
На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
Начнем с четырех трендовых уязвимостей:
Уязвимости в Microsoft
Уязвимость повышения привилегий драйвера Ancillary Function (AFD.sys) (CVE-2025-21418).
Уязвимость повышения привилегий в хранилище Windows (CVE-2025-21391).
Уязвимость в Palo Alto Networks
Уязвимость обхода аутентификации в Palo Alto Networks PAN-OS (CVE-2025-0108)
Уязвимость в CommuniGate Pro
Уязвимость удаленного выполнения кода в почтовом сервере CommuniGate Pro (BDU:2025-01331)
Две из них касаются Windows и были исправлены в рамках февральского Microsoft Patch Tuesday.
Уязвимость повышения привилегий драйвера Ancillary Function Driver (AFD.sys)
CVE-2025-21418 (оценка по CVSS – 7,8; высокий уровень опасности)
Ancillary Function Driver (AFD.sys) — это системный драйвер Windows, критически важный для процессов сетевого взаимодействия. Он предоставляет низкоуровневую функциональность для WinSock API, позволяя приложениям взаимодействовать с сетевыми сокетами.
Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в итоге выполняет код с привилегиями SYSTEM. По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Также CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Уязвимость повышения привилегий в хранилище Windows
CVE-2025-21391 (оценка по CVSS – 7,1; высокий уровень опасности)
Windows Storage — это стандартный компонент, отвечающий за хранение данных на компьютере. В случае успешной эксплуатации, злоумышленник может получить возможность удалять произвольные файлы. И, согласно исследованию ZDI, злоумышленник может использовать эту возможность для повышения своих прав в системе.
Для обеих уязвимостей в Windows сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки все еще неизвестно. Однако в любом случае не стоит затягивать с установкой февральских обновлений безопасности Microsoft.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2025-21418, CVE-2025-21391
Теперь перейдем к уязвимостям сетевых устройств.
Уязвимость обхода аутентификации в Palo Alto Networks PAN-OS
CVE-2025-0108 (оценка по CVSS – 8,8; высокий уровень опасности
PAN-OS — операционная система, используемая во всех межсетевых экранах нового поколения (NGFW) от Palo Alto Network. Уязвимость позволяет не аутентифицированному злоумышленнику получить доступ к веб-интерфейсу управления PAN-OS. После чего он может «выполнять некоторые PHP-скрипты», что негативно влияет на целостность и конфиденциальность данных в PAN-OS.
Бюллетень вендора вышел 12 февраля. В тот же день Assetnote выложили write-up по уязвимости. А на следующий день на GitHub появился PoC эксплоита.
18 февраля GreyNoise сообщили о зафиксированных попытках эксплуатации уязвимости. По данным Palo Alto, уязвимость эксплуатируют совместно с уязвимостями повышения привилегий CVE-2024-9474 и аутентифицированного чтения файлов CVE-2025-0111. В результате злоумышленник может получить возможность выполнять Linux-овые команды на устройстве от root-а.
А затем использовать это для дальнейшего развития атаки.
Устанавливайте обновления и ограничьте доступ к административным веб-интерфейсам!
Признаки эксплуатации: в период со 2 по 13 февраля компания GreyNoise обнаружила 25 вредоносных IP-адресов, активно эксплуатирующих уязвимость. Кроме того, CISA добавила уязвимость в каталог KEV. Компания Palo Alto Networks отмечает признаки эксплуатации уязвимости CVE-2025-0108 совместно с CVE-2024-9474 и CVE-2025-0111. Недостаток CVE-2024-9474 связан с повышением привилегий в PAN-OS. О нем мы рассказывали в нашем ноябрьском дайджесте. Обнаруженная в феврале уязвимость CVE-2025-0111 позволяет аутентифицированному злоумышленнику с доступом к сетевым ресурсам считывать файлы, доступные пользователю «nobody». «Тандем» CVE-2025-0108 и CVE-2024-9474 может служить для злоумышленника возможностью произвольного выполнения команд на устройстве с правами root-пользователя. По сообщению Bleeping Computer, цепочка из трех этих уязвимостей может использоваться для выгрузки конфигурационных файлов и другой конфиденциальной информации.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Количество потенциальных жертв: более 2 000 серверов уязвимы к атаке, осуществляемой посредством совместной эксплуатации уязвимостей CVE-2025-0108, CVE-2024-9474, CVE-2025-0111.
Способы устранения, компенсирующие меры: установить обновления на уязвимые устройства и следовать рекомендациям вендора.
И наконец последняя уязвимость в мартовском дайджесте.
Уязвимость удаленного выполнения кода в почтовом сервере CommuniGate Pro
BDU:2025-01331 (оценка по CVSS — 9,8; критический уровень опасности)
CommuniGate Pro — это универсальная серверная платформа для организации корпоративных коммуникаций. Она объединяет в себе множество сервисов, включая электронную почту, передачу голосовых данных, обмен сообщениями и автоматизацию совместной работы. Так как это отечественное решение, его часто используют для импортозамещения Microsoft Exchange.
Уязвимость позволяет удаленному не аутентифицированному злоумышленнику выполнить произвольный код на уязвимом сервере CommuniGate Pro, что может привести к несанкционированному доступу, краже данных или захвату системы. Причина уязвимости — Stack-based Buffer Overflow. Уязвимы версии с 6.3.0 до 6.3.39.
По данным компании CyberOK, есть признаки эксплуатации уязвимости в реальных атаках. По состоянию на 14 февраля, около 40% всех отслеживаемых хостов CommuniGate Pro были подвержены уязвимости.
Если у вас используется CommuniGate Pro, обновитесь до безопасной версии.
Это первая трендовая уязвимость в отечественном продукте с 2023 года.
Публично доступные эксплойты: отсутствуют в открытом доступе.
Количество потенциальных жертв: по некоторым данным, в России доступно более двух тысяч почтовых серверов c ПО CommuniGate. По сообщению компании CyberOK, 40% всех отслеживаемых почтовых серверов подвержены этой уязвимости.
Способы устранения, компенсирующие меры: установить обновленную версию ПО и следовать рекомендациям вендора.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.
VM-ная загадка
Есть 2 подразделения. В одном Linux-админы на золотые образы и харденинг заточенные, в другом ИТ-шники исключительно работой приклада озабоченные (например, PostgreSQL).
Кому из них регулярный патчинг Linux-хостов (ядро и пакеты) с этим развернутым прикладом поручишь?
По моему мнению, обновлением хостов должны заниматься те же сотрудники, что обслуживают приклад на этих хостах. Иначе они будут постоянно вешать проблемы с прикладом на команду, которая делала обновление ОС: «вы опять нам все сломали». Пусть лучше сами полностью обновляются и тестируются
А если прикладники брать это на себя не захотят, можно намекнуть, что Linux-админы будут тогда катать обновления ОС без всякого тестирования. А за сбои крайними будут прикладники, т.к. сами на такую схему подписались
На этом можно возразить: но ведь админам же удобнее будет делать только свою часть работы. Давайте просто сделаем так, чтобы ничего не ломалось. Пусть хосты обновляют линуксовые админы, а «прикладные» — только тот приклад, который в их зоне ответственности. Пакеты, относящиеся к прикладу, пусть ставятся на hold сразу при установке приклада и их обновление будет невозможно при обновлении хоста. А в случае, если обновление хоста все же будет ломать приклад, то будем просто откладывать обновления до тех пор, пока приклад не сможет это поддержать. Классно же?
Да, такая схема удобна админам, но вот VM-специалисту такая совместная работа и размытие ответственности невыгодны, т.к. ему придется частенько «тыкать палочкой» две (а возможно и более) команды, которые будут показывать друг на друга. Критичные уязвимости не будут устраняться с формулировкой «обновление отложено». А кто будет нести ответственность в случае, если уязвимость будет проэксплуатирована в течение этого «отложенного» периода, непонятно. Видимо предполагается, что нести ответственность будет сам VM-специалист Так что VM-cпециалистам топить за такую схему я бы не советовал.
Но если в организации такая схема устоялась и успешно работает, то рушить ее, естественно, тоже не следует. Следует аккуратненько описывать регламенты решения спорных вопросов, чтобы всегда был однозначный крайний, на которого будет направлен пушинг. Ну и кары в случае инцидента.
В любом случае, главное, чтобы обновления ставились и уязвимости устранялись (желательно с соблюдением SLA). А как именно это происходит и чьими силами не так уж важно

Александр Леонов
Ведущий эксперт PT Expert Security Center
Автор: ptsecurity