические баги в Smart Licensing Utility, позволяющие нарушить контроль лицензий.
- CVE-2025-20212: DoS-атака на Meraki MX/Z Series с включённой VPN-функцией AnyConnect.
- CVE-2025-20138–20177: серия уязвимостей в IOS XR — от DoS до обхода ACL, включая Secure Boot Bypass и эскалацию привилегий в CLI.
Также исправлены XSS и уязвимости с раскрытием информации в Nexus Dashboard, SD-WAN Manager и Webex for BroadWorks. Рекомендовано немедленно обновить системы в корпоративной инфраструктуре.
