Аналитики R‑Vision представили выпуск дайджеста трендовых уязвимостей за май 2026 года.

На этот раз эксперты выявили 20 опасных уязвимостей за месяц, к числу трендовых было отнесено 5 из них. Трендовыми считаются наиболее критичные проблемы безопасности с высоким уровнем риска, подтверждённой эксплуатацией и повышенным интересом со стороны злоумышленников.

В дайджест попали:

CVE-2026-0300 | Уязвимость удалённого выполнения произвольного кода в PAN-OS

CVSS: 9.8 | Вектор атаки: сетевой

Уязвимость связана с переполнением буфера в сервисе User-ID™ Authentication Portal (ранее — Captive Portal) программного обеспечения Palo Alto Networks PAN-OS. Сервис реализует веб-страницу аутентификации, через которую межсетевой экран запрашивает учётные данные у пользователя, когда автоматическое сопоставление IP-адреса и идентификатора невозможно.

Неаутентифицированный атакующий с сетевым доступом к Authentication Portal, отправляя специально сформированные пакеты, может вызвать запись за пределы выделенного буфера и добиться выполнения произвольного кода с привилегиями root. Взаимодействие с пользователем не требуется.

Уязвимости подвержены межсетевые экраны PA-Series и VM-Series под управлением PAN-OS веток 10.2, 11.1, 11.2 и 12.1 с включённым Authentication Portal.

Статус эксплуатации уязвимости: Palo Alto Networks подтвердил факт ограниченной эксплуатации против устройств с доступным из сети Authentication Portal. Команда Unit 42 отслеживает связанную с эксплуатацией активность под идентификатором CL-STA-1132 и характеризует её как предположительно государственно-спонсированную. После успешной эксплуатации атакующие внедряют шеллкод в worker-процесс nginx, зачищают журналы и crash-артефакты, разворачивают туннельные утилиты EarthWorm и ReverseSocks5 и проводят enumeration Active Directory с использованием служебной учётной записи межсетевого экрана.

Агентство CISA добавило эту уязвимость в каталог KEV.

Рекомендации по устранению: Palo Alto Networks выпустил обновление безопасности. Рекомендуется как можно скорее установить актуальное обновление на все затронутые устройства PA-Series и VM-Series.

CVE-2026-42945 | BDU:2026-06827: Уязвимость удалённого выполнения произвольного кода в Nginx

CVSS: 8.1 | Вектор атаки: сетевой

Исследователи Depthfirst обнаружили в Nginx уязвимость NGINX Rift, присутствующую в кодовой базе около 18 лет. Она позволяет неаутентифицированному удалённому злоумышленнику вызвать отказ в обслуживании (DoS) или выполнить произвольный код (RCE).

Проблема локализована в модуле ngx_http_rewrite_module. При использовании директив с регулярными выражениями специально сформированные POST-запросы провоцируют переполнение кучи (heap overflow). Ошибка вызвана некорректным расчётом буфера: на символы экранирования выделяется 3 байта вместо одного, что движок не учитывает. Это может привести к DoS или, при определённых условиях (например, отключённом ASLR (рандомизация адресного пространства) или успешном обходе защиты), к RCE.

Статус эксплуатации уязвимости: VulnCheck зафиксировал попытки эксплуатации в honeypot-сетях. В публичном доступе опубликован рабочий PoC для систем с отключённым ASLR; исследователи также отмечают возможность создания эксплойта с обходом данной защиты.

CVE-2026-31431 | BDU:2026-06123: Уязвимость повышения привилегий в криптографическом модуле ядра Linux (CopyFail)

CVSS: 7.8 | Вектор атаки: локальный

Уязвимость CopyFail, обнаруженная в апреле 2026 года, затрагивает дистрибутивы Linux с 2017 года. Логическая ошибка в криптографическом модуле ядра algif_aead позволяет через сокет AF_ALG (доступен любому пользователю) перезаписывать 4 байта в кеше страниц читаемых файлов, модифицируя поведение процессов.

Исследователи продемонстрировали: повышение привилегий до root через отключение проверки пароля в /usr/bin/su, модификацию запущенных процессов, а в Kubernetes — выполнение кода в соседних подах или побег из контейнера. Изменения вносятся только в кеш ОЗУ, а не в файловую систему, что затрудняет обнаружение стандартными средствами защиты. Доступны портативные PoC на Python.

Статус эксплуатации уязвимости: Уязвимость добавлена в CISA KEV 1 мая 2026 года. Есть рабочие публичные PoC.

Рекомендации по устранению: Установить последние обновления ядра Linux согласно установленному дистрибутиву, либо отключить модуль algif_aead.

CVE-2026-42897 | BDU:2026-06919: Уязвимость к подделке данных на сервере Microsoft Exchange Server

CVSS: 8.1 | Вектор атаки: сетевой

Уязвимость относится к клиентскому межсайтовому скриптингу (XSS) и затрагивает веб-интерфейс Outlook (OWA). Для эксплуатации атакующий отправляет жертве специально сформированное письмо. При его открытии в OWA и выполнении определённых условий взаимодействия в браузере выполняется произвольный JavaScript-код. Технические детали реализации вендором не раскрываются.

Успешная эксплуатация уязвимости позволяет злоумышленникам похищать cookie-файлы, токены сессий и другие данные браузера, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.

Статус эксплуатации уязвимости: Microsoft подтвердила эксплуатацию в реальных атаках. CISA добавила уязвимость в каталог KEV, рекомендовав установить исправления до 29 мая 2026 года.

Рекомендации по устранению: Полноценный патч от Microsoft пока отсутствует. В качестве временных мер можно включить службу Exchange Emergency Mitigation (EM) или использовать скрипт Exchange On-premises Mitigation Tool (EOMT). Митигация не работает в Internet Explorer и Edge в режиме совместимости с Internet Explorer. После установки митигации возможны ошибки печати календаря и отображения встроенных изображений в OWA.

CVE-2026-41091 | BDU:2026-07110: Уязвимость повышения привилегий в Microsoft Defender

CVSS: 7.8 | Вектор атаки: локальный

Уязвимость локального повышения привилегий в Microsoft Malware Protection Engine — ядре сканирования, на котором построены Microsoft Defender Antivirus, Microsoft System Center Endpoint Protection (включая версии 2012 и 2012 R2) и Microsoft Security Essentials.

При выполнении файловых операций компонент некорректно разрешает символические ссылки и точки соединения (junction points) до обращения к целевому файлу. Локальный пользователь с минимальными привилегиями может разместить в подконтрольной директории объект-приманку и создать на его пути точку соединения (junction point), ведущую в защищённый системный каталог, тем самым перенаправив привилегированную операцию Defender. Поскольку операция выполняется от имени SYSTEM, результатом эксплуатации становится перезапись или модификация произвольного защищённого файла с последующим повышением привилегий. 

Уязвимы сборки движка версии 1.1.26030.3008 и ниже. Компонент поставляется с актуальными версиями Windows 11 и Windows Server, а также с редакциями Windows 10 на расширенной поддержке (LTSC и ESU). Системы с отключённым Microsoft Defender не уязвимы.

Статус эксплуатации уязвимости: Microsoft в своём бюллетене безопасности подтвердил, что уязвимость была публично раскрыта и эксплуатировалась в реальных атаках до выхода исправления. Агентство CISA добавило эту уязвимость в каталог KEV, отметив важность исправления до 3 июня 2026 года.

Как защититься?

В приоритете — своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение остаётся первоочередной мерой защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R‑Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится всё более актуальным на фоне регулярного появления новых критичных уязвимостей.

По всем вопросам, связанным, с R‑Vision, обращайтесь по адресу: InformSecurity@mont.ru.