Сегодня в ТОП-5 — возвращение OldGremlin, критическая уязвимость в SAP S/4HANA, критические уязвимости TP-Link, сентябрьский патч Android и Zero-Day уязвимость в Sitecore.
1. Возвращение OldGremlin: кибергруппа вымогателей снова атакует российские компании
Группа злоумышленников OldGremlin, известная с 2020 года, возобновила атаки на российские компании, применяя фишинговые письма с вредоносными вложениями и самописный шифровальщик TinyCrypt. Это вредоносное ПО написано на .NET и использует гибридное шифрование (AES и RSA). Злоумышленники имитируют переписку от имени крупных банков и сервисных организаций, а после заражения активно используют легитимные админ-инструменты для закрепления и скрытного перемещения в сети. Характерная особенность OldGremlin — длительная скрытность: между первичным проникновением и запуском TinyCrypt может пройти несколько месяцев. Рекомендуется усиливать почтовую фильтрацию, обучать сотрудников фишинг-гигиене и контролировать аномальное применение легитимных утилит администратора.
2. Критическая уязвимость в SAP S/4HANA позволяет выполнить произвольный код
Исследователи из SAP Security Research обнаружили критическую уязвимость CVE-2025-42957 (CVSS: 9.9) в SAP S/4HANA, которая связана с небезопасной обработкой RFC-вызовов и позволяет внедрять произвольный ABAP-код. Эксплуатация ошибки даёт атакующему возможность выполнять произвольные команды, создавать суперпользователей, изменять бизнес-логику и внедрять бэкдоры для долгосрочного доступа. В реальных атаках злоумышленники используют этот вектор для компрометации финансовых модулей и получения данных о транзакциях. Масштаб риска особенно высок для компаний, где RFC-интерфейсы доступны извне. Администраторам рекомендуется срочно установить исправление (SAP Security Note 3627998), ограничить внешние RFC-вызовы и активировать UCON для контроля модулей.
3. CISA добавляет критические уязвимости TP-Link в список активно эксплуатируемых (KEV)
CISA включила в каталог KEV две критические уязвимости маршрутизаторов TP-Link: CVE-2024-50395 (CVSS: 8.8) и CVE-2025-26853 (CVSS: 9.8). Первая позволяет обойти аутентификацию, вторая — выполнять произвольный код на устройстве от имени root. Злоумышленники уже используют их в реальных атаках для установки ботнет-клиентов и организации прокси-сетей, что превращает домашние и корпоративные маршрутизаторы в точки входа в инфраструктуру. Рекомендуется немедленно обновить прошивки, отключить удалённое администрирование и сегментировать сеть для минимизации ущерба.
4. Сентябрьский патч Android закрывает две эксплуатируемые уязвимости и ещё 120 багов
Компания Google выпустила сентябрьское обновление безопасности Android, исправляющее более 120 уязвимостей, включая две активно эксплуатируемые: CVE-2025-35642 (CVSS: 8.0) в Android Runtime и CVE-2025-35643 (CVSS: 7.8) в Framework. Первая позволяет локальному злоумышленнику повысить привилегии и выполнить код с правами приложения, вторая открывает доступ к конфиденциальным данным и системным API. Так как эксплойты уже используются в реальных атаках, пользователи подвергаются риску кражи данных и установки вредоносного ПО. Рекомендуется как можно скорее обновить устройства через OTA и избегать установки приложений из сторонних источников.
5. Zero-Day уязвимость в Sitecore позволяет удалённое выполнение кода (RCE)
Google TAG зафиксировала активную эксплуатацию критической уязвимости CVE-2025-53690 (CVSS: 9.0) в CMS Sitecore, связанной с небезопасной десериализацией ViewState. Уязвимость позволяет злоумышленнику сформировать вредоносный ViewState-объект и отправить его серверу, что приводит к удалённому выполнению кода без авторизации. В атаках фиксируется установка веб-шеллов и последующее боковое перемещение по сети. Так как проблема ещё не закрыта патчем, организации находятся под высоким риском. Рекомендуется ограничить доступ к уязвимым страницам, усилить мониторинг IIS-журналов и готовиться к установке официального обновления.
Источник: habr.com