ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — атака на цепочку поставок npm-пакетов SAP, уязвимость Dirty Frag позволяет повысить привилегии в дистрибутивах Linux, в библиотеке vm2 для Node.js обнаружена серия критических уязвимостей, Apache выпустил патч для уязвимостей, Palo Alto Networks предупреждает о критической уязвимости в PAN-OS.

Атака на цепочку поставок npm-пакетов SAP

В результате атаки на цепочку поставок SAP были скомпрометированы четыре официальных npm-пакета для кражи учетных данных и токенов (@cap-js/sqlite - v2.2.2, @cap-js/postgres - v2.2.2, @cap-js/db-service - v2.10.1, mbt@1.2.48). В скомпрометированные релизы был добавлен скрипт предварительной установки preinstall, который запускает обфусцированный код для хищения данных из систем разработчиков и CI/CD, в том числе токены, ключи SSH и облачные учетные информация. Вредоносное ПО также пытается извлечь секреты напрямую из памяти CI-раннеров, шифрует их и загружает в GitHub-репозитории. Исследователи связывают атаку с TeamPCP, которые использовали аналогичный код и тактику в предыдущих атаках на цепочки поставок против Bitwarden CLI, Checkmarx KICS/AST, Aqua Security Trivy, Telnyx и LiteLLM. До подтверждения технических подробностей разработчикам рекомендуется избегать установки затронутых версий, обновить потенциально раскрытые учетные данные и проверить журналы CI/CD на наличие подозрительной активности.

Уязвимость Dirty Frag позволяет повысить привилегии в дистрибутивах Linux

В ядре Linux обнаружена новая 0-day-уязвимость Dirty Frag, которая существует около девяти лет и затрагивает большинство популярных дистрибутивов, включая Ubuntu, RHEL, openSUSE Tumbleweed, CentOS Stream, AlmaLinux и Fedora. Dirty Frag объединяет две отдельные уязвимости ядра — записи в страничный кэш xfrm-ESP (CVE-2026-43284, CVSS: 8.8) и записи в страничный кэш RxRPC (CVE-2026-43500, CVSS: 7.8). Dirty Frag описывается как продолжение недавно обнаруженной уязвимости локального повышения привилегий Copy Fail (CVE-2026-31431, CVSS: 7.8), связанной с логической ошибкой в криптографической подсистеме ядра Linux, а именно в модуле algif_aead и позволяющей помещать страницы кэша страниц в список доступных для записи целевых объектов. Это позволяет злоумышленнику изменять защищённые системные файлы прямо в памяти и повышать привилегии до уровня root. Патч для ESP-части Dirty Frag добавлен в код ядра (f4c50a4034e6). Для защиты систем пользователи Linux могут использовать специальную команду. Тем не менее данный способ приведет к жёсткому отключению IPsec и AFS на хосте, что должно явно приниматься во внимание относительно production-инфраструктуры:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true",

Напомним, что пока не будет выполнено апдейт, в качестве временной меры по смягчению последствий Copy Fail рекомендуется выключить algif_aead-модуль ядра на всех затронутых системах, выполнив команду:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

 rmmod algif_aead 2>/dev/null || true

В библиотеке vm2 для Node.js обнаружена серия критических уязвимостей

В vm2, популярной библиотеке Node.js с открытым исходным кодом, обнаружена критическая уязвимость CVE-2026-26956 (CVSS: 9.8), которая даёт возможность обойти песочницу и выполнить произвольный исходник в хост-системе. Эта задача связана с ошибочной обработкой исключений WebAssembly, которые перехватывают ошибки на уровне движка V8, обходя JavaScript-защиту vm2. Помимо этого, в библиотеке выявлено еще приблизительно десятка критических уязвимостей (в том числе CVE-2026-24118, CVE-2026-24120, CVE-2026-24781 CVE-2026-26332, CVE-2026-26956, CVE-2026-44008, CVE-2026-44009 с CVSS: 9.8, CVE-2026-44007 с CVSS: 9.1, CVE-2026-43999 с CVSS: 9.9, CVE-2026-44005, CVE-2026-44006 с CVSS: 10.0), которые равным образом позволяют выйти из песочницы через такие механизмы, как lookupGetter, SuppressedError, neutralizeArraySpeciesBatch и null-протокол. Все перечисленные уязвимости затрагивают версии vm2 до 3.11.1 включительно и уже имеют публичные эксплойты. Пользователям настоятельно рекомендуется немедленно обновиться до версии 3.11.2, в которой все эти проблемы исправлены.

Apache выпустил патч для уязвимостей

Apache Software Foundation (ASF) выпустил обновления безопасности для устранения ряда уязвимостей в HTTP-сервере, которые затрагивают предыдущие версии. Одна из уязвимостей в модуле mod_http2 получила идентификатор CVE-2026-23918 (CVSS 8.8) и вызвана тем, что приложение ошибочно дважды очищает одну и ту же область памяти, когда заказчик отправляет два специальных кадра (HEADERS и RST_STREAM) до того, как сервер успеет их должным образом обработать. Такая ошибка даёт злоумышленнику возможность вызвать отказ в обслуживании (DoS) и удалённо выполнить свой исходник на атакуемом сервере (RCE). Пользователям настоятельно рекомендуется немедленно обновиться до Apache HTTP Server 2.4.67.

Palo Alto Networks предупреждает о критической уязвимости в PAN-OS

Компания Palo Alto Networks выпустила предупреждение о критической уязвимости в портале аутентификации пользователей PAN-OS (Captive Portal). Уязвимость, получившая обозначение CVE-2026-0300 (CVSS: 9.3), связана с переполнением буфера и позволяет неавторизованным злоумышленникам выполнять произвольный исходник с правами root на межсетевых экранах PA-Series и VM-Series, доступных из интернета. Организация зафиксировала ограниченные случаи эксплуатации данной уязвимости через ненадежные IP-адреса и публичный интернет. Клиенты, которые ограничили доступ к порталу только доверенными внутренними сетями, не подвергаются значительному риску. До выпуска патча настоятельно рекомендуется ограничить доступ к порталу доверенными зонами или выключить его.