Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально включило три критические уязвимости, затрагивающие продукты Citrix и систему контроля версий Git, в свой каталог известных эксплуатируемых уязвимостей (KEV). Данное действие подтверждает наличие свидетельств активного использования этих недостатков в реальных кибератаках и обязывает федеральные ведомства принять меры.
Согласно директиве CISA, все агентства Федеральной гражданской исполнительной власти (FCEB) обязаны применить необходимые исправления и защитные меры для устранения этих угроз в своих сетях. Крайний срок для выполнения этого требования установлен на 15 сентября 2025 года.
Первая уязвимость затрагивает Citrix Session Recording и связана с некорректным управлением привилегиями. Она позволяет локальному злоумышленнику повысить свои полномочия в системе. Для успешной эксплуатации атакующий должен быть аутентифицированным пользователем в том же домене Windows Active Directory, что и сервер записи сеансов. В результате атаки злоумышленник получает доступ на уровне учетной записи NetworkService.
Вторая проблема в Citrix Session Recording классифицирована как CVE-2024-8069 и получила оценку 5.1 по шкале CVSS. Она вызвана десериализацией недоверенных данных. Эта уязвимость позволяет аутентифицированному пользователю, находящемуся в той же интрасети, что и целевой сервер, добиться ограниченного удаленного выполнения кода с привилегиями учетной записи NetworkService.
Третья уязвимость, CVE-2025-48384, обнаружена в Git и представляет собой серьезную угрозу с оценкой CVSS выше 8.0. Она позволяет выполнить произвольный код на машине жертвы в процессе клонирования специально созданного репозитория. Проект Git выпустил исправление для этой проблемы в июле.
Механизм эксплуатации уязвимости в Git, по данным аналитиков из компании Arctic Wolf, является многоступенчатым. Атака начинается с того, что путь к подмодулю в репозитории содержит в конце символ возврата каретки (CR). Это заставляет Git инициализировать подмодуль в непредусмотренном месте.
Далее атака использует комбинацию символической ссылки, указывающей на каталог с хуками (hooks) подмодуля, и исполняемого хука post-checkout. В результате, как только пользователь клонирует вредоносный репозиторий, на его системе автоматически выполняется код, заложенный злоумышленниками. CISA на данный момент не предоставила технических деталей о текущих атаках или сведений об использующих их хакерских группах.
Изображение носит иллюстративный характер
Согласно директиве CISA, все агентства Федеральной гражданской исполнительной власти (FCEB) обязаны применить необходимые исправления и защитные меры для устранения этих угроз в своих сетях. Крайний срок для выполнения этого требования установлен на 15 сентября 2025 года.
Первая уязвимость затрагивает Citrix Session Recording и связана с некорректным управлением привилегиями. Она позволяет локальному злоумышленнику повысить свои полномочия в системе. Для успешной эксплуатации атакующий должен быть аутентифицированным пользователем в том же домене Windows Active Directory, что и сервер записи сеансов. В результате атаки злоумышленник получает доступ на уровне учетной записи NetworkService.
Вторая проблема в Citrix Session Recording классифицирована как CVE-2024-8069 и получила оценку 5.1 по шкале CVSS. Она вызвана десериализацией недоверенных данных. Эта уязвимость позволяет аутентифицированному пользователю, находящемуся в той же интрасети, что и целевой сервер, добиться ограниченного удаленного выполнения кода с привилегиями учетной записи NetworkService.
Третья уязвимость, CVE-2025-48384, обнаружена в Git и представляет собой серьезную угрозу с оценкой CVSS выше 8.0. Она позволяет выполнить произвольный код на машине жертвы в процессе клонирования специально созданного репозитория. Проект Git выпустил исправление для этой проблемы в июле.
Механизм эксплуатации уязвимости в Git, по данным аналитиков из компании Arctic Wolf, является многоступенчатым. Атака начинается с того, что путь к подмодулю в репозитории содержит в конце символ возврата каретки (CR). Это заставляет Git инициализировать подмодуль в непредусмотренном месте.
Далее атака использует комбинацию символической ссылки, указывающей на каталог с хуками (hooks) подмодуля, и исполняемого хука post-checkout. В результате, как только пользователь клонирует вредоносный репозиторий, на его системе автоматически выполняется код, заложенный злоумышленниками. CISA на данный момент не предоставила технических деталей о текущих атаках или сведений об использующих их хакерских группах.
