Авторка: Юлія Гриць, Netwrix Brand Manager
12 липня 2025 року
Windows Kerberos CVE-2025-53779 | підвищення привілеїв
Суть знайденої вразливості – недолік у протоколі автентифікації Kerberos, що дозволяє користувачу з низьким рівнем привілеїв підробляти токени та підвищувати свій рівень доступу до адміністратора домену Active Directory.
Вплив переоцінити складно, адже, опинившись усередині мережі (наприклад, унаслідок фішингової атаки), ця вразливість усувала необхідність складних переміщень і забезпечувала швидкий доступ до прав адміністратора домену.
Встановлення патчів на контролери домену (DC) є складним завданням і вимагає ретельної підготовки. Як наслідок, багато організацій відстають з оновленнями DC. Доки патчі не встановлено, навіть незначне порушення безпеки облікового запису користувача може миттєво перерости в катастрофічне захоплення всього домену.
Що могло б попередити: Netwrix PingCastle
14 липня 2025 року
Через серйозну помилку в AI-чатботі з найму «McHire» компанії McDonald’s було виявлено вразливість, яка могла надати доступ до даних потенційно понад 64 млн осіб, що подавалися на вакансії. Через несподіваний масштаб потенційної загрози та помилку AI-системи цей кейс неможливо ігнорувати в річному звіті.
На Reddit почали з’являтися скарги на те, що Олівія (бот) відповідає беззмістовними повідомленнями. Це привернуло увагу фахівців з аналізу загроз Іана Керрола та Сема Каррі, які почали детальніше досліджувати проблему.
Чатбот був впроваджений на базі Paradox AI. Для входу на портал від імені адміністратора ресторану, що наймає персонал, виявилося достатньо використати стандартні облікові дані 123456:123456. Ресторан був тестовим, проте під час роботи з консоллю та подання «заявки на роботу» дослідники виявили API системи CEM (Candidate Experience Manager), через який отримали доступ до листування бота з реальними кандидатами.
Вразливість типу Insecure Direct Object Reference (IDOR) дозволяла отримати доступ до об’єктів із персональними даними (PII), які зберігалися без шифрування.
API повертало:
- Ім’я;
- Email;
- Телефон і адресу;
- Статус кандидата;
- Токен авторизації для входу в інтерфейс користувача.
Що могло б попередити: ResilientX
11–14 жовтня 2025 року
Qantas та Vietnam Airlines – дві авіакомпанії, що стали жертвами однієї атаки.
Qantas (Австралія) підтвердила, що дані приблизно 5,7 млн пасажирів (імена, email-адреси, номери Frequent Flyer) були скопійовані.
У Vietnam Airlines відбувся витік великого масиву клієнтських даних – близько 23 млн записів. Інформація охоплювала період з 2020 до 2025 року.
Дані були викрадені з Salesforce хакерською групою, що називає себе «Scattered LAPSUS$ Hunters». Атака тривала протягом тривалого часу та почалася зі зламу корпоративного GitHub-акаунту компанії Salesloft, яка має інтеграцію з Salesforce. Завершальним етапом стала публікація викрадених даних у жовтні на дарквебі після відмови сплачувати викуп.
Ризик, пов’язаний з компрометацією облікових записів користувачів, залишається найпоширенішою причиною витоків даних.
Що могло б попередити: Netwrix Identity Manager на першоджерелі, ResilientX TPRM для контролю інтеграцій.
30 жовтня 2025 року
Корейський автомобільний виробник Hyundai зазнав витоку чутливих персональних даних клієнтів, зокрема імен, номерів водійських посвідчень, адрес та номерів соціального страхування. Кількість скомпрометованих записів достеменно невідома, однак потенційно йдеться про до 2,7 млн клієнтів у Північній Америці. Для зупинки атаки було залучено стороннього підрядника з кібербезпеки.
Цей кейс важливий не лише через доступ до чутливої інформації власників авто, а й через показовий таймінг інциденту:
- 22 лютого відбулося порушення безпеки;
- 1 березня компанія дізналася про інцидент;
- 2 березня злам було усунуто;
- у листопаді клієнти почали отримувати повідомлення про витік.
Таким чином, зловмисники перебували в системі близько тижня, тоді як публічне розкриття інциденту відбулося лише через вісім місяців.
За словами представника компанії, порушення торкнулося приблизно 2000 осіб. Водночас варто зазначити, що Hyundai вже зазнавала атак у попередні роки: у 2023 та 2024 роках фіксувалися злами європейських підрозділів компанії.
Що могло б попередити: Netwrix Data Classification, Netwrix Identity Manager, а також SIEM Wazuh для загального контролю
5 листопада 2025 року
Django (один із найпопулярніших вебфреймворків на Python) визнав наявність критичної вразливості SQL Injection (CVE-2025-64459).
Деякі вебдодатки на Django приймають параметри з HTTP-запиту та без належної валідації передають їх у механізм фільтрації. Якщо зловмисник додає спеціальні параметри _connector або _negated, він може контролювати логіку SQL-запиту, змушуючи Django некоректно перевіряти дані. Це дає змогу:
- отримати доступ до чужих даних;
- обійти автентифікацію;
- підвищити привілеї користувача.
Ця вразливість є класичним прикладом того, як небезпечне використання ORM-методів без валідації вводу може призвести до серйозних наслідків. Навіть нескладна атака здатна спричинити масштабний витік даних і компрометацію системи.
Що могло б попередити: автоматизовані тести безпеки (SAST/DAST), інтегровані в CI/CD, Invicti
29 листопада 2025 року
React. Вразливість CVE-2025-55182 у механізмі React Server Components.
React Server Components (RSC) – це архітектурна можливість React, яка дозволяє виконувати рендеринг частини компонентів на сервері, мінімізуючи обсяг JavaScript-коду, що передається клієнту.
Вразливість у способі декодування даних, які надсилаються до кінцевих точок React, дозволяла здійснювати віддалене виконання коду (RCE) без автентифікації. Спеціально сформований HTTP-запит призводив до небезпечної десеріалізації.
Цей інцидент став однією з найважливіших подій року на рівні застосунків. Уже протягом 24 годин після публічного розкриття фахівці з аналізу загроз зафіксували масові сканування з боку китайських APT-груп і ботнетів, спрямовані на мільйони вразливих застосунків Next.js.
Що могло б попередити: Invicti, Mend.io SCA (Software Composition Analysis)
Підсумок
За результатами 2025 року зафіксовано значну кількість інцидентів, однак наведені кейси вирізняються масштабом, кількістю постраждалих та впливом на бізнес і галузь загалом.
Що реально працює і має бути впроваджено:
- Прозорість та звітність: SIEM / XDR / DAM
- Контроль над обліковими записами: IAM / PAM / Zero Trust
- Знання своїх даних та їх захист: DLP / Data Discovery
- Контроль підрядників: Supply Chain Security
- Безпека на етапі розробки: SAST / DAST
