Новая угроза в сфере кибербезопасности: обнаружена уязвимость в популярных системах защиты почты. Подробности атаки и способы защиты читайте в статье
Агентство кибербезопасности и защиты инфраструктуры (CISA) предупреждает об активно эксплуатируемой уязвимости внедрения команд Libraesva ESG.
Угроза системам защиты
В конце сентября 2025 года Агентство кибербезопасности и защиты инфраструктуры (CISA) выпустило публичное предупреждение. Злоумышленники активно используют критическую уязвимость внедрения команд в устройствах Libraesva Email Security Gateway (ESG). Брешь известна как CVE-2025-59689, .
Эта уязвимость быстро стала приоритетной целью для злоумышленников из-за простоты её использования и широкого распространения Libraesva ESG как средства защиты электронной почты в корпоративных и государственных инфраструктурах.
Уязвимость позволяет неавторизованным злоумышленникам выполнять произвольные системные команды на поражённых устройствах. Это создаёт серьёзный риск компрометации электронной почты, кражи данных и бокового перемещения внутри сетей.
Первоначальное обнаружение этой уязвимости произошло, когда несколько компаний по кибербезопасности заметили аномальный трафик. Злоумышленники направили активность на публичные устройства ESG в Европе и Северной Америке.
Преступники быстро вооружились эксплойтами. Они использовали простую доставку полезной нагрузки — обычно через специально сформированный HTTP POST-запрос к открытому интерфейсу управления.
Организации, использующие устройства Libraesva ESG для защиты от спама и фишинга, находятся под прямой угрозой. Эксплуатация часто приводит к полному захвату устройства.
Аналитики CISA отметили, что нарушители, использующие CVE-2025-59689, действуют быстро и скрытно. В журналах безопасности остаются минимальные следы.
Как действуют преступники
Исследования показали, что успешная эксплуатация позволяет загружать полезные нагрузки, обеспечивающие удалённый доступ к оболочке, установку дополнительных вредоносных программ и использование устройства ESG как точки для внутренней разведки.
CISA задокументировала несколько случаев, когда злоумышленники устанавливали обратные оболочки для создания постоянных каналов доступа после компрометации.
Механизм заражения в основе CVE-2025-59689 — классическое внедрение команд в ОС. Злоумышленник отправляет специально сформированный запрос к веб-API управления с командами, встроенными в предоставленные пользователем параметры.
Этот механизм показывает, как уязвимость позволяет внешнему актору создать удалённую оболочку непосредственно в системе злоумышленника, минуя средства аутентификации.
Исследователи CISA обнаружили, что многие инциденты произошли из-за отсутствия актуальных обновлений безопасности на устройствах ESG. Это подчёркивает необходимость своевременного обновления.
Процесс эксплуатации Libraesva ESG начинается с внешней доставки полезной нагрузки и завершается выполнением команд и получением контроля злоумышленником.
Продолжающаяся эксплуатация CVE-2025-59689 подчёркивает важность надёжного управления обновлениями и бдительного мониторинга инфраструктуры безопасности на предмет признаков компрометации.

Екатерина Косарева