Специалисты компании watchTowr зафиксировали начало активной эксплуатации критической уязвимости в продуктах BeyondTrust в реальных условиях. Райан Дьюхерст, глава отдела анализа угроз в watchTowr, заявил: «В одночасье мы зафиксировали первую эксплуатацию BeyondTrust в реальных условиях через наши глобальные сенсоры». Уязвимости присвоен идентификатор CVE-2026-1731 и максимальная оценка CVSS 9.9, что классифицирует её как критическую. Брешь позволяет удаленному злоумышленнику без аутентификации добиться удаленного выполнения кода (RCE), выполнять команды операционной системы от имени пользователя сайта, осуществлять эксфильтрацию данных и вызывать сбои в работе сервисов.
Технически атака реализуется через злоупотребление функцией
Параллельно Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило четыре новые уязвимости в каталог известных эксплуатируемых уязвимостей (KEV). Для федеральных агентств гражданской исполнительной власти (FCEB) установлены жесткие сроки устранения проблем: до 15 февраля 2026 года необходимо исправить уязвимость в SolarWinds (CVE-2025-40536), а до 5 марта 2026 года — оставшиеся три проблемы, затрагивающие продукты Apple, Notepad++ и Microsoft.
Компания Apple устранила уязвимость CVE-2026-20700, связанную с некорректным ограничением операций в пределах буфера памяти. Эта ошибка позволяла злоумышленникам с возможностью записи в память выполнять произвольный код на iOS, macOS, tvOS, watchOS и visionOS. Эксперты отмечают, что данный вектор использовался в «чрезвычайно сложных атаках» против конкретных лиц, вероятно, с применением коммерческого шпионского ПО. Проблема затрагивала версии iOS до 26-й и была исправлена компанией ранее на этой неделе.
Особое внимание привлекает атака на цепочку поставок редактора кода Notepad++, получившая идентификатор CVE-2025-15556 с оценкой CVSS 7.7. Уязвимость заключалась в загрузке кода без проверки целостности, что позволяло перехватывать трафик обновлений и загружать инсталлятор, контролируемый хакерами. Компрометация длилась почти пять месяцев, с июня по октябрь 2025 года, и была устранена 2 декабря 2025 года. Ответственность за атаку возлагается на группировку Lotus Blossom, связанную с Китаем и активную с 2009 года. Группа также известна под именами Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon и Thrip.
Расследование DomainTools Investigations (DTI) показало, что злоумышленники внедрили ранее неизвестный бэкдор под названием Chrysalis. Примечательно, что исходный код Notepad++ оставался нетронутым; хакеры использовали троянизированные установщики для обхода проверок исходного кода. Атака характеризовалась как «тихое, методичное вторжение» с выборочным таргетингом организаций и лиц, представляющих стратегическую ценность. Злоумышленники избегали массового заражения глобальной базы пользователей, предпочитая длительное скрытное присутствие в системах жертв.
В отношении SolarWinds Web Help Desk была добавлена уязвимость CVE-2025-40536 (CVSS 8.1), представляющая собой обход мер безопасности, позволяющий неаутентифицированному злоумышленнику получить доступ к ограниченному функционалу. Microsoft отметила неопределенность касательно атак в декабре 2025 года, так как машины жертв были уязвимы одновременно к нескольким ошибкам, и неясно, использовали ли хакеры именно эту CVE, либо CVE-2025-40551 или CVE-2025-26399.
Четвертая уязвимость, CVE-2024-43468, обнаружена в Microsoft Configuration Manager и имеет критический рейтинг CVSS 9.8. Это SQL-инъекция, позволяющая неаутентифицированному атакующему выполнять команды на сервере или в базе данных через специально сформированные запросы. Исправление было выпущено еще в рамках «вторника патчей» в октябре 2024 года. На данный момент информация о личностях киберпреступников или масштабах эксплуатации данной уязвимости отсутствует.
Изображение носит иллюстративный характер
Технически атака реализуется через злоупотребление функцией
get_portal_info, что позволяет злоумышленникам извлечь значение x-ns-company еще до установки канала WebSocket. Уязвимость затрагивает продукты BeyondTrust Remote Support (RS) версии 3.2 и новее, а также Privileged Remote Access (PRA). Для устранения угрозы выпущен патч BT26-02-PRA для версий 25.1.1 и выше. В связи с активным использованием бреши, организациям рекомендуется незамедлительно обновить программное обеспечение для предотвращения несанкционированного доступа. Параллельно Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило четыре новые уязвимости в каталог известных эксплуатируемых уязвимостей (KEV). Для федеральных агентств гражданской исполнительной власти (FCEB) установлены жесткие сроки устранения проблем: до 15 февраля 2026 года необходимо исправить уязвимость в SolarWinds (CVE-2025-40536), а до 5 марта 2026 года — оставшиеся три проблемы, затрагивающие продукты Apple, Notepad++ и Microsoft.
Компания Apple устранила уязвимость CVE-2026-20700, связанную с некорректным ограничением операций в пределах буфера памяти. Эта ошибка позволяла злоумышленникам с возможностью записи в память выполнять произвольный код на iOS, macOS, tvOS, watchOS и visionOS. Эксперты отмечают, что данный вектор использовался в «чрезвычайно сложных атаках» против конкретных лиц, вероятно, с применением коммерческого шпионского ПО. Проблема затрагивала версии iOS до 26-й и была исправлена компанией ранее на этой неделе.
Особое внимание привлекает атака на цепочку поставок редактора кода Notepad++, получившая идентификатор CVE-2025-15556 с оценкой CVSS 7.7. Уязвимость заключалась в загрузке кода без проверки целостности, что позволяло перехватывать трафик обновлений и загружать инсталлятор, контролируемый хакерами. Компрометация длилась почти пять месяцев, с июня по октябрь 2025 года, и была устранена 2 декабря 2025 года. Ответственность за атаку возлагается на группировку Lotus Blossom, связанную с Китаем и активную с 2009 года. Группа также известна под именами Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon и Thrip.
Расследование DomainTools Investigations (DTI) показало, что злоумышленники внедрили ранее неизвестный бэкдор под названием Chrysalis. Примечательно, что исходный код Notepad++ оставался нетронутым; хакеры использовали троянизированные установщики для обхода проверок исходного кода. Атака характеризовалась как «тихое, методичное вторжение» с выборочным таргетингом организаций и лиц, представляющих стратегическую ценность. Злоумышленники избегали массового заражения глобальной базы пользователей, предпочитая длительное скрытное присутствие в системах жертв.
В отношении SolarWinds Web Help Desk была добавлена уязвимость CVE-2025-40536 (CVSS 8.1), представляющая собой обход мер безопасности, позволяющий неаутентифицированному злоумышленнику получить доступ к ограниченному функционалу. Microsoft отметила неопределенность касательно атак в декабре 2025 года, так как машины жертв были уязвимы одновременно к нескольким ошибкам, и неясно, использовали ли хакеры именно эту CVE, либо CVE-2025-40551 или CVE-2025-26399.
Четвертая уязвимость, CVE-2024-43468, обнаружена в Microsoft Configuration Manager и имеет критический рейтинг CVSS 9.8. Это SQL-инъекция, позволяющая неаутентифицированному атакующему выполнять команды на сервере или в базе данных через специально сформированные запросы. Исправление было выпущено еще в рамках «вторника патчей» в октябре 2024 года. На данный момент информация о личностях киберпреступников или масштабах эксплуатации данной уязвимости отсутствует.
