🧵 Ноябрьский мини-дайджест уязвимостей: Windows, Redis, XWiki и злые ярлыки 💥 1. WSUS на Windows Server: RCE с SYSTEM без логина В службе обновления Windows Server (WSUS) нашли критическую дыру (CVE-2025-59287, CVSS 9.8): удалённый неаутентифицированный атакующий может выполнить код с правами SYSTEM на сервере, где включена WSUS-роль. Достаточно закидать сервер специальными POST-запросами - баг в десериализации недоверенных данных делает остальное. Эксплойт уже лежит в паблике, а попытки эксплуатации зафиксированы у реальных компаний; уязвимость находится в каталоге CISA KEV как активно эксплуатируемая. Почему это важно WSUS часто крутится в самом сердце инфраструктуры и имеет доступ к куче хостов. Что делать — Проверь, развернут ли у тебя WSUS вообще - в некоторых сетях про него просто забыли. — Установи октябрьские патчи и дополнительные обновления от 24 октября, перезагрузи сервер. — Ограничь доступ к WSUS по сети (VPN, сегментация, ACL), не светить его «в мир». — Следи за аномалиями: подозрительные POST-запросы к WSUS и нестандартные «обновления» на клиентах. 🔴 2. Redis: критический RCE и десятки тысяч открытых инстансов В Redis нашли почти максимальный по серьёзности RCE (CVE-2025-49844, CVSS 9.9). Аутентифицированный злоумышленник может выполнить произвольный код через специально подготовленный Lua-скрипт. Формально нужен логин, но у Redis аутентификация по умолчанию отключена и во многих развёртываниях не используется. По оценке исследователей, в интернете светится ~330 000 инстансов Redis, из них ~60 000 вообще без пароля. Для уязвимости уже есть публичный PoC и рабочий эксплойт. Патч выпущен в начале октября, но это не значит, что все обновились. Почему это важно? Redis - это кэш, брокер сообщений и часто «точка концентрации» чувствительных данных. Одна уязвимая инстанция снаружи - и атакующему не нужно ломать веб-приложение, он сразу уходит в инфраструктуру. Что делать? — Немедленно проверить, не торчит ли Redis в интернет: сканы внешнего периметра, поиск по Shodan/Censys для себя. — Включить аутентификацию и ограничить доступ по сети (Planet VPN). — Обновиться до одной из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4 или 8.2.2. 📁 3. LNK 0-day в Windows: ярлык как полноценный эксплойт В механизме обработки ярлыков Windows (.LNK) обнаружили уязвимость (CVE-2025-9491, CVSS 7.8), которая позволяет спрятать вредоносные аргументы командной строки в поле Target с помощью пробельных символов. Визуально ярлык выглядит нормальным, но при запуске выполняет произвольный код. Фишка в том, что об уязвимости сообщили ещё в 2024-м, но её не закрыли. Позже стало известно, что её использовали минимум одиннадцать разных групп - от известных киберпреступников до APT, включая Mustang Panda, а также в атаках на дипломатические учреждения в Европе для доставки PlugX. Почему это важно? LNK - идеальный формат для фишинга: архивы, USB-флешки, общие папки в компании. Пользователи привыкли «просто кликать на ярлык», не ожидая там полноценного payload’а. Что делать? — Ужесточить политику работы с вложениями и USB-носителями: блокировать/ограничивать выполнение .lnk из недоверенных путей. — Использовать EDR/антивирус с поведенческим анализом. Запуск командных интерпретаторов из LNK должен быть триггером. — Следить за обновлениями безопасности Windows: по данным на момент обзора отдельного исправления для CVE-2025-9491 ещё нет. Оставайтесь защищёнными, 🌍 Planet VPN #vpn #впн #infosec #cybersecurity #windows #redis #xwiki #security #блокировки