R-Vision: трендовые уязвимости июня затронули Linux, VPN-шлюзы Palo Alto Networks и Windows

Исследователи R-Vision изучили трендовые уязвимости июня и разобрали, какие риски они несут для корпоративной инфраструктуры. В ревью собраны условия эксплуатации, возможный ущерб и рекомендации, которые помогут ИБ-командам приоритизировать обновления и быстрее закрыть наиболее рискованные участки. Материал будет полезен VM-командам, SOC, администраторам и владельцам инфраструктуры.

CVE-2026-43500, CVE-2026-43284 | BDU:2026-06470, BDU:2026-06439: Локальное повышение привилегий до уровня root в ядре Linux (Dirty Frag)

8.8 | Вектор атаки: локальный

Уязвимости вызваны ошибками обработки памяти в подсистемах RxRPC (CVE-2026-43500) и xfrm/ESP (CVE-2026-43284): ядро расшифровывает входящие данные прямо в переданных страницах памяти, не делая отдельной копии буфера. С помощью splice() атакующий подставляет вместо пользовательского буфера страницу page cache системного файла (например, /etc/passwd) и перезаписывает его содержимое в памяти — обнуляет поле пароля root, что позволяет войти под root без пароля. Эффект сохраняется до перезагрузки или очистки page cache. Затронуты современные версии Ubuntu, Debian, RHEL, AlmaLinux, Rocky Linux, CentOS Stream, Fedora и openSUSE.

Статус эксплуатации уязвимости:

Microsoft фиксирует ограниченную эксплуатацию (повышение привилегий через su). Для обеих уязвимостей опубликованы публичные PoC.

CVE-2026-0257 | BDU:2026-07261: Уязвимость обхода аутентификации в компонентах GlobalProtect PAN-OS

Уязвимость проявляется, когда Authentication Override включён и использует тот же сертификат, что и TLS-соединение GlobalProtect: публичный ключ становится доступен любому клиенту по HTTPS, что позволяет злоумышленнику сформировать корректно зашифрованный Authentication Override Cookie. PAN-OS принимает поддельный токен без дополнительной проверки подлинности, что даёт возможность установить полноценную VPN-сессию без знания учётных данных и прохождения MFA.

Статус эксплуатации уязвимости:

Активно эксплуатируется в реальных атаках. Palo Alto Networks и Unit 42 подтвердили случаи успешного обхода аутентификации. CVE включена в каталог CISA KEV, опубликовано большое количество публичных PoC.

CVE-2026-44815 | BDU:2026-08129: Уязвимость удалённого выполнения произвольного кода в службе Windows DHCP Client

9.8 | Вектор атаки: сетевой

Переполнение стекового буфера в службе Windows DHCP Client: при обработке DHCP-ответа служба некорректно проверяет размер одной из DHCP-опций и копирует данные в буфер фиксированного размера по указанной в пакете длине. Находясь в одном сегменте сети, злоумышленник разворачивает поддельный DHCP-сервер, отвечающий быстрее легитимного, и специально сформированным ответом перезаписывает адрес возврата функции, выполняя произвольный код с привилегиями SYSTEM без аутентификации и взаимодействия с пользователем. Затронуты Windows 10 (1607–22H2), Windows 11 (23H2–26H1) и Windows Server 2012–2025.

Статус эксплуатации уязвимости:

Подтверждённые случаи эксплуатации и публичные PoC отсутствуют. C учётом критического уровня опасности рекомендуется приоритетно применить обновления и отслеживать новую информацию.

R-Vision
Автор: R-Vision
R-Vision — разработчик систем цифровизации и кибербезопасности. С 2011 года компания создаёт технологии, которые помогают организациям эффективно противостоять киберугрозам, поддерживать надёжность ИТ- инфраструктуры и обеспечивать цифровую трансформацию. Технологии R-Vision используются в крупнейших банках, государственных организациях, нефтегазовой отрасли, энергетике, металлургии, промышленности и компаниях других отраслей.
Комментарии: