ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — критичная уязвимость нулевого дня SharePoint, root-доступ через уязвимость в Kubernetes Image Builder, фишинг с мессенджером Max, EdskManager RAT: ВПО с поддержкой HVNC и возможностями уклонения, скрытый бэкдор в mu-плагинах WordPress.
1. Критичная уязвимость нулевого дня SharePoint
Команда Eye Security сообщила о выявлении уязвимостей, которые получили идентификаторы CVE-2025-53770 (CVSS 9,8) и CVE-2025-53771(CVSS 6,3) в SharePoint Online. Успешная атака позволяет неавторизованным злоумышленникам получить доступ к конфиденциальным данным, инициировать ransomware-шифрование файлов и эскалировать привилегии вглубь инфраструктуры (включая компрометацию через AD/SAML-токены). Риски усугубляются слабым контролем разрешений (RBAC) и недостаточным мониторингом активности пользователей и приложений (OAuth-гранты). Рекомендации:провести аудит конфигураций безопасности, разрешений и OAuth-интеграций, а также внедрить активный мониторинг подозрительной активности в SharePoint и его API.
2. Уязвимость позволяет злоумышленникам получить root-доступ в Kubernetes Image Builder
В Kubernetes Image Builder обнаружена критическая уязвимость CVE-2025-7342 (CVSS: 9.8), позволяющая злоумышленнику получить полный контроль (root-доступ) над хост-системой. Уязвимость возникает из-за недостаточной изоляции процессов при сборке контейнерных образов. Эксплуатация требует, чтобы злоумышленник имел возможность создать специально сформированный вредоносный Dockerfile или манифест сборки. При его обработке уязвимый компонент Image Builder неправильно ограничивает доступ к нижележащей хост-системе, что позволяет выполнить произвольные команды с привилегиями root. Уязвимы версии Image Builder v0.1.5 — v0.3.0. Рекомендуемые действия:
