Агентство по кибербезопасности и защите инфраструктуры США (CISA) в среду внесло две новые записи в каталог известных эксплуатируемых уязвимостей (KEV). Решение о добавлении было принято на основании полученных доказательств активной эксплуатации данных брешей в системах безопасности. В центре внимания оказались программные продукты технологических гигантов Microsoft и Hewlett Packard Enterprise (HPE).
Первая уязвимость, идентифицированная как CVE-2009-0556, затрагивает программное обеспечение Microsoft Office PowerPoint. Данной проблеме присвоен рейтинг 8.8 по шкале CVSS. Технически она представляет собой инъекцию кода, возникающую из-за ошибки повреждения памяти. Злоумышленники могут использовать этот дефект для удаленного выполнения произвольного кода в скомпрометированной системе.
Второй добавленный в каталог дефект, CVE-2025-37164, относится к платформе HPE OneView и имеет максимальный уровень критичности с оценкой 10.0 по шкале CVSS. Эта уязвимость типа «инъекция кода» позволяет удаленному неаутентифицированному пользователю осуществлять выполнение удаленного кода (RCE). Подобный уровень доступа создает чрезвычайную угрозу для целостности корпоративных инфраструктур.
Детали относительно проблемы в HPE OneView начали появляться в прошлом месяце. Согласно техническим данным, уязвимости подвержены все версии программного обеспечения до выпуска 11.00. В качестве меры по снижению рисков компания HPE выпустила исправления (hotfixes) для версий OneView с 5.20 по 10 включительно, которые администраторам рекомендуется установить незамедлительно.
На текущий момент масштаб и источники атак остаются неясными. За исключением факта включения уязвимостей в список CISA, в публичном поле отсутствуют отчеты о случаях эксплуатации этих брешей «в дикой природе». Однако отсутствие широкой огласки не снижает потенциальной опасности, учитывая подтвержденный статус активного использования эксплойтов.
Ситуация усугубляется наличием общедоступного кода эксплойта (Proof-of-Concept). Согласно отчету компании eSentire от 23 декабря 2025 года, детальный PoC-эксплойт для уязвимости CVE-2025-37164 был опубликован в открытом доступе. Эксперты eSentire предупреждают, что появление публичного инструмента для взлома значительно повышает риски для организаций, использующих уязвимое ПО.
В связи с включением данных угроз в каталог KEV вступает в силу обязательная оперативная директива BOD 22-01. Данный документ обязывает агентства Федеральной исполнительной власти (FCEB) принять необходимые меры по защите своих сетей от активных угроз. Крайний срок для устранения указанных уязвимостей и установки соответствующих обновлений установлен до 28 января 2026 года.
Изображение носит иллюстративный характер
Первая уязвимость, идентифицированная как CVE-2009-0556, затрагивает программное обеспечение Microsoft Office PowerPoint. Данной проблеме присвоен рейтинг 8.8 по шкале CVSS. Технически она представляет собой инъекцию кода, возникающую из-за ошибки повреждения памяти. Злоумышленники могут использовать этот дефект для удаленного выполнения произвольного кода в скомпрометированной системе.
Второй добавленный в каталог дефект, CVE-2025-37164, относится к платформе HPE OneView и имеет максимальный уровень критичности с оценкой 10.0 по шкале CVSS. Эта уязвимость типа «инъекция кода» позволяет удаленному неаутентифицированному пользователю осуществлять выполнение удаленного кода (RCE). Подобный уровень доступа создает чрезвычайную угрозу для целостности корпоративных инфраструктур.
Детали относительно проблемы в HPE OneView начали появляться в прошлом месяце. Согласно техническим данным, уязвимости подвержены все версии программного обеспечения до выпуска 11.00. В качестве меры по снижению рисков компания HPE выпустила исправления (hotfixes) для версий OneView с 5.20 по 10 включительно, которые администраторам рекомендуется установить незамедлительно.
На текущий момент масштаб и источники атак остаются неясными. За исключением факта включения уязвимостей в список CISA, в публичном поле отсутствуют отчеты о случаях эксплуатации этих брешей «в дикой природе». Однако отсутствие широкой огласки не снижает потенциальной опасности, учитывая подтвержденный статус активного использования эксплойтов.
Ситуация усугубляется наличием общедоступного кода эксплойта (Proof-of-Concept). Согласно отчету компании eSentire от 23 декабря 2025 года, детальный PoC-эксплойт для уязвимости CVE-2025-37164 был опубликован в открытом доступе. Эксперты eSentire предупреждают, что появление публичного инструмента для взлома значительно повышает риски для организаций, использующих уязвимое ПО.
В связи с включением данных угроз в каталог KEV вступает в силу обязательная оперативная директива BOD 22-01. Данный документ обязывает агентства Федеральной исполнительной власти (FCEB) принять необходимые меры по защите своих сетей от активных угроз. Крайний срок для устранения указанных уязвимостей и установки соответствующих обновлений установлен до 28 января 2026 года.
