Аналитики R-Vision представили выпуск дайджеста трендовых уязвимостей за май 2026 г. На этот раз эксперты выявили 20 опасных уязвимостей за месяц, к числу трендовых было отнесено пять из них. Трендовыми считаются наиболее критичные проблемы безопасности с высоким уровнем риска, подтвержденной эксплуатацией и повышенным интересом со стороны злоумышленников. Об этом CNews сообщили представители R-Vision.
В дайджест попали: CVE-2026-0300 – Palo Alto Networks PAN-OS; CVE-2026-42945 – Nginx; CVE-2026-31431 – Linux; CVE-2026-42897 – Microsoft Exchange Server; CVE-2026-41091 – Microsoft Defender.
CVE-2026-0300 | BDU:2026-06322: Уязвимость удаленного выполнения произвольного кода в PAN-OS.
CVSS: 9.8 | Вектор атаки: сетевой
Уязвимость связана с переполнением буфера в сервисе User-ID™ Authentication Portal (ранее - Captive Portal) программного обеспечения Palo Alto Networks PAN-OS. Сервис реализует веб-страницу аутентификации, через которую межсетевой экран запрашивает учетные данные у пользователя, когда автоматическое сопоставление IP-адреса и идентификатора невозможно.
Неаутентифицированный атакующий с сетевым доступом к Authentication Portal, отправляя специально сформированные пакеты, может вызвать запись за пределы выделенного буфера и добиться выполнения произвольного кода с привилегиями root. Взаимодействие с пользователем не требуется.
Уязвимости подвержены межсетевые экраны PA-Series и VM-Series под управлением PAN-OS веток 10.2, 11.1, 11.2 и 12.1 с включенным Authentication Portal.
Статус эксплуатации уязвимости: Palo Alto Networks подтвердил факт ограниченной эксплуатации против устройств с доступным из сети Authentication Portal. Команда Unit 42 отслеживает связанную с эксплуатацией активность под идентификатором CL-STA-1132 и характеризует ее как предположительно государственно-спонсированную. После успешной эксплуатации атакующие внедряют шеллкод в worker-процесс nginx, зачищают журналы и crash-артефакты, разворачивают туннельные утилиты EarthWorm и ReverseSocks5 и проводят enumeration Active Directory с использованием служебной учётной записи межсетевого экрана.
Агентство CISA добавило эту уязвимость в каталог KEV.
Рекомендации по устранению: Palo Alto Networks выпустил обновление безопасности. Рекомендуется как можно скорее установить актуальное обновление на все затронутые устройства PA-Series и VM-Series.
CVE-2026-42945 | BDU:2026-06827: Уязвимость удаленного выполнения произвольного кода в Nginx
CVSS: 8.1 | Вектор атаки: сетевой
Исследователи Depthfirst обнаружили в Nginx уязвимость Nginx Rift, присутствующую в кодовой базе около 18 лет. Она позволяет неаутентифицированному удалённому злоумышленнику вызвать отказ в обслуживании (DoS) или выполнить произвольный код (RCE).
Проблема локализована в модуле ngx_http_rewrite_module. При использовании директив с регулярными выражениями специально сформированные POST-запросы провоцируют переполнение кучи (heap overflow). Ошибка вызвана некорректным расчётом буфера: на символы экранирования выделяется 3 байта вместо одного, что движок не учитывает. Это может привести к DoS или, при определённых условиях (например, отключённом ASLR (рандомизация адресного пространства) или успешном обходе защиты), к RCE.
Статус эксплуатации уязвимости: VulnCheck зафиксировал попытки эксплуатации в honeypot-сетях. В публичном доступе опубликован рабочий PoC для систем с отключённым ASLR; исследователи также отмечают возможность создания эксплойта с обходом данной защиты.
CVE-2026-31431 | BDU:2026-06123: Уязвимость повышения привилегий в криптографическом модуле ядра Linux (CopyFail)
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость CopyFail, обнаруженная в апреле 2026 года, затрагивает дистрибутивы Linux с 2017 года. Логическая ошибка в криптографическом модуле ядра algif_aead позволяет через сокет AF_ALG (доступен любому пользователю) перезаписывать 4 байта в кеше страниц читаемых файлов, модифицируя поведение процессов.
Исследователи продемонстрировали: повышение привилегий до root через отключение проверки пароля в /usr/bin/su, модификацию запущенных процессов, а в Kubernetes — выполнение кода в соседних подах или побег из контейнера. Изменения вносятся только в кеш ОЗУ, а не в файловую систему, что затрудняет обнаружение стандартными средствами защиты. Доступны портативные PoC на Python.
Статус эксплуатации уязвимости: Уязвимость добавлена в CISA KEV 1 мая 2026 г. Есть рабочие публичные PoC.
Рекомендации по устранению: Установить последние обновления ядра Linux согласно установленному дистрибутиву, либо отключить модуль algif_aead.
CVE-2026-42897 | BDU:2026-06919: Уязвимость к подделке данных на сервере Microsoft Exchange Server
CVSS: 8.1 | Вектор атаки: сетевой
Уязвимость относится к клиентскому межсайтовому скриптингу (XSS) и затрагивает веб-интерфейс Outlook (OWA). Для эксплуатации атакующий отправляет жертве специально сформированное письмо. При его открытии в OWA и выполнении определенных условий взаимодействия в браузере выполняется произвольный JavaScript-код. Технические детали реализации вендором не раскрываются.
Успешная эксплуатация уязвимости позволяет злоумышленникам похищать cookie-файлы, токены сессий и другие данные браузера, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.
Статус эксплуатации уязвимости: Microsoft подтвердила эксплуатацию в реальных атаках. CISA добавила уязвимость в каталог KEV, рекомендовав установить исправления до 29 мая 2026 г.
Рекомендации по устранению: Полноценный патч от Microsoft пока отсутствует. В качестве временных мер можно включить службу Exchange Emergency Mitigation (EM) или использовать скрипт Exchange On-premises Mitigation Tool (EOMT). Митигация не работает в Internet Explorer и Edge в режиме совместимости с Internet Explorer. После установки митигации возможны ошибки печати календаря и отображения встроенных изображений в OWA.
CVE-2026-41091 | BDU:2026-07110: Уязвимость повышения привилегий в Microsoft Defender
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость локального повышения привилегий в Microsoft Malware Protection Engine — ядре сканирования, на котором построены Microsoft Defender Antivirus, Microsoft System Center Endpoint Protection (включая версии 2012 и 2012 R2) и Microsoft Security Essentials.
При выполнении файловых операций компонент некорректно разрешает символические ссылки и точки соединения (junction points) до обращения к целевому файлу. Локальный пользователь с минимальными привилегиями может разместить в подконтрольной директории объект-приманку и создать на его пути точку соединения (junction point), ведущую в защищённый системный каталог, тем самым перенаправив привилегированную операцию Defender. Поскольку операция выполняется от имени System, результатом эксплуатации становится перезапись или модификация произвольного защищённого файла с последующим повышением привилегий.
Уязвимы сборки движка версии 1.1.26030.3008 и ниже. Компонент поставляется с актуальными версиями Windows 11 и Windows Server, а также с редакциями Windows 10 на расширенной поддержке (LTSC и ESU). Системы с отключённым Microsoft Defender не уязвимы.
Статус эксплуатации уязвимости: Microsoft в своём бюллетене безопасности подтвердил, что уязвимость была публично раскрыта и эксплуатировалась в реальных атаках до выхода исправления. Агентство CISA добавило эту уязвимость в каталог KEV, отметив важность исправления до 3 июня 2026 г.
Как защититься? В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение остаётся первоочередной мерой защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится всё более актуальным на фоне регулярного появления новых критичных уязвимостей.
Поделиться
