Обзор уязвимостей за прошедшую неделю (2-8 октября)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: GoAnywhere MFT, Unity, Supermicro, VMware Aria Operations, VMware Tools, Neon, Redis, Intel SGX.
Корпорация Microsoft подтвердила использование критической уязвимости в платформе GoAnywhere MFT в рамках вредоносной кампании с применением вируса Medusa. По данным Microsoft Defender, за атаками стоит группировка Storm-1175, которая начала использовать уязвимость как точку входа в ИТ-инфраструктуры не позднее 11 сентября 2025 года. Инциденты затронули организации, работающие с конфиденциальной информацией.
Аналитики компании R-Vision опубликовали перечень наиболее значимых уязвимостей за сентябрь. В отчёте представлены CVE, которые уже используются в атаках или обладают высоким потенциальным риском. Помимо описания проблем, специалисты предложили конкретные меры защиты, ориентируясь на предотвращение эксплуатации уязвимостей в реальных условиях.
Уязвимость в игровом движке Unity вызывает обеспокоенность со стороны крупных технологических компаний. По информации Steam и Microsoft, баг позволяет запускать вредоносный код на Android-устройствах и добиваться повышения привилегий в системах на базе Windows. В связи с этим уже внедряются защитные обновления, направленные на сдерживание распространения угрозы.
Исследователи из Binarly выявили уязвимости в материнских платах Supermicro, которые позволяют вредоносному коду проникать в систему на этапе до загрузки операционной системы. Атака затрагивает микропрограммы и не устраняется традиционными методами — перезапись ОС, замена накопителей и обновление BIOS оказываются неэффективными. Обнаружение было подтверждено изданием Ars Technica со ссылкой на заявление Алекса Матросова.
По информации NVISO, китайская хакерская группа UNC5174 задолго до официального раскрытия начала использовать уязвимость повышения привилегий в VMware Aria Operations и VMware Tools (CVE-2025-41244). Эксплуатация велась с октября прошлого года. Уязвимость использовалась как нулевой день, когда вендор ещё не выпустил исправление, а угроза уже применялась в реальных атаках.
Приложение Neon стремительно поднялось в рейтинге Apple App Store, заняв вторую позицию в конце сентября. Оно обещало пользователям вознаграждение за предоставление записей телефонных разговоров, которые затем передавались ИИ-компаниям. Вскоре в Neon обнаружили критическую уязвимость, через которую можно было получить доступ к контактным данным, аудиофайлам и транскриптам разговоров без ведома владельцев.
Команда безопасности Redis выпустила обновление для устранения критической уязвимости, позволявшей выполнять произвольный код удалённо. Проблема оставалась в коде на протяжении 13 лет и потенциально угрожала тысячам инстансов по всему миру. В настоящее время патч доступен, и пользователям настоятельно рекомендуется его установить.
Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала метод атаки WireTap. С помощью DIMM-интерпозера они показали, как можно перехватывать данные и нарушать механизм аттестации в технологии Intel SGX (Software Guard Extensions), задействующей DCAP. Работа подчёркивает потенциальные риски аппаратного вмешательства в защищённые вычислительные среды.



