В октябре 2025 года специалисты компании R-Vision провели детальный анализ уязвимостей, выявив критические дефекты с высоким уровнем риска. Эти уязвимости были подтверждены через эксплойты, представляя особый интерес для экспертов в области кибербезопасности. В список уязвимых продуктов вошли Microsoft, Redis, Oracle E-Business Suite и VMware Tools.
Особое беспокойство вызывает уязвимость удаленного выполнения кода в службе обновления Windows Server Update Services (WSUS). Атака осуществляется посредством специально сформированного SOAP-запроса, содержащего вредоносный код, который передается через параметр Authorization Cookie. После расшифровки код десериализуется и интегрируется в систему как доверенный объект, предоставляя злоумышленнику возможность выполнения произвольных команд с привилегиями уровня SYSTEM. Атака не требует доступа к учетной записи и не предполагает взаимодействия с пользователем, что делает ее крайне опасной.
Читайте также
Microsoft оперативно выпустила внеплановое обновление 23 октября 2025 года, однако первоначальное исправление оказалось недостаточно эффективным, что привело к началу массовых сканирований уязвимых серверов и первым попыткам компрометации уже на следующий день. Центр по кибербезопасности и инфраструктурной защите США (CISA) включил данную уязвимость в каталог известных угроз, настоятельно рекомендуя установить обновление до 14 ноября 2025 года. В российской инфраструктуре количество доступных серверов WSUS сократилось с 59 до 14.
Дополнительно была обнаружена уязвимость в компоненте Windows Remote Access Connection (RasMan), позволяющая повысить привилегии до уровня SYSTEM при физическом доступе к системе. Злоумышленники могут модифицировать реестр, внедрять динамически подключаемые библиотеки (DLL) в процессы RasMan или заменять системные файлы. Эта уязвимость требует физического доступа к устройству, что ограничивает ее потенциальное распространение.
В системе управления базами данных Redis выявлена уязвимость RediShell, позволяющая выполнять произвольный код на хосте. Проблема обусловлена ошибкой управления памятью после ее освобождения (Use-After-Free, UAF) и присутствует в исходном коде уже около 13 лет. Redis поддерживает выполнение Lua-скриптов через команды EVAL и EVALSHA, что предоставляет злоумышленнику возможность выхода за пределы изолированной среды. Публичный Proof-of-Concept (PoC) уже доступен, однако реальных атак пока не зафиксировано. Эксперты настоятельно рекомендуют обновить систему Redis до версий 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2 или более поздних и активировать механизмы аутентификации для предотвращения эксплуатации уязвимости.
В системе Oracle E-Business Suite выявлена цепочка уязвимостей, позволяющая выполнять удаленный код без аутентификации. Атака использует такие техники, как подделка межсайтовых запросов (SSRF), внедрение символов возврата каретки и перевода строки (CRLF-инъекция), обход механизмов аутентификации и использование уязвимостей в механизме XSLT. Несмотря на то что Oracle E-Business Suite предполагается использовать в закрытой сети, в российском сегменте были обнаружены уязвимые точки. Oracle подтвердила случаи эксплуатации данной уязвимости, а группа Google Threat Intelligence Group отметила ее использование группировкой Cl0p. Для устранения проблемы рекомендуется обновить систему до версии 12.2.15 или более поздней.
Уязвимость также была обнаружена в облачных инфраструктурах, где система VMware Aria Operations собирает данные с виртуальных машин Linux. В режиме credential-less service discovery данные собираются агентами без учетных данных, что повышает риски в случае неправильной настройки. Исследователи компании NVISO выявили, что VMware Tools использует bash-скрипт для поиска запущенных сервисов и выполняет их в контексте системного процесса. Уязвимость (CWE-426) обусловлена отсутствием проверки местоположения файла, что позволяет пользователю с правами на запись и выполнение разместить вредоносный исполняемый файл и запустить его в системном процессе с привилегиями root.
CISA включила данную уязвимость в каталог известных угроз. Для защиты рекомендуется обновить VMware Tools до версий 12.5.4, 13.0.5 или более поздних либо отключить режим credential-less service discovery.
Автоматизация процессов выявления и устранения уязвимостей становится критически важной для обеспечения безопасности комплексных корпоративных инфраструктур. Современные решения класса Vulnerability Management, такие как R-Vision VM, предоставляют возможность обнаружения уязвимостей, учета контекста инфраструктуры и приоритизации их устранения. Встроенный сканер значительно упрощает и повышает эффективность данного процесса, обеспечивая высокий уровень защиты от потенциальных угроз, пишет источник.