Специалисты Positive Technologies выделили девять актуальных уязвимостей: это пробелы в защите продуктов Microsoft, в планировщике пакетов Linux HFSC, в платформе для баз знаний XWiki, в веб-интерфейсе почты Zimbra Collaboration, а также в СУБД Redis.
Под актуальными понимаются наиболее критические бреши в безопасности корпоративной инфраструктуры, которые требуют быстрого исправления или незамедлительных компенсирующих действий. Они либо уже активно применяются злоумышленниками, либо могут быть задействованы в обозримом будущем. Для выявления таких уязвимостей аналитики Positive Technologies собирают и обрабатывают данные из разнообразных источников — из реестров уязвимостей и эксплойтов, вендорских бюллетеней безопасности, соцсетей, блогов, Telegram-каналов и открытых репозиториев кода. Обнаруживать подобные пробелы в корпоративной инфраструктуре помогает платформа управления уязвимостями MaxPatrol VM, куда сведения о наиболее серьезных угрозах поступают в течение 12 часов после их обнаружения.
Описанные ниже уязвимости, по сведениям The Verge, потенциально затронут приблизительно миллиард устройств. Результаты их эксплуатации могут затронуть всех пользователей устаревших выпусков Windows (к примеру, Windows 7, Windows 8, а с октября 2025 года — и Windows 10).
Уязвимость, обеспечивающая повышение привилегий в службе удаленного подключения Remote Access Connection Manager — PT-2025-42115 (CVE-2025-59230, CVSS — 7,8).
Злоумышленник, получив первоначальный доступ к устройству, может воспользоваться этой уязвимостью для повышения прав до уровня SYSTEM. Это означает, что в случае успеха злоумышленник получит абсолютный контроль над уязвимой системой.
Уязвимость, позволяющая повысить привилегии в драйвере Agere Modem — PT-2025-41973 (CVE-2025-24990, CVSS — 7,8).
Успешная эксплуатация дает локальному злоумышленнику возможность получить административные права в системе. Один из исследователей, выявивших уязвимость, высказал предположение, что ее могли использовать для обхода EDR-решений.
Уязвимость удаленного выполнения кода в службе обновлений Windows Server (WSUS) — PT-2025-42147 (CVE-2025-59287, CVSS — 9,8).
В результате успешной эксплуатации неаутентифицированный злоумышленник может удаленно выполнить код с правами SYSTEM, подвергая риску конфиденциальность, целостность и доступность уязвимых систем WSUS. Отмечается, что через скомпрометированные серверы WSUS атакующие могут распространять вредоносные обновления на клиентские системы. Эксплуатация возможна на Windows-серверах с активированной ролью WSUS Server (по умолчанию она отключена).
Уязвимость удаленного выполнения кода в механизме обработки ярлыков Microsoft Windows — PT-2025-34796 (CVE-2025-9491, CVSS — 7,8).
При успешном использовании данной уязвимости злоумышленники получают возможность запускать произвольные команды от имени действующего пользователя, что способно повлечь за собой хищение конфиденциальных данных, инсталляцию вредоносных программ или превращение зараженной системы в плацдарм для последующих атак. Способ эксплуатации предполагает локальное воздействие: злоумышленнику требуется передать целевой жертве специально подготовленный файл (например, через фишинговую рассылку). Для реализации атаки необходимо участие пользователя — его нужно убедить открыть опасный файл.
Уязвимость удаленного выполнения кода в платформе коллективной работы Microsoft SharePoint — PT-2025-28601 (CVE-2025-49704, CVSS — 8,8).
В случае успешного задействования этой уязвимости злоумышленник может дистанционно выполнить произвольные команды на сервере, что приведет к его полному захвату. По информации Microsoft, сразу три группы киберпреступников предпринимали попытки использовать уязвимости CVE-2025-49706 и CVE-2025-49704 для получения первоначального доступа к организациям-целям: APT-группировки Linen Typhoon и Violet Typhoon, а также вымогательская группировка Storm-2603.
Для обеспечения защиты пользователям требуется установить обновления безопасности, доступные на официальных ресурсах Microsoft: CVE-2025-49704, CVE-2025-49706, CVE-2025-59230, CVE-2025-24990 и CVE-2025-59287. Для уязвимости CVE-2025-9491 на момент публикации исправления отсутствуют.
Уязвимость эскалации привилегий в планировщике задач ядра Linux — PT-2025-24274 (CVE-2025-38001, CVSS — 5,7).
Согласно данным исследователей, проблема затрагивает пользователей различных дистрибутивов Linux, в том числе Debian 12, Ubuntu и контейнерно-ориентированную ОС от Google (COS). Успешная эксплуатация позволяет авторизованному злоумышленнику повысить свои права до уровня root, что дает полный контроль над уязвимой системой.
Для устранения угрозы необходимо обновить ядро Linux до защищенной версии. Ошибка была устранена в соответствующем коммите.
Уязвимость удаленного выполнения кода в платформе для создания баз знаний XWiki — PT-2025-7547 (CVE-2025-24893, CVSS — 9,8).
По сведениям разработчика, в мире развернуто приблизительно 24 тысячи экземпляров XWiki.
Проблема касается макроса SolrSearch, применяемого для поиска контента в XWiki, и связана с неправильной обработкой выражений Groovy. Для эксплуатации уязвимости злоумышленник может направить специально сформированный GET-запрос. При успешной атаке неавторизованный злоумышленник сможет выполнить произвольный код на сервере, что приведет к утечке информации и полному захвату системы.
Для защиты пользователям следует обновить XWiki до одной из исправленных версий: 15.10.11, 16.4.1 или 16.5.0RC1.
XSS-уязвимость в платформе совместной работы Zimbra — PT-2025-11082 (CVE-2025-27915, CVSS — 5,4).
Согласно официальной информации разработчика, платформу Zimbra Collaboration применяют свыше 6 тысяч учреждений, расположенных в 127 государствах.
Злоумышленники способны направлять целевым пользователям специально подготовленные электронные сообщения, содержащие модифицированные ICS-файлы со встроенным вредоносным JavaScript-кодом. При успешной реализации данной уязвимости злоумышленники получают возможность совершать несанкционированные операции с учетными записями пострадавших, включая переадресацию корреспонденции и несанкционированное извлечение информации.
Для обеспечения защиты требуется выполнить обновление Zimbra Collaboration до защищенных версий (9.0.0 Patch 44, 10.0.13, 10.1.5).
Уязвимость удаленного выполнения команд в Redis — PT-2025-40594 (CVE-2025-49844, CVSS — 9,9).
Как сообщает компания Wiz, на момент проведения анализа в открытом доступе находилось порядка 330 тысяч экземпляров Redis, причем около 60 тысяч из них не использовали механизмы аутентификации.
Прошедший проверку подлинности злоумышленник может передать специально сконструированный Lua-скрипт, который вмешивается в функционирование сборщика мусора, что провоцирует использование ранее освобожденных областей памяти. Это позволяет обойти ограничения песочницы Lua и выполнить произвольные команды на сервере с установленным Redis. Вследствие этого атакующий может достичь полного контроля над хост-системой, что дает возможность извлекать, удалять или шифровать конфиденциальные сведения, захватывать ресурсы и использовать полученные данные для проникновения в другие облачные сервисы. Дополнительную угрозу создает стандартная конфигурация Redis, где аутентификация по умолчанию деактивирована, что существенно облегчает эксплуатацию уязвимости.
В целях защиты необходимо обновить Redis до безопасных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.
Также важно своевременно устранять другие уязвимости, способные нанести серьезный ущерб организации. Актуальную информацию о существующих угрозах безопасности можно получать на странице популярных уязвимостей и через портал dbugs, где собираются сведения о программных и аппаратных уязвимостях глобального масштаба вместе с рекомендациями поставщиков по их нейтрализации. Платформа PT Fusion обеспечивает возможности мониторинга защищенности и оперативного реагирования на современные киберугрозы, включая эксплуатацию уязвимостей. Она предоставляет детализированное представление о текущих тактиках и методах киберпреступников, индикаторах компрометации и способствует формированию точной картины актуального киберугроз.
