В последнее время ландшафт кибербезопасности претерпел существенные изменения из-за обнаружения ряда критических уязвимостей в продуктах Cisco и Ivanti. Эти уязвимости, если их не устранить, могут привести к серьезным нарушениям безопасности, включая захват контроля над системами, отказ в обслуживании и компрометацию конфиденциальных данных.
Одной из наиболее серьезных проблем является уязвимость в Cisco Meeting Management, получившая обозначение CVE-2025-20156. Эта критическая брешь, оцененная в 9.9 балла по шкале CVSS, позволяет злоумышленнику, обладающему минимальными правами, получить администраторский доступ к узлам, управляемым Cisco Meeting Management. Проблема заключается в некорректной обработке запросов к REST API, позволяющей обходить проверки авторизации. Исследователь Бен Леонард-Лагард из Modux сообщил о данной уязвимости, которая затрагивает версии Cisco Meeting Management 3.8 и более ранние. Компания Cisco выпустила обновление 3.9.1, устраняющее эту проблему, в то время как версия 3.10 и более поздние не подвержены данной уязвимости.
Другой серьезной проблемой является уязвимость в Cisco BroadWorks, получившая идентификатор CVE-2025-20165. Эта ошибка, оцененная в 7.5 баллов по CVSS, связана с некорректным управлением памятью при обработке SIP-трафика. Злоумышленники могут воспользоваться этой уязвимостью для организации атаки типа «отказ в обслуживании» (DoS), отправляя большое количество специально сформированных SIP-запросов. Это приводит к исчерпанию ресурсов памяти сервера и делает его неспособным обрабатывать входящие запросы. Для восстановления нормальной работы сервера потребуется ручное вмешательство. Cisco исправила эту проблему в версии RI.2024.11.
Также была обнаружена уязвимость в ClamAV, получившая обозначение CVE-2025-20128. Эта проблема, связанная с целочисленным переполнением, затрагивает процедуру дешифрования OLE2, и может привести к отказу в обслуживании. Хотя существует подтверждение концепции (PoC) эксплуатации, нет доказательств того, что эта уязвимость использовалась злоумышленниками в реальных атаках. Команда Google OSS-Fuzz сообщила об этой уязвимости. Несмотря на то, что ее оценка по CVSS составляет 5.3, ее нельзя игнорировать, так как она может стать мишенью будущих атак.
Кроме уязвимостей в продуктах Cisco и ClamAV, в сентябре 2024 года CISA и ФБР сообщили об использовании злоумышленниками цепочек эксплойтов против облачных сервисов Ivanti. Эти атаки, разработанные, по мнению экспертов, группами хакеров, спонсируемых государствами, включали в себя несколько этапов: получение первоначального доступа, удаленное выполнение кода (RCE), кража учетных данных, внедрение веб-оболочки и последующее перемещение по сети. Fortinet FortiGuard Labs раскрыла подробности этих атак в октябре 2024 года. Крайне важно, что все учетные данные и конфиденциальная информация, хранящиеся в пораженных устройствах Ivanti, должны рассматриваться как скомпрометированные.
Учитывая серьезность этих уязвимостей, организациям рекомендуется незамедлительно установить последние обновления безопасности для Cisco Meeting Management, Cisco BroadWorks и ClamAV. Кроме того, всем пользователям Ivanti, следует незамедлительно принять меры для обеспечения безопасности своей инфраструктуры, включая обязательную смену паролей и тщательную проверку системы на наличие вредоносного ПО.
Эти инциденты еще раз подчеркивают необходимость постоянного мониторинга безопасности, своевременного обновления программного обеспечения и применения комплексных мер защиты для предотвращения атак и минимизации их последствий. В современном мире, где киберугрозы постоянно развиваются, только постоянное внимание к защите и оперативное реагирование на возникающие опасности могут гарантировать безопасность данных и инфраструктуры организаций.
Изображение носит иллюстративный характер
Одной из наиболее серьезных проблем является уязвимость в Cisco Meeting Management, получившая обозначение CVE-2025-20156. Эта критическая брешь, оцененная в 9.9 балла по шкале CVSS, позволяет злоумышленнику, обладающему минимальными правами, получить администраторский доступ к узлам, управляемым Cisco Meeting Management. Проблема заключается в некорректной обработке запросов к REST API, позволяющей обходить проверки авторизации. Исследователь Бен Леонард-Лагард из Modux сообщил о данной уязвимости, которая затрагивает версии Cisco Meeting Management 3.8 и более ранние. Компания Cisco выпустила обновление 3.9.1, устраняющее эту проблему, в то время как версия 3.10 и более поздние не подвержены данной уязвимости.
Другой серьезной проблемой является уязвимость в Cisco BroadWorks, получившая идентификатор CVE-2025-20165. Эта ошибка, оцененная в 7.5 баллов по CVSS, связана с некорректным управлением памятью при обработке SIP-трафика. Злоумышленники могут воспользоваться этой уязвимостью для организации атаки типа «отказ в обслуживании» (DoS), отправляя большое количество специально сформированных SIP-запросов. Это приводит к исчерпанию ресурсов памяти сервера и делает его неспособным обрабатывать входящие запросы. Для восстановления нормальной работы сервера потребуется ручное вмешательство. Cisco исправила эту проблему в версии RI.2024.11.
Также была обнаружена уязвимость в ClamAV, получившая обозначение CVE-2025-20128. Эта проблема, связанная с целочисленным переполнением, затрагивает процедуру дешифрования OLE2, и может привести к отказу в обслуживании. Хотя существует подтверждение концепции (PoC) эксплуатации, нет доказательств того, что эта уязвимость использовалась злоумышленниками в реальных атаках. Команда Google OSS-Fuzz сообщила об этой уязвимости. Несмотря на то, что ее оценка по CVSS составляет 5.3, ее нельзя игнорировать, так как она может стать мишенью будущих атак.
Кроме уязвимостей в продуктах Cisco и ClamAV, в сентябре 2024 года CISA и ФБР сообщили об использовании злоумышленниками цепочек эксплойтов против облачных сервисов Ivanti. Эти атаки, разработанные, по мнению экспертов, группами хакеров, спонсируемых государствами, включали в себя несколько этапов: получение первоначального доступа, удаленное выполнение кода (RCE), кража учетных данных, внедрение веб-оболочки и последующее перемещение по сети. Fortinet FortiGuard Labs раскрыла подробности этих атак в октябре 2024 года. Крайне важно, что все учетные данные и конфиденциальная информация, хранящиеся в пораженных устройствах Ivanti, должны рассматриваться как скомпрометированные.
Учитывая серьезность этих уязвимостей, организациям рекомендуется незамедлительно установить последние обновления безопасности для Cisco Meeting Management, Cisco BroadWorks и ClamAV. Кроме того, всем пользователям Ivanti, следует незамедлительно принять меры для обеспечения безопасности своей инфраструктуры, включая обязательную смену паролей и тщательную проверку системы на наличие вредоносного ПО.
Эти инциденты еще раз подчеркивают необходимость постоянного мониторинга безопасности, своевременного обновления программного обеспечения и применения комплексных мер защиты для предотвращения атак и минимизации их последствий. В современном мире, где киберугрозы постоянно развиваются, только постоянное внимание к защите и оперативное реагирование на возникающие опасности могут гарантировать безопасность данных и инфраструктуры организаций.
