R-Vision представил обзор наиболее критичных уязвимостей за ноябрь

Аналитики R-Vision проанализировали широкий спектр уязвимостей по итогам ноября 2025 года и выделили 13 трендовых среди них. В ежемесячный дайджест были включены те, что подлежат устранению в первую очередь — с высоким уровнем риска, подтвержденной эксплуатацией и особым интересом для специалистов в области ИБ. 

Уязвимость Windows

CVE-2025-62215 | BDU:2025-14039:  Уязвимость повышения привилегий в ядре Windows

CVSS: 7 | Вектор атаки: локальный

Уязвимость повышения привилегий в ядре операционной системы Windows и Windows Server вызвана состоянием гонки (race conditions)  при параллельном доступе к ресурсам ядра, что приводит к двойному освобождению памяти. В результате успешной эксплуатации злоумышленник может добиться повреждения памяти ядра и получить возможность перезаписывать критические области памяти. Подмена этих указателей позволяет перенаправить выполнение на произвольный код злоумышленника в контексте ядра, что приведет к повышению привилегий до уровня SYSTEM.

Присутствует публичный PoC эксплойта на GitHub. По данным Microsoft, уязвимость эксплуатировалась и продолжает эксплуатироваться в реальных атаках как уязвимость нулевого дня.

Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост — установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учетных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.

12 ноября вендор выпустил обновление безопасности. Рекомендуется как можно скорее обновить устройства под управлением ОС Windows.

Уязвимость FortiWeb

CVE-2025-64446 | BDU:2025-14084: Уязвимость удаленного выполнения кода в FortiWeb

CVSS: 9.4 | Вектор атаки: сетевой

Обнаружена критическая уязвимость в межсетевом экране FortiWeb. Уязвимость связана с обходом механизмов проверки доступа и позволяет неавторизованному злоумышленнику выполнять административные команды через специально сформированный POST-запрос на уязвимом устройстве. При эксплуатации уязвимости создается учетная запись с правами администратора, что приводит к полной компрометации системы.

Fortinet подтверждает, что уязвимость активно эксплуатируется в реальных атаках. До выхода исправлений на даркфорумах уже продавался эксплойт, который оценили в 1 биткоин (около 7 млн рублей).

По данным платформы CrowdSec Threat Intelligence, проэксплуатировано более 150 IP-адресов, где пик эксплуатаций приходился на 15 ноября.

Для устранения уязвимости необходимо обновить программное обеспечение до версий, рекомендованных вендором.

Множественные уязвимости в TrueConf Server

BDU:2025-13736 | BDU:2025-13737 | BDU:2025-13738: Цепочка уязвимостей нулевого дня в TrueConf

CVSS: 7.6 | Вектор атаки: сетевой

Эксперты компании СайберОК (Роман Малов и Алексей Седой) выявили цепочку из трех уязвимостей в российском ПО TrueConf Server.

Цепочка начинается с BDU:2025-13736. Уязвимость связана с процедурой авторизации, что позволяет обходить проверки прав и получать доступ к функциям, недоступным обычному пользователю. На втором этапе эксплуатируется BDU:2025-13737. Уязвимость связана с отсутствием ограничений на количество попыток входа, что дает злоумышленнику возможность проведения brute-force атаки или автоматизированной проверки утекших учетных записей для получения административного доступа. Завершает цепочку эксплуатации BDU:2025-13738 — уязвимость позволяющая удаленно выполнять произвольные команды ОС на сервере (OS command injection). В совокупности, эксплуатация всех трех уязвимостей может привести к полной компрометации сервера.

По данным платформы СКИПА, в российском сегменте зафиксировано около 11 000 экземпляров TrueConf, из которых примерно 30% потенциально подвержены данной цепочке уязвимостей. Хорошей новостью является то, что на момент публикаций дайджеста публичных эксплойтов не обнаружено, а сама цепочка уязвимостей эксплуатируются только в определенных конфигурациях сервера.

Экспертам из R-Vision удалось найти около  4000 потенциально подверженных экземпляров TrueConf с помощью общедоступных IoT-поисковиков.

Для устранения необходимо обновить TrueConf Server до версии 5.5.2 и более поздней.

Уязвимость Control Web Panel

CVE-2025-48703 | BDU:2025-07803: Уязвимость удаленного выполнения кода в Control Web Panel

CVSS: 9 | Вектор атаки: сетевой

В ноябре участились атаки на уязвимость удаленного выполнения кода в Control Web Panel (ранее CentOS Web Panel), опубликованную еще в июне.

Control Web Panel (CWP) —  это бесплатная панель управления веб-хостингом для серверов на базе CentOS и других RPM-дистрибутивов.

Уязвимость состоит из двух связанных ошибок, эксплуатируемых в одном POST-запросе к файловому менеджеру. Первая ошибка позволяет обойти аутентификацию путем указания в параметре currentPath пути к существующей директории пользователя на хосте (например, /home/username). Вторая ошибка заключается в недостаточной фильтрации shell-метасимволов в параметре t_total, что дает возможность выполнить произвольные команды операционной системы.

Эксплуатация возможна при знании действительного имени локального непривилегированного пользователя в системе (не root).

Уязвимость активно эксплуатируется, есть публичный эксплойт.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 4 ноября добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность исправления уязвимости до 25 ноября текущего года.

Продукт активно индексируется специализированными IoT-поисковиками, что значительно упрощает его обнаружение и последующую эксплуатацию злоумышленниками:

• Censys ~379k
• Shodan ~ 225k
• ZoomEYE ~ 156k
• Netlas ~ 144k
• FOFA ~ 71k
• Criminal IP ~13k

Рекомендуется обновить Control Web Panel до версии 0.9.8.1205 или выше.

Уязвимость 1С:Предприятие

BDU:2025-07182: Уязвимость удаленного выполнения кода в 1С:Предприятие

CVSS: 8.8 | Вектор атаки: сетевой

Уязвимость заключается в критической ошибке подсистемы контроля прав доступа платформы 1С:Предприятие 8. Ошибка связана с некорректной реализацией механизма авторизации, что позволяет обойти проверку учетных записей посредством отправки специально сформированных запросов к серверу. Эксплуатация уязвимости может позволить неаутентифицированному злоумышленнику, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, включая учетные записи с административными привилегиями, без знания паролей.

Публичного эксплойта в процессе разбора не обнаружено. При этом уязвимость была опубликована еще в июне и ее до сих пор продолжают эксплуатировать.

С помощью специальных поисковых запросов, нашим экспертам удалось установить около 6 000 IP-адресов с 1C:Предприятие потенциально подверженных для атак.

Рекомендации по устранению

Настоятельно рекомендуем обновить 1С:Преприятие 8 в зависимости от конфигурации:

• 8.3.23, 8.3.24 → ≥ 8.3.24.1667 или выше;
• 8.3.z → ≥ 8.3.24.1674 (z) или выше;
• 8.3.25 → ≥ 8.3.25.1394 или выше.

Как защититься

В приоритете — своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.