Авторка: Julia Grits, Netwrix Brand Manager
12 июля 2025 года
Windows Kerberos CVE-2025-53779 | эскалация привилегий
Суть найденной уязвимости – недостаток в протоколе аутентификации Kerberos, позволяющий пользователю с низким уровнем привилегий подделывать токены и повышать свой уровень доступа к администратору домена Active Directory.
Влияние переоценить сложно, ведь, оказавшись внутри сети (например, вследствие фишинговой атаки), эта уязвимость устраняла необходимость сложных перемещений и обеспечивала быстрый доступ к правам администратора домена.
Установка патчей на контроллеры домена (DC) является сложной задачей и требует тщательной подготовки. Как следствие, многие организации отстают с обновлениями DC. Пока патчи не установлены, даже незначительное нарушение безопасности аккаунта пользователя может мгновенно перерасти в катастрофический захват всего домена.
Что могло бы предупредить: Netwrix PingCastle
14 июля 2025 года
Из-за серьезной ошибки в AI-чат-боте по найму «McHire» компании McDonald’s была обнаружена уязвимость, что могла предоставить доступ к данным потенциально более 64 млн человек, которые подавались на вакансии. Из-за неожиданного масштаба потенциальной угрозы и ошибки AI-системы этот кейс невозможно игнорировать в годовом отчете.
На Reddit начали появляться жалобы на то, что Оливия (бот) отвечает бессодержательным сообщениям. Это привлекло внимание специалистов по анализу угроз Иана Кэррола и Сэма Карри, которые подробнее исследовали проблему.
Чат-бот был введен на базе Paradox AI. Для входа на портал от имени администратора нанимающего персонала ресторана оказалось достаточно использовать стандартные учетные данные 123456:123456. Ресторан был тестовым, однако во время работы с консолью и подачи «заявки на работу» исследователи обнаружили API системы CEM (Candidate Experience Manager), через которую получили доступ к переписке бота с реальными кандидатами.
Уязвимость типа Insecure Direct Object Reference (IDOR) позволяла получить доступ к объектам с персональными данными (PII), хранившимся без шифрования.
API возвращало:
- Имя;
- Email;
- Телефон и адрес;
- Статус кандидата;
- Токен авторизации для входа в пользовательский интерфейс.
Что могло бы предупредить: ResilientX
11–14 октября 2025 года
Qantas и Vietnam Airlines – две авиакомпании, ставшие жертвами одной атаки.
Qantas (Австралия) подтвердила, что данные примерно 5,7 млн пассажиров (имена, email-адреса, номера Frequent Flyer) были скопированы.
В Vietnam Airlines произошла утечка большого массива клиентских данных – около 23 млн записей. Информация охватывала период с 2020 по 2025 год.
Данные были похищены из Salesforce хакерской группой, называющей себя Scattered LAPSUS$ Hunters. Атака продолжалась в течение длительного времени и началась со взлома корпоративного GitHub-аккаунта компании Salesloft, которая имеет интеграцию с Salesforce. Завершающим этапом стала публикация похищенных данных в октябре на дарквебе после отказа выплачивать выкуп.
Риск, связанный с компрометацией аккаунтов пользователей, остается самой распространенной причиной утечек данных.
Что могло бы предупредить: Netwrix Identity Manager на первоисточнике, ResilientX TPRM для контроля интеграций.
30 октября 2025 года
Корейский автомобильный производитель Hyundai подвергся утечке чувствительных персональных данных клиентов, в том числе имен, номеров водительских удостоверений, адресов и номеров социального страхования. Количество скомпрометированных записей доподлинно неизвестно, однако потенциально это до 2,7 млн клиентов в Северной Америке. Для остановки атаки был привлечен сторонний подрядчик по кибербезопасности.
Этот кейс важен не только из-за доступа к чувствительной информации владельцев авто, но и из-за показательного тайминга инцидента:
- 22 февраля произошло нарушение безопасности;
- 1 марта компания узнала об инциденте;
- 2 марта взлом был устранен;
- в ноябре клиенты начали получать уведомления об утечке.
Таким образом, злоумышленники находились в системе около недели, в то время как публичное раскрытие инцидента произошло только спустя восемь месяцев.
По словам представителя компании, нарушение коснулось примерно 2000 человек. В то же время стоит отметить, что Hyundai уже подвергалась атакам в предыдущие годы: в 2023 и 2024 годах фиксировались взломы европейских подразделений компании.
Что могло бы предупредить: Netwrix Data Classification, Netwrix Identity Manager и SIEM Wazuh для общего контроля
5 ноября 2025 года
Django (один из самых популярных веб-фреймворков на Python) признал наличие критической уязвимости SQL Injection (CVE-2025-64459).
Некоторые веб-приложения на Django принимают параметры HTTP-запроса и без надлежащей валидации передают их в механизм фильтрации. Если злоумышленник добавляет специальные параметры _connector или _negated, он может контролировать логику SQL запроса, заставляя Django некорректно проверять данные. Это позволяет:
- получить доступ к чужим данным;
- обойти аутентификацию;
- повысить привилегии пользователя.
Эта уязвимость является классическим примером того, как опасное использование ORM-методов без валидации ввода может привести к серьезным последствиям. Даже несложная атака способна повлечь за собой масштабную утечку данных и компрометацию системы.
Что могло бы предупредить: автоматизированные тесты безопасности (SAST/DAST), интегрированные в CI/CD, Invicti
29 ноября 2025 года
React. Уязвимость CVE-2025-55182 в механизме React Server Components.
React Server Components (RSC) – это архитектурная возможность React, позволяющая выполнять рендеринг части компонентов на сервере, минимизируя объем JavaScript-кода, передаваемый клиенту.
Уязвимость в способе декодирования данных, которые посылаются в конечные точки React, позволяла осуществлять удаленное выполнение кода (RCE) без аутентификации. Специально сформированный HTTP-запрос приводил к опасной десериализации.
Этот инцидент стал одним из важнейших событий года на уровне приложений. Уже через 24 часа после публичного раскрытия специалисты по анализу угроз зафиксировали массовые сканирования со стороны китайских APT-групп и ботнетов, направленные на миллионы уязвимых приложений Next.js.
Что могло бы предупредить: Invicti, Mend.io SCA (Software Composition Analysis)
Заключение
По результатам 2025 года зафиксировано значительное количество инцидентов, однако приведенные кейсы отличаются масштабом, количеством пострадавших и влиянием на бизнес и отрасль в целом.
Что реально работает и должно быть внедрено:
- Прозрачность и отчетность: SIEM / XDR / DAM
- Контроль над учетными записями: IAM / PAM / Zero Trust
- Знание своих данных и их защита: DLP / Data Discovery
- Контроль подрядчиков: Supply Chain Security
- Безопасность на этапе разработки: SAST / DAST
