ТОП-5 — часть 3

Топ-5 трендовых уязвимостей 2025 года

Александр Леонов
Ведущий эксперт отдела экспертизы MaxPatrol VM, Positive Technologies

2025 г. продолжает ставить новые рекорды по количеству и изощренности киберугроз. А мы продолжаем анализировать уязвимости и выделять наиболее критичные из них — те, которые злоумышленники используют в реальных атаках прямо сейчас (или будут использовать в ближайшем будущем). Сложно выделить из общего списка трендовых уязвимостей, добавленных нами в 2025 г., самые-самые критичные, так как все они очень разноплановые и представляют реальную опасность для организаций. Но я выбрал наиболее интересные — разумеется, на свой субъективный вкус ;) 

RCE-уязвимость в CommuniGate Pro (BDU:2025-01331)

Это единственная трендовая уязвимость в российском продукте с 2023 г. Причем в продукте, доступном на сетевом периметре, так как платформа CommuniGate Pro, по сути, «импортозамещает» Microsoft Exchange. Уязвимость позволяет выполнить произвольный код и не требует аутентификации. Прямой путь в инфраструктуру!

По данным CyberOK, в феврале 2025-го уязвимыми были 40% всех отслеживаемых инсталляций CommuniGate Pro в Рунете.

RCE-уязвимость и уязвимость чтения файлов в Apache HTTP Server (CVE-2024-38475)

Ошибка экранирования в модуле mod_rewrite позволяет либо выполнить код, либо прочитать любые файлы на сервере. Уязвимость активно эксплуатировалась в атаках на шлюзы безопасного доступа SonicWall SMA. Естественно, эта уязвимость может всплыть в огромном множестве продуктов, включающих в себя Apache HTTP Server.

Уязвимость добавили в CISA KEV (каталог активно эксплуатируемых уязвимостей) в мае 2025 г., но PoC эксплойта был доступен на Github гораздо раньше — с 18 августа 2024 г.

RCE-уязвимость в Erlang/OTP (CVE-2025-32433)

Erlang — язык программирования, активно использующийся в телекоммуникациях, банковской сфере, e-commerce, компьютерной телефонии и мессенджерах. Поэтому эксплуатация RCE уязвимости в SSH-сервере Erlang/OTP может оказать парализующее воздействие на критическую инфраструктуру. Неаутентифицированный злоумышленник может выполнить произвольный код. При определенных условиях — даже от root’а.

Доступны публичные эксплойты. Затронуты устройства Cisco, и наверняка не только они. Уязвимость добавили в CISA KEV 9 июня 2025 г.

Закончим двумя уязвимостями, активно эксплуатирующимися в фишинговых атаках.

RCE-уязвимость в Internet Shortcut Files (CVE-2025-33053)

Эксплуатация уязвимости позволяет злоумышленнику удаленно выполнить произвольный код при открытии жертвой специального .url-файла. Уязвимость эксплуатировалась APT-группой Stealth Falcon как минимум с марта 2025 г. В ходе эксплуатации уязвимости хакеры загружали и запускали вредоносное ПО Horus Agent.

Спуфинг в Windows File Explorer (CVE-2025-24071)

Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удаленную SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2-хеш, побрутить его или использовать в атаках pass-the-hash.

Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно. Суперэффективно для фишинга!

Уязвимость активно эксплуатируется вживую, есть PoC. Эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.

Топ-5 ошибок при обучении кибербезопасности

Ольга Иванова
Руководитель по развитию образовательных программ Positive Education

Несмотря на растущее внимание к кибербезу, многие компании совершают ошибки при внедрении образовательных программ. Мы разбираем пять примеров из опыта Positive Education и рассказываем, как избежать этих ошибок.

1. Фокус на конкретных продуктах

Обучение часто ограничивается работой с ИБ-продуктами и отдельными инструментами. В результате сотрудники не понимают, как средства защиты вписываются в общую картину безопасности компании. Чтобы этого избежать, важно начинать обучение с более глобальных подходов и ИБ-процессов — работы с инцидентами, реагирования на угрозы и т. д. Уже после этого стоит переходить к конкретным продуктам и технологиям.

2. Игнорирование смежных подразделений

Важно включать в процесс обучения не только ИТ- и ИБ-специалистов, но и других сотрудников, которые взаимодействуют с чувствительными данными. Это поможет создать единый фронт защиты и повысить уровень кибергигиены на всех уровнях компании.

У нас был кейс, когда компания не стала подключать к обучению смежные подразделения (например, HR и маркетинг). Это привело к утечке данных через сотрудников, не прошедших обучение.

3. Нерегулярное обновление знаний

Обучение должно быть регулярным и актуальным. Важно организовать систему постоянного обучения, используя практикумы и специализированные тренажеры, чтобы сотрудники всегда были в контексте новых угроз и технологий защиты. В нашей практике были случаи, когда компании проводили обучение всего один раз, а после этого сотрудники не получали свежих данных, что создавало риски для бизнеса.

4. Отсутствие персонализированного подхода

Важно учитывать разницу в знаниях сотрудников, иначе опытным специалистам обучение может показаться скучным, а новички не смогут усвоить слишком сложный материал. Само собой, это снижает эффективность программы и мотивацию участников. Важно сделать так, чтобы каждый получал знания нужной глубины — в соответствии с имеющимися компетенциями. Кастомизированные программы обучения позволяют избежать этой проблемы. 

5. Слабая практическая часть

Теорию важно закреплять на практике — с помощью тренажеров, имитирующих реальные угрозы и инциденты. Иначе сотрудники, прошедшие обучение, не смогут эффективно применять полученные знания — подобные кейсы встречаются довольно часто.

Как правильно выстроить ИБ-обучение

Начинать обучение стоит с топ-менеджмента. Руководство задает фокус, профильные команды реализуют ИБ-практику, а остальные сотрудники работают в понятных и согласованных рамках.

Уровень 1. Руководство и топ-менеджмент

Цель 

Управление безопасностью — прямая обязанность бизнеса. Задача на этом уровне — погрузить топов в проблематику и помочь ответить на вопросы «Что делать?» и «Как прийти к гарантированному результату?»

Фокус

• Привязка угроз к бизнес-модели компании и операционной устойчивости: непрерывность бизнеса, инвестиционная привлекательность.
• Разбор конкретных кейсов: влияние ИБ на бизнес-функции CMO, CFO, CPO.
• Переход от реактивной позиции к проактивному управлению рисками.

Результат 

Руководители понимают, как обеспечить эффективность затрат на защищенность, от чего нужно защищаться и как обеспечить гарантированную защиту и регулярную проверку реальной защищенности.

Уровень 2. Профильные команды — ИБ и ИТ

Цель 

Обеспечить согласованную и результативную работу подразделений.

Фокус

• Совместное освоение процессов: threat modeling, hardening, response, monitoring.
• Освоение инструментов: SIEM, EDR, VM, NAD и др.
• Согласование ролей и зон ответственности для устранения конфликтов между подразделениями.

Результат 

Слаженная операционная связка и квалифицированные специалисты, способные эффективно выстроить и поддерживать защитный контур.

Уровень 3. Все сотрудники компании

Цель 

Формирование устойчивой к атакам рабочей среды.

Фокус

• Закрепление базовой кибергигиены с помощью регулярных сценарных тренировок.
• Внедрение стандартов поведения при работе с корпоративными данными.
• Объяснение связи между действиями конкретного сотрудника и безопасностью бизнеса.

Результат 

Повышается общий уровень защищенности корпоративной среды.

Топ-5 открытых ИБ-проектов 2025 г.

Антон Кутепов
Руководитель направления развития инициатив ИБ-сообществ, Positive Technologies 
(должность на момент подготовки публикации)

В ИБ много классных открытых проектов. Чтобы составить настоящий топ, нужно выбрать объективные критерии и по ним сравнивать инициативы, но сегодня мы пойдем другим путем. Я собрал свой топ-5 на основе личного опыта и общения с коллегами из индустрии. 

В него попали проекты, которые относятся к следующим областям: 

• криптографическая безопасность,
• фреймворки для стандартизации форматов данных,
• инструменты анализа защищенности инфраструктуры,
• инструменты цифровой криминалистики,
• защита от атак на цепочки поставок.

Open Quantum Safe: «Завтрашние угрозы начинаются уже сейчас»

Криптографическая защита играет все большую роль — это единственный способ обеспечить конфиденциальность данных и подтвердить авторство. При этом растет угроза взлома текущих алгоритмов в будущем — проблема «harvest now, decrypt later». Определенные организации уже сейчас накапливают зашифрованные данные в надежде расшифровать их в дальнейшем — при значительном прогрессе в атаках на криптографические алгоритмы. Одна из потенциальных угроз — применение квантовых компьютеров для сокращения времени подбора ключей шифрования. Хотя такие атаки пока остаются гипотетическими, многие компании всерьез задумываются о внедрении постквантовых криптоалгоритмов, чтобы обезопасить себя от возможной расшифровки данных.

Один из наиболее примечательных проектов в этой области (а на самом деле совокупность проектов) — Open Quantum Safe (OQS). Это инициатива Linux Foundation для развития постквантовых криптографических алгоритмов (PQC) и относящихся к ним технологий. Резкий рост активности в репозиториях, связанных с PQC, обусловлен увеличением числа интеграций c популярными библиотеками и сервисами, например: VPN-клиентами и серверами, TLS-библиотеками (OpenSSL, BoringSSL), мессенджерами и SSH-клиентами. При этом ключевые драйверы развития проектов инициативы — это окончательная стандартизация алгоритмов NIST PQC, а также директивы госорганов и регуляторов о переходе на PQC, которые нагнетают страх перед криптоапокалипсисом.

Open Cybersecurity Schema Framework (OCSF): «Коллективное сознательное — как вместе научить системы безопасности говорить на одном языке?»

Последние 15 лет проблемы связывания данных и получения единого контекста решались за счет человеческого ресурса — умения сопоставлять и интерпретировать информацию. Каждый ИБ-вендор выпускал решения со своим набором парсеров, моделью данных и видением того, как эти данные должны использоваться. В результате появилось большое количество решений-прослоек для интеграции систем друг с другом. Проект OCSF ставит перед собой задачу избавиться от этих прослоек, выработать единую модель описания данных. Фактически создать единый язык для всех ИБ-систем — этакий эсперанто от кибербеза.

Мне эта идея особенно близка, поскольку я активно занимаюсь управлением знаниями в ИБ, онтологическим подходом и семантическими технологиями. Единый язык открывает большие возможности для технологического развития. Например, одной из причин бурного роста сферы машинного обучения в последние 10 лет стало наличие достаточного объема данных. Причем таких, которые можно подготовить для обучения моделей. Единый язык описания данных позволит собрать достаточное количество стандартизированной информации для обучения новых моделей, что, в свою очередь, продвинет всю сферу кибербеза.

NetExec: «Швейцарский нож для взлома корпоративной инфраструктуры»

В последнее время я не был тесно связан с offensive-инструментами, но слышал много восторженных отзывов о NetExec, поэтому решил погрузиться в него чуть глубже.

Прежде всего хочется сказать, что NetExec (или nxc) — это мощный форк легендарного CrackMapExec, который развивает идеи исходного проекта. Активное сообщество реализовало поддержку различных протоколов, например: Kerberos, NTLM, SMB, LDAP, RDP, WinRM. Более того, с помощью механизма расширений участники разработали множество плагинов. В 2025 г. проект де-факто стал стандартом среди инструментов open source для пентеста Windows-инфраструктур. 

NetExec заработал более 4,4 тыс. звезд на GitHub: за последний год я не раз слышал про активность сообщества вокруг него и про новые модули. Фактически инструмент содержит все необходимое, в нем нет ничего лишнего. Конечно, есть такие мастодонты, как nmap или mimikatz, однако NetExec сейчас на волне энтузиазма, поэтому именно его я включил в свой топ.

Velociraptor: «Расследуй не преступление. Расследуй тишину»

Сегодня явно виден тренд на переход от реактивного к проактивному поиску угроз. При этом на профильных конференциях коллеги все чаще упоминают Velociraptor как замену EDR и инструмент ежедневной работы специалистов SOC.

Несмотря на то что Velociraptor существует давно, интерес специалистов по расследованию и реагированию к нему не иссякает. Более того, проект продолжает набирать обороты благодаря своей гибкости (язык VQL) и расширению функционала за пределы классического DFIR в сторону постоянного Threat Hunting и активного мониторинга. Не последнюю роль в этом играет развитие облачных агентов и интеграций с SOAR/XDR.

Для меня важный показатель активности Velociraptor — это постоянные крупные обновления с новыми артефактами и возможностями, рост числа сертифицированных специалистов (VCT), активное сообщество, публикующее готовые артефакты для новых угроз.

Sigstore: «Безопасность цепочки поставок — телепорт в сердце инфраструктуры»

Атаки последних лет напоминают о важности контроля целостности выпускаемого ПО — как тут не вспомнить SolarWinds, которая перевернула представление о реальности и масштабах угрозы атак через цепочку поставок. Именно так можно «телепортировать» свою полезную нагрузку в самые защищенные уголки целевой инфраструктуры. Поэтому стратегически важно контролировать безопасность ПО, которое функционирует в доверенном контуре. При этом недостаточно просто периодически сканировать его на уязвимости, важно понимать, из чего софт состоит и не были ли в него внесены злонамеренные изменения.

Представьте, вы скачиваете библиотеку. Вы уверены, что она неподмененная? Неиспорченная? Доверяете? Проверяете хеш-сумму с сайта вендора? Доверие — ненадежная валюта. А если хакеры внесли правки до сборочного конвейера и внедрили вредоносные изменения в код еще до подсчета контрольной суммы? Одно из решений — создавать «техпаспорт» программы (SBOM), где перечислены все ее «запчасти». А затем предоставить средства надежной верификации этого техпаспорта.

Именно это и делает проект Sigstore: позволяет вести сквозную верификацию артефактов, выпускаемых при создании ПО. Девиз проекта: «Sign. Verify. Protect. Making sure your software is what it claims to be». Показательно, что создатели позиционируют Sigstore как проект для разработчиков open source от разработчиков open source. Это перекликается с концепцией экспертной открытости и главным лозунгом нашего Security Experts Community: «от экспертов для экспертов». Я включил Sigstore в свой топ, потому что в современных реалиях невозможно обеспечить безопасность ПО без контроля децентрализованных компонентов.

***

В 2025 г. открытый исходный код — это не про экономию, а про прозрачность доверия и объединение. Это про сообщество, которое коллективно вглядывается в бездну цифровых угроз. OCSF учит нас понимать друг друга, Open Quantum Safe — думать на поколения вперед, NetExec — видеть свои слабости, Velociraptor — слышать тишину перед бурей, а Sigstore — доказывать подлинность в мире мимикрии. Это проекты из совершенно разных областей ИБ, но каждый из них обеспечивает безопасность цифрового мира. Следите за новыми открытыми проектами и развивайте существующие. Давайте вместе строить экспертную открытость и безопасное будущее.

Топ-5 ИБ-коктейлей

Алексей Леднев
Руководитель экспертизы PT ESC, Positive Technologies

Exploit Aperol

Интерпретация классического Aperol Spritz с усиленной атакой вкусов и неожиданным базиликовым бэкдором.

Ингредиенты:

• Апероль — 50 мл.
• Гранатовый сироп — 20 мл.
• Свежий сок лайма — 30 мл.
• Ангостура биттер — 3–4 капли.
• Листья зеленого базилика — 4 шт.
• Для украшения: долька лайма, веточка базилика.

Процедура выполнения:

1. Загружаем все компоненты в шейкер с кубиками льда.
2. DDoS’им 10–15 секунд.
3. Фильтруем через двойной стрейн в рокс-бокал со свежим льдом.
4. Деплоим лайм и базилик на грани бокала.

Наслаждаемся ярким, но сбалансированным вкусом с травянистыми нотами — в самый раз для взлома вечернего настроения.

Basil Breach

Довольно агрессивный коктейль, применяющий продвинутые техники компрометации вкусовых рецепторов.

Ингредиенты:

• Джин — 60 мл.
• Сахарный сироп — 20 мл.
• Свежий лимонный сок — 30 мл.
• Зеленый базилик — 12 листиков плюс веточка для деплоя.
• Лед в кубиках / одним куском.

Процедура выполнения:

1. Выполняем в шейкере брутфорс базилика мадлером.
2. Загружаем полезную нагрузку в шейкер, добавляем лед и взбалтываем 10–15 секунд.
3. Фильтруем смесь через двойной стрейн в целевой бокал со льдом.
4. Деплоим веточку базилика для украшения.

Получаем коктейль с мощной алкогольной инъекцией и доминирующими травяными нотами, перед которым не устоит ни одна инфраструктура.

Hack Tai

Слегка переработанный вариант классического Май Тай. Сделаем его более вязким (как сложный пароль) и слегка скорректируем пропорции, чтобы наверняка исключить вектор проникновения скуки. 

Ингредиенты:

• Ром темный выдержанный — 30 мл.
• Ром светлый — 25 мл.
• Трипл сек — 15 мл.
• Сок лайма — 25 мл.
• Миндальный сироп — 15 мл.
• Медовый сироп — 10 мл.
• Половинка лайма для украшения.

Процедура выполнения:

1. Охлаждаем большой бокал с помощью льда, чтобы предотвратить перегрев серверов ароматов.
2. Добавляем ингредиенты в шейкер со льдом и DDoS’им.
3. Чистим логи: избавляемся от лишней воды в бокале. Затем сцеживаем туда полученный коктейль через сито для фильтрации нежелательных элементов.
4. Деплоим половинку лайма. 

Идеальный выбор для вечера за монитором!

Киберкумбер

Вариация освежающего «Cucumber» с Егермейстером: добавим сок лайма для острой эксплойтной кислинки и лист мяты, чтобы наш код стал «зеленым». 

Ингредиенты:

• Егермейстер — 50–60 мл.
• Огурец — 4 кусочка.
• Спрайт — 150 мл.
• Сок лайма — 10 мл.
• Лист мяты — 1 шт. 

Процедура выполнения:

1. В качестве первичного доступа наполняем бокал льдом.
2. Интегрируем Егермейстер, огурец, сок лайма и мяту. Слегка взламываем их барной ложкой для высвобождения эфирных масел.
3. Доливаем спрайт и аккуратно перемешиваем.
4. Деплоим дополнительный кусочек огурца. 

Самое то после охоты за багами. Пейте осторожно, чтобы не заразиться трояном излишней свежести :) 

Tiki Root Access

Классический представитель семейства tiki-уязвимостей с экзотической маскировкой. 

Ингредиенты:

• Белый ром — 60 мл.
• Темный ром — 30 мл.
• Свежий сок лайма — 30 мл.
• Апельсиновый сок — 30 мл.
• Ананасовый сок — 30 мл.
• Гренадин — 30 мл.
• Содовая — 15 мл.

Процедура выполнения

1. Загружаем в шейкер со льдом все ингредиенты, кроме содовой.
2. Взбалтываем 15 секунд для усиления полезной нагрузки.
3. Проводим финальную инъекцию — добавляем содовую в шейкер.
4. Аккуратно перемешиваем 2–3 раза и переливаем в большой бокал со льдом.

Попробуйте устоять перед многослойной тропической атакой с применением нескольких ромовых эксплойтов и фруктовых пейлоадов. 

Топ-5 любимых кальянных сочетаний

Светлана Газизова
Директор по построению процессов DevSecOps, Positive Technologies

Такова жизнь аппсека: все дела делаются лучше, когда ты покурил кальян. А еще лучше, если они под кальян и делаются :) Забавно, но в мире кибербезопасности (и да, очень остро в аппсек) заметен тренд на курение кальянов. Работа у нас стрессовая, чего греха таить! Давно шутили, что надо рассказать про самые вкусные и приятные для курения сочетания... И дошутились! 

1. Для тех, кто любит «чтобы было просто вкусно, сделайте что-нибудь»

Когда друзья спрашивают у меня совета или рекомендации в такой формулировке, я всегда пытаюсь подсобрать им беспроигрышное сочетание сливочности и ярких фруктов. В одной из моих любимых кальянных его прозвали «Агуша». Причем, когда я заказывала что-то совсем другое, просто предложили принести «Агушу». Я удивилась, но согласилась. А теперь это самый регулярный вкус для меня! Основу составляют сладкое яблоко, груша и банан, а сверху немного ванили и сгущенки. Вы правда получаете то самое детское пюре, а от первой затяжки точно испытаете приятное удивление :) 

2. Для тех, кто пытается сдерживать свои порывы в поедании сладостей

Когда я слышу запрос на что-то десертное, сразу понимаю: ждут вкус чизкейка или брауни. Но насколько же круто можно сделать... булочку! Чтобы получить настоящий аналог синнабона, берем сливочный пончик, немного ванили, мяты и чуть-чуть конфеток-леденцов. Эффект «Вау! Что это?» вам обеспечен. Когда я попробовала эту смесь в первый раз, то замучила кальянного мастера, чтобы он рассказал, как это было собрано и что за табаки он намешал в этой вкуснейшей таре.

3. Когда хочется прохлады и свежести

Иногда под горячий чай хочется покурить что-то «холодное». И тут будет кстати вариация классического персикового беллини. Собирается он из разных видов персика, шампанского и капельки холодка. Такое сочетание приятно возвращает в теплые сезоны года, когда на веранде вместо горячего чая льется тот самый холодный беллини :)

4. «Хочу что-то сладкое, но не фруктовое»

Тут вам могли бы намешать всякой всячины, но попробуйте попросить грушу в карамели с коньяком. Это прям вау! — ощущение уютного вечера, камина, разобранных отчетов и завершенного рабочего дня. Берем прям много груши, немного карамели и коньяка. Сладость и терпкость можете регулировать с помощью запроса в сторону кальянного мастера.

5. Мой личный сорт героина... (простите, вспомнились «Сумерки»)

Я не то чтобы любитель необычных сочетаний, но мой фаворит в кальяне — семечки! Собрать их тяжело, потому что это должен быть вкус с балансом сладости и горечи, а еще, наверное, некоторой маслянистости. Так вот, классные семечки можно собрать через халву, чак-чак, оливки, арахис и карамель. Будет много вкусов, которые при правильной выкладке дадут вам ту самую жареную семечку :)