Американское агентство по кибербезопасности и защите инфраструктуры CISA пополнило каталог Known Exploited Vulnerabilities (KEV) четырьмя уязвимостями, затрагивающими продукты SimpleHelp, Samsung и D-Link. Все четыре активно эксплуатируются в реальных атаках, и федеральные гражданские агентства (FCEB) обязаны либо устранить их, либо полностью отказаться от уязвимых устройств до 8 мая 2026 года.
Две из четырёх уязвимостей относятся к SimpleHelp. CVE-2024-57726 получила оценку CVSS 9.9 из 10 — это очень высокий показатель. Суть проблемы: низкопривилегированный техник может создавать API-ключи с избыточными разрешениями, что позволяет ему эскалировать привилегии вплоть до роли администратора сервера. CVE-2024-57728 с оценкой 7.2 — классическая «zip slip» уязвимость, path traversal через специально сформированный zip-архив. Результат: произвольный файл загружается в любое место файловой системы и выполняется в контексте пользователя SimpleHelp-сервера. Обе уязвимости в каталоге KEV формально помечены как «Unknown» в отношении использования в ransomware-кампаниях, но это формальное обозначение разительно расходится с реальностью.
Компании Field Effect и Sophos ещё в начале прошлого года публиковали отчёты, где зафиксировали эти уязвимости SimpleHelp как предварительный этап атак с последующим развёртыванием шифровальщика. Одна из задокументированных кампаний прямо приписана группировке DragonForce. То есть при «неизвестном» статусе в официальной базе исследователи уже давно наблюдали их применение в цепочке ransomware-атак.
Третья уязвимость, CVE-2024-7399, касается Samsung MagicINFO 9 Server и оценена в 8.8 балла по CVSS. Это path traversal, дающий атакующему возможность записывать произвольные файлы с правами системного пользователя. История эксплуатации этой бреши связана с распространением ботнета Mirai — одного из самых живучих вредоносов в мире IoT-угроз, который продолжает мутировать и переиспользоваться спустя годы после своего первого появления.
Четвёртая уязвимость, CVE-2025-29635 (CVSS 7.5), затрагивает маршрутизаторы серии D-Link DIR-823X. Здесь речь идёт о command injection: отправка POST-запроса к
Принципиально важная деталь по D-Link DIR-823X: эти маршрутизаторы находятся в состоянии end-of-life, то есть производитель официально прекратил их поддержку. Патча для CVE-2025-29635 нет и не будет. По этой причине CISA в своём предписании не оставила федеральным агентствам привычного выбора «обновитесь»: для DIR-823X требование сформулировано однозначно — полностью прекратить использование этих устройств.
Механизм каталога KEV работает следующим образом: CISA добавляет туда уязвимости с доказательствами активной эксплуатации, и агентства FCEB обязаны соблюдать сроки устранения. Частные компании технически не обязаны следовать этим предписаниям, но большинство специалистов по безопасности рассматривают KEV как надёжный сигнал приоритизации: если уязвимость там есть, значит кто-то уже ею пользуется прямо сейчас.
Сочетание уязвимостей в продуктах SimpleHelp с историей DragonForce заслуживает отдельного внимания. SimpleHelp — это инструмент удалённого доступа, и атакующие целенаправленно охотятся за подобным программным обеспечением: получив контроль над ним через CVE-2024-57726 и CVE-2024-57728, они фактически получают готовый плацдарм внутри корпоративной инфраструктуры жертвы. Это не случайный выбор целей, а выстроенная тактика первоначального проникновения перед развёртыванием шифровальщика.
Ситуация с Mirai и D-Link DIR-823X отражает давнюю проблему сетевого оборудования: устройства с истёкшим сроком поддержки годами остаются подключёнными к сети, и операторы ботнетов об этом прекрасно знают. Вариант «tuxnokill», зафиксированный Akamai, — ещё одно свидетельство того, что экосистема Mirai продолжает развиваться, находя новые уязвимые устройства по мере того, как старые всё-таки выводятся из эксплуатации или патчируются.
Срок 8 мая 2026 года выглядит достаточно далёким, но практика показывает, что замена сетевого оборудования в крупных федеральных структурах — это месяцы согласований, закупок и развёртывания. Для DIR-823X с его требованием полного вывода из эксплуатации этот срок уже сейчас должен запускать процессы замены, а не просто фиксацию в списке задач.
Изображение носит иллюстративный характер
Две из четырёх уязвимостей относятся к SimpleHelp. CVE-2024-57726 получила оценку CVSS 9.9 из 10 — это очень высокий показатель. Суть проблемы: низкопривилегированный техник может создавать API-ключи с избыточными разрешениями, что позволяет ему эскалировать привилегии вплоть до роли администратора сервера. CVE-2024-57728 с оценкой 7.2 — классическая «zip slip» уязвимость, path traversal через специально сформированный zip-архив. Результат: произвольный файл загружается в любое место файловой системы и выполняется в контексте пользователя SimpleHelp-сервера. Обе уязвимости в каталоге KEV формально помечены как «Unknown» в отношении использования в ransomware-кампаниях, но это формальное обозначение разительно расходится с реальностью.
Компании Field Effect и Sophos ещё в начале прошлого года публиковали отчёты, где зафиксировали эти уязвимости SimpleHelp как предварительный этап атак с последующим развёртыванием шифровальщика. Одна из задокументированных кампаний прямо приписана группировке DragonForce. То есть при «неизвестном» статусе в официальной базе исследователи уже давно наблюдали их применение в цепочке ransomware-атак.
Третья уязвимость, CVE-2024-7399, касается Samsung MagicINFO 9 Server и оценена в 8.8 балла по CVSS. Это path traversal, дающий атакующему возможность записывать произвольные файлы с правами системного пользователя. История эксплуатации этой бреши связана с распространением ботнета Mirai — одного из самых живучих вредоносов в мире IoT-угроз, который продолжает мутировать и переиспользоваться спустя годы после своего первого появления.
Четвёртая уязвимость, CVE-2025-29635 (CVSS 7.5), затрагивает маршрутизаторы серии D-Link DIR-823X. Здесь речь идёт о command injection: отправка POST-запроса к
/goform/set_prohibiting позволяет авторизованному атакующему выполнять произвольные команды на удалённом устройстве. Компания Akamai раскрыла эту уязвимость буквально за несколько дней до того, как CISA добавила её в каталог KEV в пятницу. Akamai зафиксировала активные попытки заражения устройств D-Link именно для установки варианта Mirai под названием «tuxnokill». Принципиально важная деталь по D-Link DIR-823X: эти маршрутизаторы находятся в состоянии end-of-life, то есть производитель официально прекратил их поддержку. Патча для CVE-2025-29635 нет и не будет. По этой причине CISA в своём предписании не оставила федеральным агентствам привычного выбора «обновитесь»: для DIR-823X требование сформулировано однозначно — полностью прекратить использование этих устройств.
Механизм каталога KEV работает следующим образом: CISA добавляет туда уязвимости с доказательствами активной эксплуатации, и агентства FCEB обязаны соблюдать сроки устранения. Частные компании технически не обязаны следовать этим предписаниям, но большинство специалистов по безопасности рассматривают KEV как надёжный сигнал приоритизации: если уязвимость там есть, значит кто-то уже ею пользуется прямо сейчас.
Сочетание уязвимостей в продуктах SimpleHelp с историей DragonForce заслуживает отдельного внимания. SimpleHelp — это инструмент удалённого доступа, и атакующие целенаправленно охотятся за подобным программным обеспечением: получив контроль над ним через CVE-2024-57726 и CVE-2024-57728, они фактически получают готовый плацдарм внутри корпоративной инфраструктуры жертвы. Это не случайный выбор целей, а выстроенная тактика первоначального проникновения перед развёртыванием шифровальщика.
Ситуация с Mirai и D-Link DIR-823X отражает давнюю проблему сетевого оборудования: устройства с истёкшим сроком поддержки годами остаются подключёнными к сети, и операторы ботнетов об этом прекрасно знают. Вариант «tuxnokill», зафиксированный Akamai, — ещё одно свидетельство того, что экосистема Mirai продолжает развиваться, находя новые уязвимые устройства по мере того, как старые всё-таки выводятся из эксплуатации или патчируются.
Срок 8 мая 2026 года выглядит достаточно далёким, но практика показывает, что замена сетевого оборудования в крупных федеральных структурах — это месяцы согласований, закупок и развёртывания. Для DIR-823X с его требованием полного вывода из эксплуатации этот срок уже сейчас должен запускать процессы замены, а не просто фиксацию в списке задач.
