Новости - страница публикации Новости - страница публикации
03 июля 2026

Дайджест трендовых уязвимостей. Июнь 2026

Поделиться
В июне мы выявили 19 трендовых уязвимостей. Традиционно по итогам месяца мы подготовили дайджест, в который вошли 4 самые интересные среди них:

В этом материале вы найдёте условия эксплуатации данных уязвимостей, возможный ущерб и рекомендации, которые помогут ИБ-командам приоритизировать обновления и быстрее закрыть наиболее рискованные участки.

Локальное повышение привилегий до уровня root в ядре Linux («Dirty Frag»)

CVE-2026-43500CVE-2026-43284 | BDU:2026-06470BDU:2026-06439

Уровень критичности по оценке CVSS: 8.8 

Вектор атаки: локальный

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости:

Причиной уязвимостей являются ошибки обработки памяти в подсистемах RxRPC (CVE-2026-43500) и xfrm/ESP (CVE-2026-43284). Исследователи объединили их под общим названием «Dirty Frag», поскольку обе позволяют сформировать примитив записи в page cache и повысить привилегии до уровня root, несмотря на различия в затронутых подсистемах.

В уязвимых подсистемах ядро расшифровывает входящие данные прямо в переданных страницах памяти, не делая отдельной копии буфера. Используя системный вызов splice(), атакующий может передать ядру страницу page cache файла вместо пользовательского буфера. В результате запись выполняется непосредственно в кэшированную страницу файла, что позволяет изменить её содержимое в памяти без внесения изменений на диск.

При эксплуатации CVE-2026-43500 подсистема RxRPC записывает расшифрованные данные непосредственно в переданный буфер. Если с помощью splice() вместо пользовательского буфера используется страница page cache для файла /etc/passwd, содержимое файла в памяти перезаписывается. Любой локальный пользователь с минимальными привилегиями может сформировать специальный RxRPC-пакетак, чтобы после расшифровки в кэш-страницу /etc/passwd записались нужные байты, например, обнуленное поле пароля root. После этого аутентификация выполняется по измененной версии файла из page cache, что позволяет выполнить вход под root без пароля. Эффект сохраняется до перезагрузки системы или очистки page cache.

CVE-2026-43284 использует аналогичный механизм, однако ошибка возникает при обработке фрагментированных ESP-пакетов в подсистеме xfrm/ESP. Несмотря на иную первопричину, эксплуатация приводит к тому же результату — изменению содержимого системных файлов через page cache с последующим локальным повышением привилегий.

Атака с использованием «Dirty Frag» проходит в три этапа:

  1. Локальный пользователь получает возможность взаимодействовать с уязвимой подсистемой ядра (RxRPC или xfrm/ESP).
  2. Эксплуатирует одну из уязвимостей семейства «Dirty Frag» для изменения содержимого страницы page cache системного файла (например, /etc/passwd).
  3. Использует измененное содержимое для получения привилегий root и выполнения дальнейших действий с максимальными правами.

Уязвимости затрагивают современные версии Linux, включая Ubuntu, Debian, RHEL, AlmaLinux, Rocky Linux, CentOS Stream, Fedora и openSUSE.

Статус эксплуатации уязвимости:

Microsoft сообщает об ограниченной эксплуатации in the wild: Microsoft Defender фиксирует активность с повышением привилегий через su, характерную для техник семейства «Dirty Frag». Для обеих уязвимостей опубликованы публичные PoC, успешно протестированные на Ubuntu 24.04.4, CentOS Stream 10, AlmaLinux 10, openSUSE Tumbleweed и Fedora 44.

Возможные негативные сценарии:

Получение полных привилегий root на скомпрометированном Linux-хосте, открывающее возможности для любых сценариев постэксплуатации: закрепления в системе, кражи данных и горизонтального перемещения по инфраструктуре.

Рекомендации по устранению

Обновить ядро Linux до исправленной версии на всех затронутых системах.

Уязвимость обхода аутентификации в компонентах GlobalProtect PAN-OS

CVE-2026-0257 | BDU:2026-07261

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: сетевой

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости:

Уязвимость CVE-2026-0257 представляет собой критическую ошибку аутентификации в механизме Authentication Override компонентов GlobalProtect Portal и Gateway операционной системы PAN-OS. 

Механизм Authentication Override предназначен для сокращения количества повторных процедур аутентификации пользователей VPN. После успешной аутентификации пользователя, включая прохождение многофакторной аутентификации, GlobalProtect формирует специальный Authentication Override Cookie, который позволяет при последующих подключениях пропустить повторную проверку учетных данных и прохождения многофакторной аутентификации (MFA).

Уязвимость проявляется только при определенной конфигурации устройства, когда механизм Authentication Override включен и использует тот же сертификат, что и TLS-соединение GlobalProtect. В такой конфигурации публичный ключ сертификата становится доступен любому клиенту, устанавливающему HTTPS-соединение, что позволяет злоумышленнику сформировать корректно зашифрованный Authentication Override Cookie. После расшифровки такого токена PAN-OS безоговорочно доверяет его содержимому и не выполняет дополнительной проверки его подлинности, вследствие чего принимает поддельный Authentication Override Cookie как действительный. Это позволяет злоумышленнику установить полноценную VPN-сессию без знания учетных данных пользователя и прохождения многофакторной аутентификации.

Эксплуатация возможна только при одновременном выполнении следующих условий: включен механизм Authentication Override, GlobalProtect Portal или Gateway использует один и тот же сертификат как для TLS-соединения, так и для Authentication Override, а устройство работает под управлением уязвимой версии PAN-OS.

Статус эксплуатации уязвимости:

Уязвимость активно эксплуатируется в реальных атаках. Компания Palo Alto Networks подтвердила ограниченное количество попыток эксплуатации незащищенных устройств, а исследователи Unit 42 подтвердили случаи успешного использования уязвимости злоумышленниками для обхода аутентификации и установления VPN-соединений. В настоящее время CVE включена в каталог CISA Known Exploited Vulnerabilities (KEV).

После публикации технических подробностей исследователями было опубликовано большое количество публичных Proof-of-Concept, что существенно упрощает эксплуатацию уязвимости и повышает вероятность ее использования в массовых атаках.

Возможные негативные сценарии:

В отличие от большинства VPN-уязвимостей, CVE-2026-0257 не приводит к выполнению кода на устройстве, однако позволяет злоумышленнику получить  легитимный доступ во внутреннюю сеть организации. После успешного обхода аутентификации атакующий устанавливает VPN-соединение с привилегиями соответствующего пользователя и получает доступ к внутренним ресурсам компании.

Полученный доступ может использоваться для разведки инфраструктуры, поиска критически важных систем, компрометации доменной сети и горизонтального перемещения. Поскольку злоумышленник получает авторизованную VPN-сессию, дальнейшие действия практически не отличаются от активности легитимного пользователя, что существенно осложняет обнаружение атаки средствами периметровой защиты.

Рекомендации по устранению

Palo Alto Networks выпустила обновления безопасности, устраняющие уязвимость. Рекомендуется установить исправленные версии PAN-OS на все затронутые устройства.

Если оперативное обновление невозможно, вендор рекомендует применить одну из следующих компенсирующих мер:

  • использовать отдельный сертификат для механизма Authentication Override, не применяя сертификат, используемый для TLS-соединения GlobalProtect Portal/Gateway. Сертификат Authentication Override не должен использоваться другими компонентами или сервисами.
  • отключить механизм Authentication Override, запретив создание и прием Authentication Override Cookie в настройках GlobalProtect Portal и Gateway.

Уязвимость удалённого выполнения произвольного кода в службе Windows DHCP Client

CVE-2026-44815 | BDU:2026-08129

Уровень критичности по оценке CVSS: 9.8

Вектор атаки: сетевой

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости:

Уязвимость связана с переполнением стекового буфера в системной службе Windows DHCP Client, отвечающей за автоматическое получение параметров сетевой конфигурации. При обработке DHCP-ответа служба некорректно проверяет размер одной из DHCP-опций. Значение длины, указанное в пакете, используется для копирования данных в буфер фиксированного размера без проверки того, что передаваемые данные помещаются в выделенную область памяти. В результате специально сформированный DHCP-ответ может вызвать переполнение стека.

Для эксплуатации злоумышленнику достаточно находиться в одном сегменте сети с целевой системой и развернуть поддельный DHCP-сервер, отвечающий быстрее легитимного. Отправив специально сформированный DHCP-ответ с завышенным значением длины обрабатываемой DHCP-опции, атакующий может вызвать переполнение стека и перезаписать служебные данные, включая адрес возврата функции. Это позволяет перенаправить поток выполнения программы и выполнить произвольный код с привилегиями SYSTEM. Аутентификация и взаимодействие с пользователем не требуются.

Уязвимость затрагивает Windows 10 (1607–22H2), Windows 11 (23H2–26H1) и Windows Server 2012–2025.

Статус эксплуатации уязвимости:

На момент подготовки дайджеста подтвержденные случаи эксплуатации CVE-2026-44815 в реальных атаках отсутствуют, публичные PoC также не опубликованы. Вместе с тем, учитывая критический уровень опасности уязвимости, организациям рекомендуется обеспечить приоритетное применение обновлений безопасности и осуществлять мониторинг появления новой информации, касающейся ее эксплуатации.

Возможные негативные сценарии:

Удалённое выполнение кода в контексте SYSTEM на любом Windows-хосте с динамически назначаемым адресом без аутентификации: получение полного контроля над устройством, начальный доступ к корпоративной сети и горизонтальное перемещение по инфраструктуре.

Рекомендации по устранению

Компания Microsoft выпустила обновление безопасности в рамках июньского Patch Tuesday (09.06.2026). Рекомендуется установить актуальное обновление на все затронутые системы.

Как защититься?

В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.

Следите за обновлениями и до встречи в следующем выпуске дайджеста!