Дайджест уязвимостей от BI.ZONE CPT за февраль
В описании уязвимостей вы найдете краткий разбор рисков, рекомендации по проверке возможных следов эксплуатации на хосте, а также ссылки на открытые отчеты по киберразведке и официальные рекомендации вендоров.
В этом выпуске:
- RCE в Roundcube Webmail
- RCE в SolarWinds Web Help Desk
- RCE в BeyondTrust Remote Support / Privileged Remote Access
- Обход аутентификации в GNU InetUtils telnetd
- Локальное чтение файлов в Zimbra Collaboration Suite
- RCE в Cisco Unified Communications
| Идентификатор CVE | CVE‑2025‑49113 |
| Оценка по CVSS | 8,8 (high) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2025‑49113 позволяет аутентифицированному пользователю добиться RCE через через небезопасную десереализацию. Исправлено в Roundcube 1.6.11 и 1.5.10.
Советы по проверке следов на хосте
- Проверьте успешные логины с новых IP‑адресов, отдельно проверьте наличие учетных записей в свежих утечках
- Проверьте access log Apache/Nginx. TeamT5 отдельно рекомендует искать POST к пути вида
?_from=edit-%21%C0%22%C0%3B%C0i%C0%3A%C00, где параметр_fromначинается сedit-и содержит вредоносную нагрузку, закодированную для передачи в URL - Проверьте целостность plugins/, config/, корневой каталог веб‑сервера и временных каталогов PHP: наличие новых PHP‑файлов, веб‑шеллов и изменений времени модификации сразу после подозрительных запросов
- В файловой системе ищите веб‑шеллы и временные бэкдоры с помощью YARA‑правил
- В публичных отчетах после эксплуатации встречались Godzilla webshell и Pupy RAT. Если на хосте есть соответствующие артефакты/сигнатуры или обращения к
repos.seuweb.com, проведите детальный анализ
Полезные ссылки
- Security updates 1.6.11 and 1.5.10 released // Roundcube
- Alerts of Exploiting Roundcube Webmail: CVE-2025-49113 // TeamT5
| Идентификатор CVE | CVE‑2025‑40551, CVE‑2025‑40536, CVE‑2025‑26399 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Цепочка уязвимостей CVE‑2025‑40551, CVE‑2025‑40536, CVE‑2025‑26399 позволяет неаутентифицированному пользователю добиться RCE через небезопасную десериализацию. Исправлено в WHD 2026.1+.
Советы по проверке следов на хосте
- Проверьте логи приложения: обращения к подозрительным доменам (особенно OAST‑серверам) в файлах вида
_yyyy-mm-dd.txt - Проверьте запросы к URL с ключевыми словами
bogusиbadparam=/ajax/...в файлах вида_access_log_yyyy-mm-dd.txt - На уровне EDR/процессов отдельно проверьте цепочки вида
wrapper.exe → java.exe → cmd.exe → msiexec. В опубликованных расследованиях после эксплуатации встречались запуск MSI из внешнего URL,TOOLSIQ.EXE(Zoho ManageEngine RMM), бинарные файлы Velociraptor и Cloudflared - Проверьте новые сервисы и задачи. В публичных кейсах описаны артефакты вроде службы Velociraptor и scheduled task TPMProfiler, запускавшей
qemu-system-x86_64.exe
Полезные ссылки
- SolarWinds Web Help Desk Deserialization of Untrusted Data Remote Code Execution Vulnerability (CVE-2025-40551) // SolarWinds
- SolarWinds Web Help Desk Security Control Bypass Vulnerability (CVE-2025-40536) // SolarWinds
- SolarWinds Web Help Desk AjaxProxy Deserialization of Untrusted Data Remote Code Execution Vulnerability (CVE-2025-26399) // SolarWinds
- Analysis of active exploitation of SolarWinds Web Help Desk // Microsoft
- Active Exploitation of SolarWinds Web Help Desk // Huntress
| Идентификатор CVE | CVE‑2026‑1731 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑173 позволяет неаутентифицированному пользователю выполнить инъекцию команд ОС и добиться RCE. Исправлено патчами и обновлениями из бюллетеня BT26‑02.
Советы по проверке следов на хосте
- В логах веб‑приложения ищите обращения к /nw и связанным с
get_portal_infoэндпоинтам. Unit 42 отдельно описывает эксплуатацию через параметр remoteVersion, где встречаются конструкции вродеa[$(cmd)]0 - В файловой системе ищите веб‑шеллы и временные бэкдоры. В публичных расследованиях фигурировали
aws.php,file_save.php, однострочные PHP‑шеллы c$_GET[’aaaa’]/$_POST[’1′], а также внедрение параметра Location со значением сокета/ns/tmp/php-fpm.sockв конфигурации Apache - В файловой системе ищите веб‑шеллы и временные бэкдоры с помощью YARA‑правил
Полезные ссылки
- ВТ26-02 // BeyondTrust
- VShell and SparkRAT Observed in Exploitation of BeyondTrust Critical Vulnerability (CVE-2026-1731) // Palo Alto Networks
| Идентификатор CVE | CVE‑2026‑4055124061 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑24061 позволяет неаутентифицированному удаленному пользователю обойти аутентификацию через argument injection в telnetd/login‑цепочке и получить несанкционированный доступ. Исправление — обновление до последней версии inetutils или пакет дистрибутива с backport‑исправлением. Практическая митигация — отключить telnet и закрыть TCP 23/2323.
Советы по проверке следов на хосте
- Проверьте установленный пакет inetutils/telnetd по бюллетеню безопасности вашего дистрибутива: уязвим апстримный диапазон, но в ряде систем фикс может быть перенесен в пакет и без смены версии
- В
/var/log/auth.log или /var/log/secureищите telnet‑логины, особенно сессии root - Если есть запись трафика, IDS или сетевой сенсор, проверьте логины с USER‑f root
- После входа ищите типичные проверочные команды (
id, uname -a) и попытки загрузить файлы: вызов командcurl,wget, загрузка через/dev/tcp
Полезные ссылки
| Идентификатор CVE | CVE‑2025‑68645 |
| Оценка по CVSS | 8,8 (high) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2025‑68645 позволяет неаутентифицированному пользователю выполнить LFI или чтение локальных файлов через эндпоинт /h/rest. Потенциально может привести к RCE на уязвимом хосте. Исправлено в ZCS 10.0.18 и 10.1.13.
Советы по проверке следов на хосте
- Проверьте запросы к /h/rest с параметром
javax.servlet.include.servlet_path=, где далее идет путь к включаемому файлу
Полезные ссылки
| Идентификатор CVE | CVE‑2026‑20045 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑20045 позволяет неаутентифицированному пользователю выполнить инъекцию кода через веб‑интерфейс управления. Cisco заявляет, что успешная эксплуатация дает доступ от имени user‑level‑аккаунта, после чего возможно повышение привилегий до root. Исправлено обновлениями и COP‑патчами, указанными Cisco.
Советы по проверке следов на хосте
- Вендор не раскрывает деталей эксплуатации этой уязвимости. Ищите нетипичные серии HTTP‑запросов к веб‑интерфейсу — необычно закодированные параметры и нехарактерные URI
Полезные ссылки
- Cisco Unified Communications Products Remote Code Execution Vulnerability // Cisco
- CVE‑2026‑20045: Exploited Unauthenticated Remote Code Execution Vulnerability in Cisco Unified Communications Products // Arctic Wolf
BI.ZONE CPT помогает работать с такими уязвимостями системно. Платформа автоматически сопоставляет новые CVE с вашими внешними активами, выявляет уязвимые сервисы, приоритизирует риски с учетом реальной эксплуатации и позволяет контролировать процесс устранения до полного закрытия. Это сокращает время между публикацией уязвимости и принятием управленческого решения: патчить, ограничивать доступ, изолировать сервис или проводить дополнительную проверку.
Если инцидент подтвержден, команда BI.ZONE DFIR проводит полноценное реагирование, устанавливает механизм компрометации, определяет масштаб атаки и помогает локализовать ее последствия.