В ноябре выявлены три серьезные угрозы: критические уязвимости в WordPress и Grafana Enterprise, позволяющие получить контроль над системами, а также масштабная атака на npm, которая может привести к полному уничтожению данных. В регулярном дайджесте подробнее рассказываем о рисках и как от них защититься.
Критическая уязвимость в W3 Total Cache: полный контроль над сайтом через комментарии
В популярном плагине WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501. Она позволяет выполнять произвольные PHP-команды на сервере без аутентификации и получить полный контроль над сайтом. Уязвимость затрагивает все версии плагина до 2.8.13.
Уязвимость связана с функцией _parse_dynamic_mfunc(), которая обрабатывает динамические вызовы функций в кешированном контенте. Для атаки достаточно оставить на сайте специально подготовленный комментарий с вредоносной нагрузкой — плагин выполнит содержащиеся в нем PHP-команды.
Чтобы защититься:
- обновите W3 Total Cache до версии 2.8.13;
- если обновление невозможно, деактивируйте плагин;
- в качестве дополнительной меры отключите комментарии на сайте или включите их премодерацию.
Разработчики выпустили исправление 20 октября 2025 года, но сотни тысяч сайтов до сих пор остаются уязвимыми. Исследователи намеренно отложили публикацию PoC-эксплоита до 24 ноября, чтобы администраторы успели обновить системы.
Критическая уязвимость в Grafana Enterprise позволяет получить права администратора
В Grafana Enterprise обнаружена критическая уязвимость CVE-2025-41115 (CVSS 10/10), позволяющая злоумышленнику выдать себя за администратора или другого пользователя системы. CVE-2025-41115 затрагивает Grafana Enterprise версий 12.0.0–12.2.1.
Атака работает, если включена функция SCIM provisioning (опции enableSCIM и user_sync_enabled установлены в true). В этом случае вредоносный SCIM-клиент может создать пользователя с числовым externalId, который Grafana соотносит с внутренним идентификатором user.uid. Такая подмена позволяет получить права администратора или другого привилегированного пользователя.
Для защиты необходимо как можно скорее обновить Grafana Enterprise до версии 12.3.0 или патчевых релизов 12.2.1, 12.1.3, 12.0.6. В качестве временной меры рекомендуется отключить SCIM provisioning. Уязвимость в Grafana была обнаружена и устранена 4 ноября 2025 года. По данным компании, злоумышленники не использовали её в атаках на облачный сервис Grafana Cloud.
Опасная атака на npm: Sha1-Hulud крадёт данные и уничтожает файлы
Специалисты по ИБ обнаружили волну атак Sha1-Hulud на реестр npm, которая затронула уже более 25 000 репозиториев. Принцип её работы напоминает атаку Shai-Hulud, выявленную ранее в 2025 году. Но новый вредонос может не только красть учётную информацию и получать контроль над системами, но и даёт возможность полностью удалять данные на заражённых устройствах.
Как работает атака Sha1-Hulud на npm:
- Злоумышленники добавляют в пакеты вредоносный скрипт preinstall, который выполняется автоматически при установке пакета. Этот скрипт обнаруживает или устанавливает среду Bun.
- Запускается вложенный вредоносный код, который регистрирует заражённую машину как GitHub self-hosted runner с именем SHA1HULUD.
- Далее создаётся и добавляется в репозиторий вредоносный GitHub workflow (например, .github/workflows/discussion.yaml) с уязвимостью внедрения команд. Этот workflow позволяет злоумышленникам запускать произвольные команды на runner.
- Вредоносный код запускает утилиту TruffleHog для локального сканирования машины на предмет поиска токенов npm, ключей облачных платформ AWS, GCP, переменных окружения и других секретов.
- Workflow собирает все секреты из GitHub Secrets и сохраняет их в файл actionsSecrets.json, который скачивается обратно на заражённую машину. Workflow удаляется для сокрытия следов.
Собранные секреты и конфиденциальные данные отправляются злоумышленникам, в том числе создаётся публичный репозиторий Shai-Hulud с украденными данными от имени жертвы.
Если вредонос не может получить доступ к токенам или аутентифицироваться в GitHub (или получить npm токены), запускается функция уничтожения всех доступных для записи файлов в домашнем каталоге (wiper). Для повышения привилегий вирус пытается получить root-доступ через Docker, монтируя корневую файловую систему в привилегированном контейнере и копируя вредоносный файл sudoers для беспарольного доступа. Подробнее о механизме атаки и её рисках рассказывали в нашей статье на Хабре.
Как защититься:
- просканировать все конечные точки на наличие заражённых пакетов и немедленно удалить их;
- обновить все учётные данные и проверить репозитории на наличие подозрительных файлов workflow, таких как shai-hulud-workflow.yml;
- внимательно следить за необычными ветками и действиями в .github/workflows для выявления скрытого заражения.
Возможно, вам будет интересно
