🕯Рунет в стране кошмаров: ТОП/АНТИ-ТОП уязвимостей октября

В тёмных коридорах Рунета уязвимости просыпаются не сразу — они прячутся и выжидают. Эксперты СайберОК весь октябрь исследовали и освещали фонарём СКИПы самые жуткие углы:

🕷 4581 уязвимость обнаружена.
🕷 Из них 1993 — уровня HIGH / CRITICAL.
🕷 1679 внимательно осмотрены.
🕷 882 не требуют взаимодействия с пользователем.
🕷 46 — KEV.
🕷 139 взяты под контроль.
🕷 Подборка самых главных — в октябрьском ТОП/АНТИТОП уязвимостей Рунета.

Читайте, если готовы узнать, кто настоящий монстр, а кто всего лишь сквозняк, играющий с занавесками. Но помните: чем больше светишь — тем больше теней появляется.

📚 Читать полный материал тут

#инфобезопасность #CVE #CyberOK #СКИПА #рунет #админы #blueteam

😢 @cyberok_news | ⚫️ Сайт| 📝 Habr

💻 Forum SOC 2025: Вкалывает Толенька — счастлив хакерок

18–20 ноября в Москве пройдет SOC Forum — ключевое событие Российской недели кибербезопасности.

Сергей Гордейчик, CEO СайберОК, расскажет на треке AI & Cybersecurity про OnotTolle — ИИ-агента, который берёт на себя грязную работу пентестеров и разведки.

Тема: «Вкалывает Толенька — счастлив хакерок»

О докладе
OnotTolle — AI-агент для Offensive SOC, который снимает рутину пентестеров:
– автоматизирует реконы, триаж и проверку находок на больших периметрах (государственные и отраслевые ИТ);
– собирает внешнюю поверхность (EASM) с помощью LLM и агентJD;
– актуализирует данные об уязвимостях анализируя TI-источников;
– триажит ложные срабатывания;
– генерирует и валидирует проверки — от регулярок до сложной логики;
– предлагает адаптивные сканы.
Внутри — модульный конструктор: сбор → анализ (ансамбль LLM в MCP) → взаимодействие с аналитиками.

Увидимся на SOC Forum!

🗓 Когда: 20 ноября
📍Где: г. Москва, SOC Forum 2025, «Тимирязев центр»

🚨 Реактивная паника: CVE-2025-55182 (React2Shell, React Server Components RCE)

Обнаружена критическая уязвимость в React Server Components (RSC), позволяющая злоумышленнику удалённо выполнить код до аутентификации. Проблема в том, как React обрабатывает входящие Flight-запросы к Server Function-эндпоинтам: данные десериализуются без достаточной валидации и атакующий может добиться выполнения произвольного JavaScript на сервере.

Уязвимы React 19 (пакеты react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0).

Фреймворки, которые встраивают RSC (Next.js 15.x/16.x App Router, Vite/Parcel RSC, React Router RSC preview, Redwood, Waku и др.), наследуют тот же баг. Для Next.js была заведена отдельная CVE-2025-66478, но затем NVD пометил её как дубликат CVE-2025-55182.

📊 Масштаб
• По данным СКИПА в Рунете и соседних регионах наблюдается более 40,000 интернет-экспонированных хостов с стеком React RSC / Next.js.
• React и Next.js — один из самых массовых стеков для веб-приложений; исследование Wiz показывает, что уязвимые версии React/Next.js обнаружены примерно в 39% облачных окружений.
• Уязвимость затрагивает дефолтные конфигурации: стандартный Next.js-проект, созданный через create-next-app и собранный c App Router, оказывается эксплуатируемым без каких-либо правок со стороны разработчика.

На фоне Log4Shell инцидентов в прошлом, можно предположить, что по критичности CVE-2025-55182 «из той же лиги» — максимальный CVSS, простая эксплуатация и огромная доля потенциально затронутых приложений.

Сложности в защите добавляет то, что React Server Components далеко не всегда «видны напрямую» с основной страницы сервера, что усложняет инвентаризацию.

📐 Оценка риска
🔺 Официальный CVSS v3.1 (NVD / React):
10.0 (critical)
AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H

🔺 Пересчёт CyberOK (базовый CVSS v3.1):
9,8 (критический)
AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H

🔺 Временная метрика (на сегодня):
8,8 (высокий)
/ E:F / RL:O / RC:C
❄️E:F (Functional) — есть рабочие PoC, эксплойты и сканеры (React2Shell, публичные Python-эксплойты и т.п.).
❄️RL:O (Official Fix) — патчи для React и Next.js уже выпущены.
❄️RC:C (Confirmed) — уязвимость подтверждена вендорами и большим числом независимых исследований.

🔺 Рейтинг CyberOK RWD (Real World Danger):
4/5 — тяжёлый реальный риск:
• Критический pre-auth RCE в одном из самых популярных фреймворков.
• Уязвим «дефолтный» стек (Next.js App Router, RSC-фичи React 19).
• Есть публичные PoC/сканеры, быстро появляются Nuclei-шаблоны и WAF-правила.
• Пока нет подтверждённой массовой эксплуатации, но крупные вендоры (Cloudflare, Akamai, Google, AWS и др.) прямо говорят, что эксплуатация ожидается и уже выкатывают сигнатуры.

🧠 Эксплуатация и активность
Что известно сейчас:
• React-команда и NVD описывают уязвимость как неаутентифицированный RCE через небезопасную десериализацию данных Flight/Server Functions.
• Исследователи (Tenable — React2Shell, независимые PoC на GitHub) показывают, что достаточно найти RSC/Server Function-эндпоинт (часто это POST на multipart/form-data) и подобрать «гаджет» для выполнения кода (например, цепочку к vm.runInThisContext).
• Akamai, Netlify, VulnCheck, ряд других вендоров прямо пишут, что на момент публикации признаков эксплуатации “in the wild” не зафиксировано, но ожидается рост сканирования и попыток массовых атак.
• Облачные и edge-провайдеры уже выкатили защиту на периметре (Cloudflare WAF, Akamai App & API Protector, Google Cloud security controls и др.), но это не отменяет необходимости обновить сам код/зависимости.

⚠️ Для нападения это очень привлекательная цель: простая модель эксплуатации («отправь специально сформированный Flight-запрос»), огромная установленная база и потенциальный полный захват backend-окружения.

Рекомендации ⬇️

⁉️ Кому на Рунете жить хорошо: ТОП / АНТИТОП уязвимостей ноября

Всякий в Рунете ищет себе жизни хорошей, да только одни сервисы живут вольготно и горя не знают, а другие попадаются в сети хитрые, уязвимостями прозванные.

Так и эксперты СайберОК весь ноябрь следовали по цифровым дорогам и всё пытались понять: кому в Рунете жить хорошо, а кому достаётся участь тревожная.

И вот что принес нам этот месяц:

🎯 4742 угрозы из 15 источников зарегистрировала СКИПА.
🎯 1966 — HIGH / CRITICAL.
🎯 1748 — прошли через руки экспертов.
🎯 1031 — без привилегий и взаимодействия с пользователем.
🎯 54 — KEV.
🎯 195 — взяты в работу.
🎯 9 — знаковые уязвимости, которые разбираем в ноябрьском ТОП / АНТИТОП.

Если хотите увидеть, какие уязвимости держали Рунет за горло, а какие лишь шумели впустую — погружайтесь в материал.

И помните: в мире кибербезопасности счастье всегда относительно, а спокойствие — временно.

📚 Читать ТОП / АНТИТОП уязвимостей ноября

#инфобезопасность #CVE #CyberOK #СайберОК #СКИПА #рунет #админы #blueteam

📱 @cyberok_news | ⚫️ Сайт | 📝 Habr

🦠 Критическая XXE-уязвимость в Apache Tika (XFA в PDF) — CVE-2025-66516.

4 декабря 2025 года Apache Software Foundation опубликовала advisory для критической уязвимости CVE-2025-66516 (CVSS 10.0) в Apache Tika.

Уязвимость связана с обработкой XFA-разметки внутри PDF: при парсинге Tika не ограничивает внешние XML-сущности (XXE), что позволяет специально созданному PDF-файлу читать произвольные файлы с хоста или инициировать SSRF-запросы.

Исправления присутствуют в релизе Apache Tika 3.2.2 — обновляйтесь как можно скорее.

🗺 Масштаб
СКИПА фиксирует около 200 хостов в Рунете, использующих Apache Tika. Потенциально уязвимы 95%.
Клиенты PentOps были своевременно уведомлены.

⚡️ Активная реакция
ASF выпустила исправление XXE в Tika 3.2.2: обновлены и tika-core, и tika-parser-pdf-module.
Вендоры, встраивающие Tika в свои продукты (поисковые движки, ECM, DLP, ingestion-платформы), получили уведомления или уже включили патч.

🔌 Затронуто
Продукт: Apache Tika (core + PDF module)
Уязвимые версии:
• tika-core 1.13 — 3.2.1
• tika-parser-pdf-module 2.0.0 — 3.2.1
• В линейке 1.x уязвимость присутствует в составе tika-parsers до 1.28.5

Важно: проблема затрагивает не только PDF-модуль — уязвим XML-парсер в составе tika-core, поэтому обновление одного PDF-модуля не закрывает дыру.

💻 Условия эксплуатации
• Tika обрабатывает PDF с включённым XFA.
• Парсинг выполняется автоматически.
• Tika имеет доступ к сети или локальной файловой системе.

Если система изолирует парсер в sandbox (Firejail/Docker/AppArmor) или применяет строгие сетевые ACL — риск снижается, но не исчезает.

💡 Индикаторы компрометации
• Ошибки или аномальные события при парсинге PDF с XFA.
• Исходящие запросы от сервисов Tika к нестандартным доменам (SSRF).
• Попытки обращения к локальным путям (file:///etc/passwd, /home/...).
• Повышенная нагрузка или неожиданные исключения в процессах «ingest/parsing».
• Логи приложений, использующих Tika, с ошибками XML-парсера или переводами в fallback-режим обработки.

🛡 Рекомендации
1. Обновите Apache Tika до версии 3.2.2 (и обязательно обновите tika-core вместе с PDF-модулем).
2. Если оперативное обновление невозможно — временно отключите или ограничьте обработку XFA-PDF, добавьте валидацию и фильтрацию входящих документов.
3. Изолируйте Tika-процессы: sandbox, ограничение прав доступа к файловой системе, запрет исходящих запросов.
4. Проверьте зависимости в приложениях: многие продукты тянут Tika транзитивно (через search-модули и ECM-платформы).
5. Проведите аудит логов Tika и всех сервисов, где выполнялся автоматический анализ PDF.

🧯 RCE в 1С-Битрикс, но есть нюанс

15 декабря 2025 вышло публичное раскрытие уязвимостей CVE-2025-67886/CVE-2025-67887 в 1C-Bitrix. Патч на текущий момент не выпущен, PoC доступен.

🔥 Описание уязвимостей
Уязвимости находятся в Translate Module 1C-Bitrix, который позволяет загружать и распаковывать архивы во временную директорию. Однако система не проверяет содержимое архивов перед извлечением — это позволяет злоумышленнику включить в архив PHP-файл и специально созданный .htaccess, добиться его распаковки и выполнения на сервере.

📌 Важно! Почему это RCE не для всех

• Для успешной эксплуатации злоумышленнику необходимо иметь права “SOURCE” и “WRITE” для Translate Module. Фактически эти права уже подразумевает возможность изменения php-файлов.

• Инфраструктуры, работающие на чистом Nginx (без Apache / без обработчика .htaccess) не подвержены полноценной RCE — PHP-файлы, как правило, отдаются как статика.
В этом случае риск смещается в сторону arbitrary file write в web-доступной зоне, а не гарантированного RCE.

• На связке nginx → Apache или чистом Apache при включённом AllowOverride сценарий ближе к «настоящей» RCE, но с правами администратора.

🔥Коллеги из 1С-Битрикс подтверждают наши выводы в своем официальном сообщении: https://t.me/bitrixkiberbez/76

📊 Масштаб
По данным СКИПА в Рунете около 2.000.000 инстансов 1С-Bitrix. Потенциально ~10% хостов могут быть подвержены данной проблеме.
Клиенты PentOps были своевременно уведомлены.

📐 Оценка риска
✖️ Официальный CVSS еще не присвоен
✖️Формально CVSS высокий, но на практике — низкий из-за требуемых привилегий.

✖️ Пересчёт CyberOK (базовый CVSS v3.1):
7.2 (Высокий)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

✖️ Временная метрика (на сегодня):
6.8
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C

✖️ Рейтинг CyberOK RWD (Real World Danger):
3/5 — реальный риск эксплуатации

📦 Уязвимые версии
• CVE-2025-67887: все версии Translate Module 1C-Bitrix <= 25.100.500
• CVE-2025-67886: все версии Translate Module Bitrix24 <= 25.100.300

🔧 Proof of Concept
Публично доступный PoC подтвержден.

📌 Что смотреть в логах
Последовательная цепочка загрузки локализации (ключевой индикатор):
1. /bitrix/services/main/ajax.php?action=bitrix%3Atranslate.controller.asset.grabber.upload

2. /bitrix/services/main/ajax.php?action=bitrix%3Atranslate.controller.asset.grabber.extract

3. /bitrix/services/main/ajax.php?action=bitrix%3Atranslate.controller.asset.grabber.apply

⚠️ Эндпоинт apply — самый критичный, так как именно он возвращает путь к временной директории, где может находиться загруженный shell.

🛡 Рекомендации по защите и проверке
1. Срочно проверьте, кому выдан доступ к модулю — cнимите SOURCE/WRITE со всех, кроме узкого круга админов (а лучше временно закройте модуль).

2. Закройте доступ к контроллерам translate (как минимум к обработчикам распаковки) через WAF/ACL, оставив только админские IP/VPN.

3. Web-сервер:
Apache: запретите .htaccess в writable-директориях (AllowOverride None) и/или запретите handler’ы/исполнение PHP там, куда может попасть распаковка.

Nginx: убедитесь, что PHP исполняется только в ожидаемых location’ах (и точно не из upload/tmp/кэшей/временных директорий).

В аварийном режиме можно дополнительно мониторить и удалять появляющиеся .htaccess в writable-каталогах, но это костыль — правильнее резать на уровне конфигурации.

4. Проверить папку BXTEMP-XXXX-XX-XX на наличие подозрительных архивов, нестандартных подпапок и .php-файлов.
Например: /www/upload/tmp/BXTEMP-2025-12-18/16/translate

💣 Выводы
Да, это RCE, однако всё упирается в привилегии и конфиг веб-сервера. Для успешной эксплуатации нужны права, которые и так дают доступ к инструменту PHP command line, инструмент позволяет выполнять php-код без танцев с бубном и загрузкой файлов. Проверьте права модуля «Translate» и запретите исполнение в writable-зонах — это закрывает большую часть реального риска.

⚫️ Для самых бдительных эксперты СайберОК подготовили фикс:
https://github.com/cyberok-org/CVE-2025-67887

🖇 Источники
Advisory KIS-2025-08 / CVE-2025-67887
NGINX Community Blog

✅ 70+ устраненных 0-day

⚫️ Команда СайберОК помогла закрыть больше 70 уязвимостей «нулевого дня», найденных в распространенных системах и продуктах.

🏆 Мы плотно утвердились на 3 месте в рейтинге исследователей БДУ ФСТЭК.

Особенно приятно осознавать, что каждая CVE и БДУ — это не просто строчка в базе знаний, а дни и недели анализа и озарений, «сопротивляющиеся», но вдруг прозревающие разработчики, реально предотвращенные взломы и атаки. Это дорогого стоит, именно за это мы любим нашу работу.

⚡️ Спасибо вендорам за быструю реакцию и готовность фиксить, а команде БДУ ФСТЭК за координацию.

🙌 Благодарим команду исследователей, которые каждый день ищут уязвимости, находят 0-day, проверяют гипотезы и доводят находки до исправлений!

🩶Роберт Торосян
🩶xh4vm
🩶Роман Малов
🩶plgvkr
🩶Станислав Савченко
🩶Алексей Седой
🩶Виктор Лазарев
🩶Марина Удодова
🩶Дмитрий Прохоров
🩶Александр Черненьков
🩶Артемий Цецерский

Мы продолжаем работу: еще N уязвимостей на подходе.

❗️ И снова Битрикс. И уязвимости. Но не точно Битрикс… но точно уязвимости

Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярных сторонних плагинах Esolutions, размещенных в каталоге решений 1С-Битрикс: Управление сайтом.

📡 По данным СКИПА, до 50.000 сайтов в российском сегменте интернета могут быть подвержены хотя бы одной из уязвимостей, описанных ниже. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

⚠️ Уязвимости Sensitive Data Exposure и Path Traversal, особенно действующие совместно, представляют критическую угрозу безопасности, позволяя злоумышленникам раскрывать чувствительные данные (включая хэши паролей всех пользователей) напрямую через интерфейс пользователя с правами контент-редактора или получать несанкционированный доступ к произвольным файлам сервера (конфигурационным файлам, базам данных, исходному коду). Это может привести к полной компрометации учётных записей, краже конфиденциальной информации, перебору паролей в оффлайн режиме и, в конечном итоге, захвату контроля над сервером.

Для предотвращения этих уязвимостей необходимо обновиться до последних версий.

◼️ Плагин «Экспорт/Импорт товаров в Excel»
(esol.importexportexcel, разработчик: esolution)
• COK-2025-12-04 / BDU:2025-16324
• Уязвимы все версии до 3.2.6
• CVSS v4: 7.1 — высокий уровень опасности

◼️ Плагин «Импорт из Excel»
(kda.importexcel, разработчик: esolution)
• COK-2025-12-05 / BDU:2025-16325
• Уязвимы все версии до 3.2.6
• CVSS v4: 7.1 — высокий уровень опасности

◼️ Плагин «Многофункциональный экспорт/импорт в Excel»
(esol.allimportexport, разработчик: esolution)
• COK-2025-12-08 / BDU:2025-16349
• Уязвимы все версии до 0.6.4
• CVSS v4: 7.1 — высокий уровень опасности

◼️ Плагин «Многофункциональный экспорт/импорт в Excel»
(esol.allimportexport, разработчик: esolution)
• COK-2025-12-09 / BDU:2025-16350
• Уязвимы все версии до 0.6.4
• CVSS v4: 7.1 — высокий уровень опасности

💡 Рекомендуется установить обновления и провести аудит на предмет path traversal в собственных плагинах и расширениях.