Critical Zero-Day уязвимости: Предупреждения от хакери

Security професионалистите и системните администратори са в повишена готовност, тъй като Microsoft, Fortinet и Ivanti издадоха критични security съвети относно активно експлоатирани zero-day уязвимости, засягащи съответните продукти. Тези уязвимости представляват значителен риск за организациите, потенциално водещи до неоторизиран достъп, нарушения на данните и компрометиране на системата. Незабавното прилагане на кръпки и изпълнението на препоръчаните заобиколни решения силно се препоръчват за смекчаване на потенциалните заплахи.

Microsoft Кръпки Адресиране на Активно Експлоатирани и Публично Разкрити Уязвимости

Последният Patch Tuesday на Microsoft включва поправки за притеснителен брой уязвимости, включително пет, които вече се експлоатират активно в дивата природа, заедно с две публично разкрити zero-day уязвимости. Активно експлоатираните недостатъци представляват сериозна заплаха, тъй като злонамерените актьори активно ги използват, за да компрометират системи. Тези открития подчертават критичната необходимост организациите да останат бдителни и да дадат приоритет на навременните кръпки. Последиците от пренебрегването на тези уязвимости могат да бъдат тежки, вариращи от неоторизиран достъп до чувствителни данни до пълно компрометиране на системата. Като бързо прилагат наличните кръпки, организациите могат значително да намалят експозицията си на тези активни заплахи и да защитят своите активи. Навременното кръпене не само укрепва securityто на отделните системи, но и допринася за цялостната стабилност и сигурност на цялата мрежа. Освен това, поддържането на актуална представа за най-новите security съвети и бюлетини за уязвимости е от съществено значение за активната защита срещу нововъзникващи заплахи. Поддържането на стабилен подход към кръпките и security одитите е от първостепенно значение за поддържането на надеждна security поза и предпазването от потенциални кибератаки. Чрез интегрирането на these най-добри практики в своите operations, организациите могат да минимизират риска от exploitация и да осигурят безопасността и поверителността на своите данни.

Активно Експлоатирани Уязвимости в Детайли

Следните уязвимости са идентифицирани като активно експлоатирани:
Разбирането на специфичните подробности за всяка активно експлоатирана уязвимост е от решаващо значение за разработването на ефективни remediation стратегии. Чрез задълбочаване на техническите тънкости на the flaws, security професионалистите могат по-добре да оценят потенциалното въздействие върху техните системи и да приоритизират усилията за кръпене. Освен това, щателното разбиране на векторите за attack и exploit техниките, свързани с всяка уязвимост, позволява на организациите да прилагат целенасочени мерки за сигурност, които намаляват риска както от successful exploitация. В допълнение, поддържането на актуална информация за най-новите разузнавателни данни за threat и данни за exploit уязвимости дава възможност на организациите да останат една крачка пред киберпрестъпниците и активно да подобрят своите security защити. Този проактивен approach дава възможност на организациите да отговорят бързо на нововъзникващи заплахи, да минимизират potential щети и да осигурят непрекъснатост на business operations.

• Microsoft DWM Core Library (CVE-2025-30400): Тази уязвимост в Desktop Window Manager (DWM) Core Library би могла да позволи на атакуващ да ескалира своите привилегии до SYSTEM ниво. Това означава, че атакуващ би могъл да получи пълен контрол над засегнатата система. DWM Core Library е основен компонент на Windows operating system, отговорен за управлението на графичния потребителски интерфейс. Уязвимост в тази библиотека може да има сериозни последици, тъй като тя би могла да позволи на злонамерен актьор да поеме пълен контрол над засегнатата система. Успешното exploit на тази уязвимост може да доведе до неоторизиран достъп до чувствителни data, инсталиране на malware и цялостно компрометиране на системата.
• Windows Common Log File System (CVE-2025-32701 и CVE-2025-32706): Две отделни уязвимости в Windows Common Log File System (CLFS) биха могли също да позволят на атакуващ да постигне SYSTEM ниво на привилегии. CLFS е общо предназначение logging услуга, използвана от различни компоненти на Windows.CLFS уязвимостите са особено загрижени, тъй като може да се exploitват, за да получат контрол над регистриращите механизми на the system. Това би могло да позволи на нападателите да прикрият следите си, да манипулират logs, за да прикрият malicious дейности, или да деактивират logging напълно.Чрез компрометиране на CLFS, нападателите могат да попречат на разследващите органи да открият присъствието им и да разкрият обхвата на атаката си. Това прави CLFS уязвимостите ценна цел за напреднали persistent заплахи (APTs) и други злонамерени участници, които търсят дълготраен, неоткрит достъп до компрометирана система.
• Windows Ancillary Function Driver (CVE-2025-32709): Уязвимост в Windows Ancillary Function Driver би могла да доведе също така до ескалация на привилегии до SYSTEM ниво.Windows Ancillary Function Driver е компонент на Windows operating system, който позволява на hardware устройства и software applications да взаимодействат с ядрото на the system. An exploit на уязвимост в този driver би могла да позволи на attacker да получи повишени привилегии и да извършва malicious действия с повишени права. Поради критичния характер на ancillary function drivers и нивото на достъп, което те предоставят, successful exploitацията на this flaw може да окаже сериозни последици за целостта и securityто на засегнатата система.
• Microsoft Scripting Engine (CVE-2025-30397): Съществува memory corruption уязвимост в Microsoft Scripting Engine, която би могла да позволи на attacker да изпълни arbitrary code. Това би могло да позволи на attacker да стартира malicious software на засегнатата система.Microsoft Scripting Engine е компонент, който се използва за изпълнение на scripts на различни езици, като JavaScript и VBScript. Memory corruption уязвимост в този engine би могла да позволи на attackers да изпълнят arbitrary code в contextа на scripting engine. Това може да им позволи да заобиколят security защити, да получат достъп до sensitive data и да компрометират the system. Поради широкото използване на the scripting engine в голям брой приложения и уеб базирани среди, exploitацията на тази уязвимост може да има широки последици.

Публично Разкрити Уязвимости

В допълнение към активно експлоатираните уязвимости, Microsoft адресира и две публично разкрити zero-day уязвимости:
Разликата между активно експлоатирани уязвимости и публично разкрити уязвимости е от решаващо значение за приоритизиране на remediation усилията. Активно експлоатираните уязвимости представляват непосредствена заплаха, тъй като се използват в действителни attacks, като изискват незабавно внимание. Публично разкритите уязвимости, от друга страна, са разкрити на широката публика, но може да не се използват активно. Те все още представляват значителен риск, тъй като злонамерените участници могат бързо да разработят exploits и да ги включат в своите attacks след разкриването. Следователно е от съществено значение организациите да адресират както активно експлоатираните, така и публично разкритите уязвимости своевременно, като се дава приоритет на тези, които се използват активно. Чрез прилагането на бърз подход към кръпките и прилагането на съответните мерки за сигурност, организациите могат значително да намалят windowа на уязвимост и да избегнат риска от exploit.

• Microsoft Defender (CVE-2025-26685): Съществува идентичност spoofing уязвимост в Microsoft Defender, която би могла да позволи на атакуващ да spoof друг акаунт през съседна мрежа.Търсенето на spoofing би позволило на attacker да получи достъп до sensitive data или да извършва unauthorized действия от името на a legинтимно потребител.
• Visual Studio (CVE-2025-32702): Vulnerabiliите на remote code execution във Visual Studio биха позволили на неauthenticated attacker да изпълни code локално.То позволява на attackers да инсталират malware, да откраднат data или да поемат контрол над засегнатата система.

Критични Уязвимости, Изискващи Приоритизиране

Отвъд активно експлоатираните и публично разкритите недостатъци, Microsoft издаде кръпки и за шест критични уязвимости, които, макар и понастоящем да не са експлоатирани, трябва да бъдат приоритизирани за кръпене.Тези недостатъци може да се exploitват след кръпене и да причинят по-голяма вреда, ако не бъдат закърпени на ранен етап.
Тези уязвимости засягат различни Microsoft продукти, включително:
Важно е да се отбележи, че дори уязвимостите, които понастоящем не се експлоатират активно, трябва да бъдат приоритизирани за кръпка. Злонамерените участници постоянно търсят нови начини да exploit системи и уязвимостта, която не се exploitва днес, може да е a successful attack утре. Като проактивна кръпка на тези уязвимости, организациите могат да намалят риска от бъдещи attacks и да защитят своите systems.

• Microsoft Office (CVE-2025-30377 и CVE-2025-30386): Две критични уязвимости са идентифицирани в Microsoft Office, които потенциално позволяват remote code execution. Тези remote изпълнение на code уязвимости може да позволи attackers да изпълняват arbitrary code от разстояние, позволявайки им да поемат контрол над компрометирани системи. Успешното exploit на these flaws може да доведе до сериозно malware, вкл. ransomware attacks и нарушаване на чувствителни данни. Важно е организациите да приоритизират кръпене на these Microsoft Office уязвимости, за да се предпазят от потенциални кибератаки.
• Microsoft Power Apps (CVE-2025-47733): Беше открита критична уязвимост в Microsoft Power Apps, която би могла да доведе до неоторизиран достъп или изпълнение на code.Търсенето на неоторизиран достъп ще позволи на attacker да получи чувствителни данни или да промени акаунт детайли.
• Remote Desktop Gateway Service (CVE-2025-29967): Съществува критична уязвимост в Remote Desktop Gateway Service, която би могла да позволи на attacker да компрометира the system. Remote Desktop Gateway е компонент, който позволява на потребителите да се свързват от разстояние към десктопи вътре в corporate мрежа. Уязвимост в тази услуга може да позволи на attackers да заобиколят security защити и да получат неоторизиран достъп до sensitive data.
• Windows Remote Desktop (CVE-2025-29966): Беше открита критична уязвимост в Windows Remote Desktop, която потенциално би довела до remote code execution.Изпълнението на code на remote би позволило на attackers да инсталират malware, да получите чувствителни данни или да поемат контрол над засегнатата система.

Fortinet Адресиране на Критична Уязвимост Вреди В Множество Продукти

Fortinet издаде security съветник относно критична уязвимост, засягаща няколко от продуктите й, вкл. FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera.Разбирането на сериозността и потенциалното въздействие на критичните уязвимости е от решаващо значение за организациите, за да приоритизират усилията си по remediation и да защитят своите системи. Ключовите точки, които трябва да се имат предвид при разглеждане на critical vulnerability, включват:

1. Серьозност: Определете нивото на сериозност на уязвимостта въз основа на фактори като exploitация, потенциални последици и лекота на exploitация. Уязвимостите със сериозни сериозни рискове, като remote code execution или ескалация на привилегии, трябва да бъдат приоритизирани.
2. Въздух: Оценете potential въздействие на vulnerabilityта върху the systemа, dataта и business operations. Помислете за ефекта на нарушаване на dataта, отнемане на услуги или компрометиране на critical системите.
3. Возможност за защита: Оценете лекотата, с която нападателят може да exploit the vulnerability. Фактори като наличността на публично достъпен exploit code или сложността на exploitацията трябва да бъдат взети предвид.
4. Експозиране: Идентифицирайте системите и приложенията, които са изложени на vulnerabilityта, както и audienceта, което има достъп до these systeми. Тази оценка помага да се определят приоритетите на усилията за remediation и да се сведе до минимум потенциалното въздействие.
5. Контроли за намаляване: Идентифицирайте възможностите за намаляване на риска и изпълнете мерки за свеждане до минимум potential атаки на vulnreability. Това може да включва прилагане на кръпки, прилагане на заобиколни решения или конфигуриране на security controls.

Чрез старателна оценка на тези фактори, организациите могат да възприемат обосновани решения за това да се даде приоритет на усилията за remediation и активно да се защитават срещу потенциални заплахи. Редовното наблюдение на известията за security уязвимости, поддържането на актуална информация за най-новите заплахи и прилагането на солидна програма за управление на уязвимости са съществени компоненти на надежден security постъп.
Тази уязвимост, stack базирано buffer препълване, е назначен CVSS v4 сериозност резултат от 9.6 (CVSS v3.1: 9.8), което показва нейната висока сериозност.Уязвимостите на buffer препълване възникват, когато program записва data извън границите на assigned buffer. Това може да доведе до memory corruption, сривове на systeмите и remote code execution. В stack базираното buffer препълване attacker може да презапише данните в stack паметта, което може да доведе до контролиране на execution потока на the program.
Уязвимостта може да се използва дистанционно от неauthenticated attacker чрез изпращане на HTTP искания, съдържащи специално изработен hash cookie. Успешното exploit би могло да доведе до произволно code execution, позволявайки на attacker да поеме пълен контрол над засегнатото устройство.Успешно exploitиране на stack базирано buffer препълване може да позволи attacker да извърши arbitrary code от разстояние, което води до пълен контрол върху засегнатото устройство. Това може да позволи attacker да инсталира malware, да открадне чувствителни данни или, по-лошо, да използват компрометираното устройство като стартова възглавница за по-късни атаки в network. Приложете бързи заобиколни решения и кръпки, за да сведете до минимум risk и да укрепите устройствата срещу потенциални Exploit.

Exploitation Наблюдавана във FortiVoice

Fortinet потвърди, че е наблюдавала активно exploitация на тази уязвимост в FortiVoice устройствата. Attackers сканират network устройства, изтриват system crash logs и активират fcgi debugging, за да уловят indentifications, въведени по време на системен, или SSH логин опит. Сканирането на устройства може да позволи attacker да открие уязвими системи, за да exploitацият по-късни стадии. Изтриването на system crash logs пречи на forensic investigationто на по-късните stages. Активирането на fcgi debugging прави credential snatch за attacker.

Засегнати Продукти и Версии

Уязвимостта, проследена като CVE-2025-32756, засяга следните продуктови версии. Незабавни ъпгрейди до посочените фиксирани версии са силно препоръчителни:
Навременният ъпгрейд до последните версии е от решаващо значение за намаляване на риска, свързан с известни уязвимости. Software vendors често публикуват security кръпки, за да адресират уязвимости, които са открити в техните продукти. Тези security кръпки са предназначени да поправят code, който е причина vulnerability. Като прилагат the кръпки бързо, потребителите могат да затворят security дупки и да попречат на attackers да exploitва vulnerability. Освен това, новите версии на software products често включват подобрени security функции и подобрения, които предоставят по-голяма защита срещу нововъзникващите заплахи. Забавените кръпки могат да оставят системите уязвими към exploitация, което прави жизненоважно потребителите да следват препоръките на производителя и да ъпгрейдват своите системи незабавно. Възможностите за актуализиране на редовните процеси са от първостепенно важно значение за поддържането на сигурна computer среда.
FortiVoice:
В допълнение към ъпгрейдите в световната среда тествахте updates в тестова среда, преди push-ването на обновления live може да помогне за откриване и посрещане на всички проблеми с compatibility преди да бъдат разпространени updates по-широко, като това свежда до минимум risk, associated с неочаквани отвръзки.

• 7.2.0: Ъпгрейд до 7.2.1 или по-нагоре
• 7.0.0 до 7.0.6: Ъпгрейд до 7.0.7 или по-нагоре
• 6.4.0 до 6.4.10: Ъпгрейд до 6.4.11 или по-нагоре
• FortiRecorder:
• 7.2.0 до 7.2.3: Ъпгрейд до 7.2.4 или по-нагоре
• 7.0.0 до 7.0.5: Ъпгрейд до 7.0.6 или по-нагоре
• 6.4.0 до 6.4.5: Ъпгрейд до 6.4.6 или по-нагоре
• FortiMail:
• 7.6.0 до 7.6.2: Ъпгрейд до 7.6.3 или по-нагоре
• 7.4.0 до 7.4.4: Ъпгрейд до 7.4.5 или по-нагоре
• 7.2.0 до 7.2.7: Ъпгрейд до 7.2.8 или по-нагоре
• 7.0.0 до 7.0.8: Ъпгрейд до 7.0.9 или по-нагоре
• FortiNDR:
• 7.6.0: Ъпгрейд до 7.6.1 или по-нагоре
• 7.4.0 до 7.4.7: Ъпгрейд до 7.4.8 или по-нагоре
• 7.2.0 до 7.2.4: Ъпгрейд до 7.2.5 или по-нагоре
• 7.1: Мигриране към фиксирано издание
• 7.0.0 до 7.0.6: Ъпгрейд до 7.0.7 или по-нагоре
• 1.1 до 1.5: Мигриране към фиксирано издание
• FortiCamera:
• 2.1.0 до 2.1.3: Ъпгрейд до 2.1.4 или по-нагоре
• 2.0: Мигриране към фиксирано издание
• 1.1: Мигриране към фиксирано издание

Индикатори за Компромис и Стъпки за Облекчаване

Fortinet предостави индикатори за компромис (IOCs) в своето security предупреждаване, за да подпомогне организациите да откриват потенциални опити за exploitация. Ако незабавното кръпене не е възможно, Fortinet препоръчва временно да се изключи HTTP/HTTPS administrative интерфейса като смекчаваща мярка.Чрез мониторинг на системите и networkовете си за these IOCs, организациите могат да active да откриват опити за exploitация:

• Network трафик: следене на трафика за съмнения patтеrnи, вкл. необичайни дестинационни портове, прекомерни данни трансфери, or communication към known malicious IP addresses.
• Systemlogs: преглед за знаци на unauthorized access, ескалация на привилегии, или модификация на critical systeми файлове.
• Файл integrity мониторинг: използва file integrity мониторинг tools, за да открие unauthorized modifications of критичните системни файлове и application executables.
• Endpoint detection and response (EDR): прилагане на EDR решения за откриване и response to suspicious активности endpoints, вкл. злонамерени процеси, or unauthorized file модификации.
• Threat intelligence feedsintegrрация: интегриране със threat intelligence feed, за да бъдете up-to-date с най-новите заплахи и ICOs, и за да увеличите ефективността на security усилията.
• Security информационен и event management (SIEM:) внесе и анализира logs от multiple sources за отбелязване на security events.

Чрез прилагане на тези механизми за откриване, организациите могат да открият опити за exploitация и незабавно ответни дейности, за да сведе до минимум потенциалното въздействие на security инцидент.
Организациите също така трябва да вземат предвид други превантивни мерки, за да намалят risk-овете, свързани с тази уязвимост. Това включва имплементиране на security controls for restricting access към administrative интерфейса, прилагане на strong password policies, и предоставяне на редовно security awareness trainings за users.

Ivanti Адресиране на Remote Code Execution Уязвимости в Endpoint Manager Mobile

Ivanti издаде security съветник, посветен да отговори на двете у vulnerabilitys, засягащи неговото решение за Endpoint Manager Mobile (EPMM). Тези уязвимости, when chained заедно, can може да доведе до unauthenticated изпълнение на code на remote. Ivanti каза, че уязвимостите са associated с open-source code, използвани в EPMM, а не core code на Ivanti.Заинтересуваните съвместни уязвимости между различните софтуерни component-и отварят прозорец за атаките. Ето защо си струва да разберете различните видове chaining, които са vulnerabilitys.

• Vulnerability chaining in general: vulnerability chaining е техника, когато си струва изкачването на multiple уязвимости, за да изпълните поредица от действие. Изпълнявайки тези действия, злонамерени злосторничета целят увеличаване на тяхното въздействие.
• Authentication Bypass: уязвимостта в authentication bypass ви позволява да злонамерени злосторничета, които злоупотребяват със access контролят, за да получат неоторизиран достъп.
• Remote code execution (RCE): RCE уязвимостта е, когато злонамерени злосторничета, злоупотребяват с execution на code от разстояние на дадена система, като позволява на intruders напреднали злонамерено да се грижат за компрометирана система, изпълняваща arbitrary commands, които позволяват на intruders напреднали злонамерено злонамерено да посягат на тях.

У Vulnerability Details

• CVE-2025-4427 (Medium Severity): Това е authentication bypass flaw с CVSS v3.1 severity score of 5.3. Attacker може да exploit това, за да bypass authentication механизми и да получи неоторизиран access към the system.Authentication bypass уязвимостите permit на attackers да заобиколи traditional security controls и да получи unauthorized access към чувствителни ресурси or function-ти на система. Чрез bypassинг authentication процеси, attackers могат да impersonate легитимно user-и, bypass access controls, and perform unauthorized act-ти без proper credential или разрешение. Authentication bypass уязвимости може да доведе до рязко последствия, вкл. компрометиране на data, unauthorized system access, and потенциално за пълен systeм контрола. Разбиране на authentication bypass уязвимости, техните експлоатаци, и рисковете, които причиняват is very critical за организациите, които целят защита на тяхната информация и critical asset-и.
• Remote Code Execution А Vulnerability (High Severity): Тази vulnerability има CVSS v3.1 severity score of 7.2, което показва high potential impact. Чрез exploding this flaw, attacker може да изпълни arbitrary code вътре в affected system на remote.Remote Code Execution (RCE) е vulnerability по си security, като позволява на attacker да изпълни arbitrary code на target система. Remote Code Execution (RCE) уязвимости може да бъдат devastating, позволявайки на attacker да посягат компрометирана система да изпълнява поредица от злонамерени действия, вкл. инсталиране на malware, открадване на чувствителна data, модифициране на systeми конфигурация, or започване на further attacks. RCE уязвимости може да настъпят във връзка с различните софтуерни приложения, systeми, и устройства. В резултат на това organizations трябва да настъпят промени в strong security мерки и security мерки, които те да приложат, за да защитят срещу RCE attacks.

The Impact Products and Версии

Следните версии на Ivanti Endpoint Mobile Manager са засегнати от these уязвимости. Ъпгрейд до the latest версии възможно най-скоро:
Поддържането на софтуерните component-и up-to-date is critical аспект да гарантиране на не security на системите и приложенията. Софтуерните продукти и системи често имат vulnerabilitys и security недостатъци, които могат да бъдат експлоатирани от attackers, за да получат неоторизиран достъп, да извършат malicious act-ти, or data нарушения. Софтуерните vendors променени releasing софтуер обновяването, и те също включват security кръпки в тези обновявания. Тази security update adress и resolve known vulnerabilitys и недостатъци, и ще попречи на attacker да ги e