Обновить всё: дайджест уязвимостей, которые не стоит игнорировать

1. Два Zero-Day в iOS: CVE-2025-31200 и CVE-2025-31201

Apple выпустила обновления безопасности iOS 18.4.1 и iPadOS 18.4.1, устраняющие две критические уязвимости , активно использовавшиеся в реальных атаках.

• CVE-2025-31200 — уязвимость в компоненте CoreAudio, которая позволяла выполнить произвольный код при обработке специально сформированных медиафайлов. Проблема заключалась в повреждении памяти, и была исправлена путём усиления проверки границ.
• CVE-2025-31201 — уязвимость в компоненте RPAC, позволявшая обойти механизм Pointer Authentication при наличии произвольного доступа на чтение и запись. Уязвимый код был полностью удалён.

Обе уязвимости использовались в крайне изощрённой цепочке атак, нацеленной на конкретных пользователей. Они были обнаружены совместно специалистами Apple и Google TAG.

2. Утечка NTLM-хэшей в Windows: CVE-2025-24054

Check Point зафиксировал активную эксплуатацию уязвимости CVE-2025-24054 — проблемы в Windows Explorer, позволяющей утекать NTLMv2-SSP хэши через файлы с расширением .library-ms. Достаточно просто открыть папку, содержащую такой файл — никакого дополнительного взаимодействия не требуется.

Атаки начались всего через 8 дней после выхода исправления 11 марта 2025 года. В одной из кампаний вредоносный архив распространялся через Dropbox и содержал четыре файла, каждый из которых задействовал известные уязвимости, включая CVE-2024-43451 . Целями стали учреждения в Польше и Румынии.

Поддельный .library-ms файл содержал ссылку на внешний SMB-сервер. После того как пользователь открывает папку или даже наводит курсор на файл, происходит автоматическая отправка NTLM-хэша на сервер атакующего, позволяя проводить relay-атаки или брутфорс паролей.

3. SonicWall SMA100: эксплуатация CVE-2021-20035

Несмотря на то, что уязвимость CVE-2021-20035 в устройстве SonicWall SMA100 была обнаружена и исправлена ещё в 2021 году, она до сих пор активно эксплуатируется злоумышленниками. Проблема представляет собой командную инъекцию (OS Command Injection), которая может быть использована удалённо без аутентификации.

16 апреля 2025 года CISA добавила эту уязвимость в каталог активно эксплуатируемых уязвимостей, предписав всем федеральным учреждениям устранить её в кратчайшие сроки в рамках директивы BOD 22-01. Организациям, не подпадающим под действие директивы, также рекомендовано срочно обновить прошивки и закрыть доступ к администрированию устройств из внешней сети.

4. Уязвимость в Android SDK SAP Emarsys: CVE-2023-6542

Спустя почти два года после закрытия уязвимости исследователи из RCE Security опубликовали её детальный анализ . Речь идёт об SDK Emarsys для Android, версиях до 3.6.1, используемом в мобильных приложениях от SAP.

По словам SAP, проблема якобы заключалась лишь в возможности злоумышленника инициировать открытие веб-страниц через приложение. Однако исследование показало, что уязвимость позволяет:

• читать произвольные файлы из директории приложения /data/data/<package>;
• удалять эти файлы через встроенный вызов File.delete();
• загружать произвольные HTML-страницы и внедрять их в интерфейс приложения.

Уязвимость обусловлена отсутствием проверки URL в JSON-нагрузке, передаваемой через Intent в активность com.emarsys.NotificationOpenedActivity. Это позволяет злоумышленнику подменить содержимое интерфейса, создать фишинговое наложение или даже украсть сессии пользователей.

5. Критическая RCE в PHP extract(): double free / use-after-free

В функции extract() во всех актуальных ветках PHP (5.x, 7.x, 8.x) обнаружена критическая уязвимость , позволяющая выполнить произвольный код на стороне сервера.

Суть проблемы — некорректная работа с памятью при использовании флага EXTR_REFS, позволяющая вызвать двойное освобождение памяти (double free) в PHP 5 или use-after-free в новых версиях. Исследователи показали, что уязвимость позволяет:

• перехватывать и перезаписывать zval-структуры;
• читать и записывать произвольную память;
• восстанавливать отключённые функции, включая system().

Отладка через GDB продемонстрировала, как можно добиться двойного освобождения zval-объектов, после чего зловредный код получает прямой доступ к куче Zend Engine. Патчи пока не выпущены, официальная позиция Zend сводится к тому, что «преднамеренный крах не считается уязвимостью».

6. Удалённая RCE без авторизации в Erlang/OTP SSH: CVE-2025-32433

Команда из Ruhr University Bochum обнаружила уязвимость CVE-2025-32433 (CVSS 10.0) в SSH-реализации Erlang/OTP. Она позволяет удалённому злоумышленнику выполнить произвольный код до прохождения аутентификации, просто отправив специальный протокольный пакет.

Уязвимость связана с ошибкой в обработке сообщений на стадии соединения. Она затрагивает все серверы, использующие библиотеку Erlang/OTP SSH для удалённого доступа. Если демон SSH работает с правами root, это означает полный контроль над системой.

Уязвимость устранена в версиях OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Временное решение — блокировка сетевого доступа к SSH-порту через фаервол.

7. Массовые обновления от Cisco

Компания Cisco выпустила обширную серию исправлений для своих продуктов. Среди самых значимых:

• CVE-2025-20236: RCE в Cisco Webex App — клиентская уязвимость, позволяющая выполнение кода на стороне пользователя.
• CVE-2024-20439, CVE-2024-20440: критические баги в Smart Licensing Utility, позволяющие нарушить контроль лицензий.
• CVE-2025-20212: DoS-атака на Meraki MX/Z Series с включённой VPN-функцией AnyConnect.
• CVE-2025-20138–20177: серия уязвимостей в IOS XR — от DoS до обхода ACL, включая Secure Boot Bypass и эскалацию привилегий в CLI.

Также исправлены XSS и уязвимости с раскрытием информации в Nexus Dashboard, SD-WAN Manager и Webex for BroadWorks. Рекомендовано немедленно обновить системы в корпоративной инфраструктуре.