Top.Mail.Ru

Служба безопасности CISA выявила критическую уязвимость в системах защиты почты Libraesva ESG

Екатерина Косарева

Новая угроза в сфере кибербезопасности: обнаружена уязвимость в популярных системах защиты почты. Подробности атаки и способы защиты читайте в статье

Агентство кибербезопасности и защиты инфраструктуры (CISA) предупреждает об активно эксплуатируемой уязвимости внедрения команд Libraesva ESG.

Угроза системам защиты

В конце сентября 2025 года Агентство кибербезопасности и защиты инфраструктуры (CISA) выпустило публичное предупреждение. Злоумышленники активно используют критическую уязвимость внедрения команд в устройствах Libraesva Email Security Gateway (ESG). Брешь известна как CVE-2025-59689, .

Эта уязвимость быстро стала приоритетной целью для злоумышленников из-за простоты её использования и широкого распространения Libraesva ESG как средства защиты электронной почты в корпоративных и государственных инфраструктурах.

Уязвимость позволяет неавторизованным злоумышленникам выполнять произвольные системные команды на поражённых устройствах. Это создаёт серьёзный риск компрометации электронной почты, кражи данных и бокового перемещения внутри сетей.

Первоначальное обнаружение этой уязвимости произошло, когда несколько компаний по кибербезопасности заметили аномальный трафик. Злоумышленники направили активность на публичные устройства ESG в Европе и Северной Америке.

Преступники быстро вооружились эксплойтами. Они использовали простую доставку полезной нагрузки — обычно через специально сформированный HTTP POST-запрос к открытому интерфейсу управления.

Организации, использующие устройства Libraesva ESG для защиты от спама и фишинга, находятся под прямой угрозой. Эксплуатация часто приводит к полному захвату устройства.

Аналитики CISA отметили, что нарушители, использующие CVE-2025-59689, действуют быстро и скрытно. В журналах безопасности остаются минимальные следы.

Как действуют преступники

Исследования показали, что успешная эксплуатация позволяет загружать полезные нагрузки, обеспечивающие удалённый доступ к оболочке, установку дополнительных вредоносных программ и использование устройства ESG как точки для внутренней разведки.

CISA задокументировала несколько случаев, когда злоумышленники устанавливали обратные оболочки для создания постоянных каналов доступа после компрометации.

Механизм заражения в основе CVE-2025-59689 — классическое внедрение команд в ОС. Злоумышленник отправляет специально сформированный запрос к веб-API управления с командами, встроенными в предоставленные пользователем параметры.

Этот механизм показывает, как уязвимость позволяет внешнему актору создать удалённую оболочку непосредственно в системе злоумышленника, минуя средства аутентификации.

Исследователи CISA обнаружили, что многие инциденты произошли из-за отсутствия актуальных обновлений безопасности на устройствах ESG. Это подчёркивает необходимость своевременного обновления.

Процесс эксплуатации Libraesva ESG начинается с внешней доставки полезной нагрузки и завершается выполнением команд и получением контроля злоумышленником.

Продолжающаяся эксплуатация CVE-2025-59689 подчёркивает важность надёжного управления обновлениями и бдительного мониторинга инфраструктуры безопасности на предмет признаков компрометации.