В июне 2025 года Управление по кибербезопасности и инфраструктуре США (CISA) объявило о включении трёх критических уязвимостей в свою базу Known Exploited Vulnerabilities (KEV), что означает их активное использование в реальных атаках. Среди пострадавших систем оказались AMI MegaRAC SPx, маршрутизаторы D-Link DIR-859 и программное обеспечение Fortinet FortiOS, FortiManager и FortiAnalyzer. Подобные инциденты подчеркивают возрастающую опасность киберугроз, направленных на уязвимые компоненты сетевой инфраструктуры крупных предприятий и государственных организаций. Учитывая высокую оценку опасности и активность злоумышленников, важно понять природу этих уязвимостей и способы их нейтрализации.Первая уязвимость — CVE-2024-54085 с максимальным баллом CVSS 10.
0 — представляет собой возможность обхода аутентификации в интерфейсе Redfish Host Interface AMI MegaRAC SPx. Уязвимость позволяет удалённому злоумышленнику получить полный контроль над сервером, имитируя легитимный запрос HTTP POST к BMC (Baseboard Management Controller). Эксплуатация этой уязвимости приводит к созданию новой административной учётной записи без необходимости предварительной авторизации, что открывает двери для дальнейшего полного взлома систем. Основная опасность заключается в том, что BMC работает независимо от операционной системы, что дает злоумышленникам возможность оставаться незамеченными обычными средствами защиты и мониторинга.AMI MegaRAC используется во многих крупных технологических компаниях по всему миру, включая AMD, Huawei, Nvidia, Fujitsu, Gigabyte и Qualcomm, что существенно расширяет потенциальный масштаб угрозы.
При взломе BMC злоумышленники могут не только удалённо перезагружать или выключать серверы, но и внедрять вредоносные программы непосредственно в прошивку устройств. Это делает их атаки чрезвычайно устойчивыми к восстановлению и особенно опасными, учитывая возможность обхода традиционных средств безопасности и логиирования.Вторая уязвимость — CVE-2024-0769 с оценкой CVSS 5.3 — обнаружена в маршрутизаторах D-Link DIR-859. Это проблема обхода путей, позволяющая злоумышленнику эскалировать привилегии и получить несанкционированный доступ к управлению устройством.
Печальная особенность заключается в том, что моделям DIR-859 присвоен статус End-of-Life с декабря 2020 года, то есть производитель прекратил поддержку и выпуск обновлений безопасности. Соответственно, уязвимость остаётся неремонтированной, а пользователи этих устройств крайне уязвимы перед злоумышленниками. По данным экспертов, уязвимость активно эксплуатируется в ходе кампаний по сбору учётных данных пользователей, что ставит под угрозу домашние и офисные сети, использующие данный роутер.Третья уязвимость — CVE-2019-6693 с CVSS 4.2 — затрагивает широкий спектр продуктов Fortinet, включая FortiOS, FortiManager и FortiAnalyzer.
Уязвимость связана с использованием жёстко зашитого криптографического ключа, который используется для шифрования данных паролей в конфигурациях командной строки (CLI). Это позволяет злоумышленнику, получившему доступ к файлу конфигурации или резервной копии, дешифровать чувствительные данные и получить ключевую информацию для дальнейших атак. По сообщениям, данную уязвимость активно используют хакеры, связанные с группой Akira ransomware, чтобы получить начальную точку доступа к сетям жертв, что свидетельствует о неблагоприятных последствиях для инфраструктуры и бизнеса.Эксперты безопасности из компании Eclypsium, которая первоначально раскрыла уязвимость в AMI MegaRAC, отмечают, что злоумышленники не только способны внедрять вредоносный код в прошивку BMC, но и использовать эти контроллеры для скрытного сбора учётных данных, прослушивания трафика и распространения по сети. Использование BMC в качестве «моста» внутри сети предоставляет хакерам большие возможности для горизонтального перемещения, обхода защиты и ланчпад для дальнейших атак.
Связанные с исследованием угроз компании предполагают, что к эксплуатации данных уязвимостей могут быть причастны киберпреступные группировки и даже хакеры со стороны государств, такие как Volt Typhoon, Salt Typhoon и другие APT-группы, ориентированные на создание долгосрочного и незаметного присутствия внутри инфраструктуры жертв.Учитывая масштабы угроз и активное использование уязвимостей, Федеральные гражданские исполнительные учреждения США получили обязательство внедрить все необходимые меры защиты до середины июля 2025 года. Рекомендации включают обновление программного обеспечения, ограничение доступа к BMC, замену устаревших роутеров и проведение аудитов безопасности для выявления потенциальных точек проникновения. Для организаций, использующих продукцию AMI MegaRAC, критически важно своевременно закрыть доступ BMC в Интернет и контролировать логи активности с целью выявления аномалий.Для пользователей и предприятий, управляющих устройствами D-Link DIR-859, единственным эффективным решением является замена оборудования на более современные модели, которые регулярно получают обновления безопасности.
Продолжение эксплуатации устаревших роутеров представляет риск для всей сетевой инфраструктуры и данных, хранящихся внутри локальных сетей, а также для сетевых сервисов и подключённых ресурсов.Для владельцев продуктов Fortinet крайне важно обновить программное обеспечение до последних версий и регулярно проводить аудит конфигураций на предмет наличия уязвимых элементов. Кроме того, необходимо контролировать процесс создания и хранения резервных копий конфигурационных файлов, чтобы снизить риск компрометации этих данных злоумышленниками.Современный уровень угроз кибербезопасности требует от организаций особого внимания к вопросам безопасности прошивки и управления периферийными устройствами, такими как BMC. Атаки на эти компоненты могут обходить традиционные средства защиты, делая их особенно опасными.
Важно внедрять многоуровневую стратегию защиты, объединяющую обновления ПО, ограничение доступа, мониторинг и обучение персонала.Подобные инциденты с уязвимостями, внесёнными в KEV каталог, не только сигнализируют о серьёзных рисках для безопасности организаций, но и служат напоминанием о необходимости постоянного внимания к вопросам информационной безопасности и обновлениям программных продуктов. Своевременное исправление уязвимостей и внедрение современных средств защиты помогают значительно снизить вероятность успешных атак и минимизировать потенциальный ущерб.Наконец, увеличение внимания правоохранительных и государственных органов к таким уязвимостям способствует более оперативному реагированию на угрозы и развитию стандартов безопасности на государственном и корпоративном уровнях. Это особенно важно в эпоху стремительного развития технологий и увеличения числа подключённых устройств, где слабое звено безопасности одного компонента может вызвать масштабные последствия для всей инфраструктуры.
В заключение можно отметить, что современные угрозы безопасности требуют от организаций непрерывного мониторинга состояния своих систем, своевременной реакции на выявленные уязвимости и интегрированного подхода к управлению рисками. В случае с AMI MegaRAC, D-Link и Fortinet рекомендации по безопасности не остаются буквой на бумаге, а становятся обязательным условием выживания в цифровом мире, полном новых и изощренных кибератак.
