В США крайне обеспокоены активной эксплуатацией хакерами уязвимостей в Android и ядре Linux

Американское агентство CISA внесло в каталог KEV две новые позиции — CVE-2025-48595 в Android и CVE-2022-0492 в ядре Linux. Обе бреши уже применяются в реальных атаках, под ударом смартфоны на Android 14–16 и контейнерные инфраструктуры на базе Linux. Федеральным ведомствам США отвели срок до 5 июня 2026 года, чтобы накатить патчи или отказаться от уязвимого софта.

Переполнение целочисленных значений в Android Framework даёт атакующему повышение привилегий вообще без действий со стороны жертвы. Никаких фишинговых ссылок, никаких разрешений, никакого взаимодействия — просто тихий захват прав в системе. Google закрыла дыру в июньском пакете обновлений 2026 года, но в CISA уточняют, что брешь уже могла применяться в точечных атаках на конкретные цели.

Под угрозой оказались несколько крупных веток Android:

• Android 14 с патчами старше июня 2026;
• Android 15 без свежих апдейтов безопасности;
• Android 16 на сборках до уровня от 1 и 5 июня 2026 года;
• Устройства производителей, которые задерживают распространение патчей от Google.

Отмечается, что Google не раскрывает технических подробностей реальных кейсов эксплуатации CVE-2025-48595, ссылаясь на безопасность пользователей и продолжающееся расследование инцидентов в дикой природе.

Второй баг — CVE-2022-0492 — сидит глубоко в ядре Linux, в функции cgroup_release_agent_write() подсистемы cgroups v1. Слабая проверка прав позволяет локальному пользователю выйти за пределы пространств имён и при удачном стечении обстоятельств добраться до root-доступа на хост-машине. Исследователи из Aqua Security и Palo Alto Networks разобрали несколько сценариев побега из контейнеров, где этот баг превращается в полноценный инструмент захвата хоста.

Затронуты сразу несколько веток ядра:

• 2.6.x — 4.20.x целиком;
• 5.5.x — 5.17.x до выпуска фиксов;
• Дистрибутивы с долгой поддержкой LTS-веток без своевременного бэкпорта.

Патчи уже доехали до пользователей в версиях ядра 4.9.301+, 4.14.266+, 4.19.229+, 5.4.177+, 5.10.97+, 5.15.20+, 5.16.6+ и 5.17-rc3+. Администраторам Kubernetes-кластеров и Docker-окружений стоит проверить версии хостов прямо сейчас, потому что контейнеры с расширенными capabilities превращают локальную дыру в риск для всей инфраструктуры.

Стоит обратить внимание, что ни одна из двух уязвимостей пока не приписана группировкам вымогателей. Для CISA это не повод расслабиться, а ровно наоборот сигнал о применении брешей более тихими и подготовленными игроками — например, шпионскими операциями и APT-командами.

Каталог KEV формально обязателен только для федеральных ведомств США, но де-факто стал универсальной картой приоритетов для частного сектора. Корпорации, банки, операторы связи и владельцы объектов критической инфраструктуры по всему миру равняются на эти сроки. Логика простая — если в Вашингтоне считают, что дыра достойна экстренного патчинга за пару недель, отрасль реагирует синхронно.

В Google параллельно с патчингом раскатывают новый защитный механизм Android Intrusion Logging. Функция вошла в состав Advanced Protection Mode 12 мая 2026 года и нацелена на пользователей с повышенными рисками. Среди её адресатов:

• журналисты-расследователи и редакции;
• политики, дипломаты, чиновники с допуском к чувствительным материалам;
• правозащитники и активисты гражданского общества;
• топ-менеджеры и сотрудники с доступом к корпоративным секретам.

Логи фиксируют следы подозрительной активности и сохраняют их в защищённом виде для последующего разбора цифровыми криминалистами. До этого момента эксперты по spyware жаловались, что Android оставляет мало артефактов после атак Pegasus-подобных инструментов, и доказать факт заражения после удаления зловреда было крайне сложно. Теперь у форензиков появляется хоть какой-то материал для работы.

Ранее Линус Торвальдс публично пожаловался, что security mailing list ядра захлестнула волна писем от исследователей, прогоняющих код через ИИ-сканеры. Одни и те же давно закрытые баги присылаются десятки раз с разными формулировками, мейнтейнерам приходится тратить часы на сортировку шума вместо работы над реальными патчами. Торвальдс прямо назвал ситуацию рутинной проблемой, которая снижает скорость обработки настоящих сообщений о брешах.

Связка двух дыр показывает разные грани одной проблемы:

• мобильный сегмент атакуется через сложные эксплойты без участия жертвы, серверный;
• контейнерный — через старые баги в подсистемах, которые годами лежат без должного внимания.

Промедление с патчами в обоих случаях стоит дорого. Для Android это риск тихой компрометации устройств высокопоставленных лиц, для Linux — побеги из контейнеров и захват целых кластеров.

Эксперты редакции CISOCLUB заявили, что добавление сразу двух разноплановых брешей в KEV в один день означает скоординированную работу по реагированию на конкретные инциденты, о которых публично пока не говорят. Двухнедельный срок патчинга для федеральных агентств выглядит жёстким, но абсолютно оправданным с учётом потенциального ущерба. Контейнерные среды у российских и зарубежных компаний остаются недопатченными годами, и CVE-2022-0492 рискует стать удобным инструментом для долгоиграющих атак на DevOps-инфраструктуру.

Android-эксплойт без участия пользователя — материал для коммерческих spyware-вендоров уровня NSO Group и их аналогов. Новый механизм Intrusion Logging от Google запоздал лет на пять, но лучше поздно, чем никогда. Жалобы Торвальдса на ИИ-спам в багтрекере ядра — отдельный симптом того, как автоматизация без здравого смысла ломает работу даже самых зрелых open-source команд.