В фокусе RVD: трендовые уязвимости мая
sea-team 1 минуту назад В фокусе RVD: трендовые уязвимости мая 9 мин 2 Блог компании R-Vision Исследования и прогнозы в IT * Софт Информационная безопасность * Дайджест Хабр, привет!На связи команда инженер-аналитиков...
GPT-5.6 31 Temmuz 2026'da yayınlanacak mı?
Вот важная новость с фронта ИИ: sea-team 1 минуту назад В фокусе RVD: трендовые уязвимости мая 9 мин 2 Блог компании R-Vision Исследования и прогнозы в IT * Софт Информационная безопасность * Дайджест Хабр, привет! На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в мае 2026 года, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.
В дайджест попали: CVE-2026-0300 – Palo Alto Networks PAN-OSCVE-2026-42945 – NginxCVE-2026-31431 – LinuxCVE-2026-42897 – Microsoft Echange Server CVE-2026-41091 – Microsoft DefenderCVE-2026-0300 | BDU:2026-06322: Уязвимость удалённого выполнения произвольного кода в PAN-OS Уровень критичности по оценке CVSS: 7. 8Вектор атаки: сетевойПодтверждение вендора:Palo Alto NetworksИнформация об эксплуатацииОписание уязвимости:Переполнение буфера в сервисе User-ID™ Authentication Portal (ранее - Captive Portal) программного обеспечения Palo Alto Networks PAN-OS. Сервис реализует веб-страницу аутентификации, через которую межсетевой экран запрашивает учётные данные у пользователя в тех случаях, когда сопоставить IP-адрес и идентификатор автоматическими методами не удалось.
Технические детали
Неаутентифицированный атакующий, имеющий сетевой доступ к Authentication Portal, отправляя специально сформированные сетевые пакеты, может вызвать переполнение буфера и добиться выполнения произвольного кода с привилегиями root на устройстве. Аутентификация и взаимодействие с пользователем не требуются. Уязвимости подвержены межсетевые экраны PA-Series и VM-Series под управлением PAN-OS веток 10.
1 с включённым Authentication Portal. Статус эксплуатации уязвимости:Palo Alto Networks подтвердил факт ограниченной эксплуатации против устройств с Authentication Portal, доступным из сети. Команда Unit 42 отслеживает активность, связанную с эксплуатацией под идентификатором CL-STA-1132 и характеризует её как предположительно государственно-спонсированную.
После успешной эксплуатации атакующие внедряют шеллкод в worker-процесс nginx, на котором построен Authentication Portal, зачищают журналы и crash-артефакты, после чего разворачивают открытые туннельные утилиты EarthWorm и ReverseSocks5 и проводят enumeration Active Directory с использованием служебной учётной записи межсетевого экрана. Агентство CISA добавило эту уязвимость в каталог KEV. Возможные негативные сценарии:Перехват и подмена проходящего трафика, извлечение служебных учётных данных устройства и построение скрытых туннелей во внутренние сегменты сети.
Рекомендации по устранениюPalo Alto Networks выпустил обновление безопасности. Рекомендуется как можно скорее установить актуальное обновление на все затронутые устройства PA-Series и VM-Series.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
