Сегодня в ТОП-5 — критическая уязвимость в Squid, необходимость обновления пользователям Docker, изощренная атака на NPM, неустраненная уязвимость Windows в кибершпионаже, простой Root-доступ к Linux.
Критическая уязвимость CVE-2025–62168 в Squid позволяет красть учетные данные авторизации
NIST опубликовал уведомление о критической уязвимости CVE-2025–62168(CVSS 10) в Squid, позволяющей раскрывать данные авторизации. Уязвимость затрагивает версии Squid до 7.1 включительно. Она связана с некорректной обработкой конфиденциальных заголовков в сообщениях об ошибках. Если email_err_data включен (что является настройкой по умолчанию), уязвимость активна и затрагивает миллионы серверов, включая те, что используются в России. Для защиты рекомендуется обновиться до версии 7.2+, отключить email_err_data или настроить правила блокировки WAF/IDS для предотвращения утечек чувствительной информации.
Пользователям Docker необходимо обновиться после обнаружения двух серьезных уязвимостей
Исследователем из Imperva в Docker Compose была обнаружена уязвимость CVE-2025-62725(CVSS 8.9), позволяющая злоумышленникам записывать произвольные файлы, эксплуатируя возможность выходить за пределы каталога кэша Compose и записывать произвольные файлы в хост-систему. Это приводит к обману пользователя и заставляет его ссылаться на вредоносные удалённые данные в кеше. Также ранее в установщике Docker Desktop версии 4.49.0 для Windows была устранена уязвимость перехвата DLL EUVD-2025-36191(CVSS 8.8), которая позволяла повысить привилегии из-за небезопасного порядка поиска DLL. Для обеспечения безопасности критически важно обновить Docker Compose до версии 2.40.2 и Docker Desktop до 4.49.0, следуя правилу OWASP о регулярном обновлении Host и Docker.
PhantomRaven: изощренная атака на NPM
Исследователи из Koi Security обнаружили «PhantomRaven» — атаку на цепочку поставок в NPM. С августа 2025 года было выявлено 126 вредоносных пакетов, загруженных более 86 000 раз. Они предназначены для кражи конфиденциальной информации, включая токены аутентификации, секреты CI/CD и учетные данные GitHub. Уникальность атаки заключается в использовании remote dynamic dependency (RDD), что позволяет загружать вредоносный код с внешних источников, обходя стандартные методы обнаружения. Кроме того, злоумышленники прибегают к тактике «slopsquatting», используя сгенерированные ИИ легитимные имена пакетов, чтобы замаскировать свои вредоносные программы. Разработчикам рекомендуется тщательно проверять источники пакетов, избегать использования больших языковых моделей для их поиска и сверяться с индикаторами компрометации, предоставленными в статье.
Неустраненная уязвимость Windows (CVE-2025-9491) активно эксплуатируется для кибершпионажа
Компания Arctic Wolf Labs выявила активную кампанию кибершпионажа, проводимую группировкой UNC6384 (Mustang Panda), использующей уязвимость нулевого дня в Windows —ZDI-CAN-25373 (CVE-2025-9491, CVSS: 7,0). Цепочка атак начинается с фишинговых писем, ведущих к вредоносным LNK-файлам, замаскированным под легитимные файлы установки принтера. Эти файлы запускают многоэтапную атаку, приводящую к развертыванию трояна удаленного доступа PlugX (Destroy RAT), который обеспечивает широкий спектр функций удаленного доступа, включая кейлоггинг и кражу данных. Поскольку официального патча для уязвимости не существует, особое внимание следует уделить повышению эффективности обнаружения атак с использованием DLL-библиотек, а также проактивному поиску индикаторов компрометации и их блокировке.
Root-доступ к Linux стал проще: CVE-2024-1086 открывает двери для киберпреступников
CISA подтвердила активное использование критической уязвимости ядра Linux CVE-2024-1086 (CVSS: 7,8) в атаках программ-вымогателей. Эта ошибка типа use-after-free в компоненте netfilter: nf_tables, существовавшая почти десять лет, была раскрыта и исправлена в январе 2024 года. Её эксплуатация позволяет злоумышленникам повысить привилегии до уровня root и получить полный контроль над системой. Исследователь под псевдонимом Notselwyn опубликовал PoC-эксплойт, демонстрирующий повышение привилегий на ядрах Linux версий 5.14–6.6. Уязвимость затрагивает широкий спектр дистрибутивов — Debian, Ubuntu, Fedora, Red Hat и другие, использующие ядра от версии 3.15 до 6.8-rc1. В случае невозможности обновления рекомендуется заблокировать ‘nf_tables’, ограничить доступ к пространствам имен или использовать LKRG, который предотвращает изменение ядра, хотя это может привести к нестабильности системы.
Источник: habr.com