Один PDF — и компьютер взломан. Дыра в Adobe Acrobat стала оружием против российского нефтегаза
NewsMakerPositive Technologies включила четыре уязвимости в майский дайджест трендовых угроз.
Positive Technologies включила в майский дайджест четыре уязвимости, которые уже используют в атаках или быстро могут превратиться в массовую проблему для администраторов. В список попали недостатки в Microsoft SharePoint Server , криптографической подсистеме ядра Linux, Apache ActiveMQ Classic и Adobe Acrobat Reader .
Уязвимость PT-2026-32853 , также известная как CVE-2026-32201 , затрагивает Microsoft SharePoint Server и получила 6,5 балла по шкале CVSS. Microsoft предупредила , что проблему уже использовали в реальных атаках. Исследователи Defused связали возможную эксплуатацию с кампанией против серверов SharePoint, которая проходила с 1 по 11 апреля 2026 года.
Под угрозой находятся организации, использующие Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 и Microsoft SharePoint Enterprise Server 2016 . Особенно рискованной остается конфигурация, при которой серверы SharePoint доступны из внешней сети.
Недостаток позволяет неаутентифицированному злоумышленнику удаленно подменять данные, передаваемые по сети. Microsoft не раскрывает детали эксплуатации, но эксперты предполагают , что атакующий может внедрять вредоносный JavaScript-код в ответы сервера. В результате злоумышленник получает возможность подменять легитимный контент, просматривать конфиденциальную информацию или менять отображаемые данные.
Microsoft закрыла уязвимость в рамках апрельского набора исправлений. Администраторам рекомендуют установить обновления безопасности , а в качестве временной меры ограничить удаленный доступ к уязвимым системам средствами межсетевого экранирования.
Вторая проблема, PT-2026-34274 или CVE-2026-31431 , связана с криптографическим API ядра Linux и получила 7,8 балла по шкале CVSS. Уязвимость Copy Fail затрагивает компонент AF_ALG и позволяет локальному непривилегированному пользователю повысить права до root.
После успешной эксплуатации злоумышленник может получить полный контроль над системой: читать и менять любые файлы, включая пароли и ключи, подменять системные компоненты, отключать защитные механизмы, устанавливать бэкдоры и скрывать следы активности. Эксплуатацию подтвердили на актуальных версиях популярных дистрибутивов Linux, включая Ubuntu, Amazon Linux, RHEL и SUSE.
Администраторам рекомендуют обновить ядро Linux до исправленных версий 6.18.22 , 6.19.12 или 7.0 . В качестве дополнительной меры исследователи советуют отключить модуль algif_aead, если компонент не нужен в рабочей инфраструктуре.
Третья уязвимость, PT-2026-30805 или CVE-2026-34197 , затрагивает Apache ActiveMQ Classic и получила 8,8 балла по шкале CVSS. По данным Shadowserver Foundation , более 7000 серверов Apache ActiveMQ остаются уязвимыми. Fortinet FortiGuard Labs зафиксировала начало эксплуатации в реальных атаках 13 апреля.
Проблема связана с недостаточной проверкой входных данных и неконтролируемой генерацией кода. В совокупности ошибки позволяют злоумышленнику внедрять и выполнять произвольные команды на уязвимом сервере ActiveMQ Classic.
После успешной атаки злоумышленник может получить полный контроль над сервером, украсть сообщения, учетные данные или конфигурационные файлы, установить вредоносное ПО и использовать скомпрометированную систему как точку входа во внутреннюю инфраструктуру.
Пользователям ActiveMQ Classic рекомендуют перейти на версии Apache ActiveMQ 5.19.4 или 6.2.3 . Дополнительно стоит отключить Jolokia , если компонент не используется, закрыть порт 8161 от внешнего доступа, заменить стандартные учетные данные администратора, ограничить доступ к веб-интерфейсу управления внутренней сетью и проверить журналы на подозрительные вызовы addConnector.
Четвертая уязвимость, PT-2026-32093 или CVE-2026-34621 , затрагивает Adobe Acrobat Reader, Acrobat DC и Acrobat 2024 для Windows и macOS. Недостаток получил 8,6 балла по шкале CVSS и позволяет удаленно выполнить произвольный код после открытия специально подготовленного PDF-документа.
Adobe подтвердила , что CVE-2026-34621 уже использовали в реальных атаках. По данным исследователей , эксплуатация могла идти как минимум с ноября 2025 года. Также сообщалось о вредоносных PDF-документах с приманками на русском языке, связанными с событиями в нефтегазовой отрасли России. Такой набор признаков может указывать на целевые атаки против российских организаций.
Вредоносный PDF мог скрытно читать файлы на уязвимой системе, передавать конфиденциальные данные на сервер злоумышленников и загружать дополнительные вредоносные скрипты для развития атаки. Для запуска цепочки пользователю достаточно было открыть подготовленный документ в уязвимой версии программы.
Adobe выпустила экстренные обновления безопасности . Пользователям Acrobat Reader и Acrobat рекомендуют установить последние версии через встроенную проверку обновлений Help > Check for Updates, автообновление или официальный установщик Adobe. До установки исправлений PDF-файлы из внешних источников лучше открывать только после дополнительной проверки.
Positive Technologies включила в майский дайджест четыре уязвимости, которые уже используют в атаках или быстро могут превратиться в массовую проблему для администраторов. В список попали недостатки в Microsoft SharePoint Server , криптографической подсистеме ядра Linux, Apache ActiveMQ Classic и Adobe Acrobat Reader .
Уязвимость PT-2026-32853 , также известная как CVE-2026-32201 , затрагивает Microsoft SharePoint Server и получила 6,5 балла по шкале CVSS. Microsoft предупредила , что проблему уже использовали в реальных атаках. Исследователи Defused связали возможную эксплуатацию с кампанией против серверов SharePoint, которая проходила с 1 по 11 апреля 2026 года.
Под угрозой находятся организации, использующие Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 и Microsoft SharePoint Enterprise Server 2016 . Особенно рискованной остается конфигурация, при которой серверы SharePoint доступны из внешней сети.
Недостаток позволяет неаутентифицированному злоумышленнику удаленно подменять данные, передаваемые по сети. Microsoft не раскрывает детали эксплуатации, но эксперты предполагают , что атакующий может внедрять вредоносный JavaScript-код в ответы сервера. В результате злоумышленник получает возможность подменять легитимный контент, просматривать конфиденциальную информацию или менять отображаемые данные.
Microsoft закрыла уязвимость в рамках апрельского набора исправлений. Администраторам рекомендуют установить обновления безопасности , а в качестве временной меры ограничить удаленный доступ к уязвимым системам средствами межсетевого экранирования.
Вторая проблема, PT-2026-34274 или CVE-2026-31431 , связана с криптографическим API ядра Linux и получила 7,8 балла по шкале CVSS. Уязвимость Copy Fail затрагивает компонент AF_ALG и позволяет локальному непривилегированному пользователю повысить права до root.
После успешной эксплуатации злоумышленник может получить полный контроль над системой: читать и менять любые файлы, включая пароли и ключи, подменять системные компоненты, отключать защитные механизмы, устанавливать бэкдоры и скрывать следы активности. Эксплуатацию подтвердили на актуальных версиях популярных дистрибутивов Linux, включая Ubuntu, Amazon Linux, RHEL и SUSE.
Администраторам рекомендуют обновить ядро Linux до исправленных версий 6.18.22 , 6.19.12 или 7.0 . В качестве дополнительной меры исследователи советуют отключить модуль algif_aead, если компонент не нужен в рабочей инфраструктуре.
Третья уязвимость, PT-2026-30805 или CVE-2026-34197 , затрагивает Apache ActiveMQ Classic и получила 8,8 балла по шкале CVSS. По данным Shadowserver Foundation , более 7000 серверов Apache ActiveMQ остаются уязвимыми. Fortinet FortiGuard Labs зафиксировала начало эксплуатации в реальных атаках 13 апреля.
Проблема связана с недостаточной проверкой входных данных и неконтролируемой генерацией кода. В совокупности ошибки позволяют злоумышленнику внедрять и выполнять произвольные команды на уязвимом сервере ActiveMQ Classic.
После успешной атаки злоумышленник может получить полный контроль над сервером, украсть сообщения, учетные данные или конфигурационные файлы, установить вредоносное ПО и использовать скомпрометированную систему как точку входа во внутреннюю инфраструктуру.
Пользователям ActiveMQ Classic рекомендуют перейти на версии Apache ActiveMQ 5.19.4 или 6.2.3 . Дополнительно стоит отключить Jolokia , если компонент не используется, закрыть порт 8161 от внешнего доступа, заменить стандартные учетные данные администратора, ограничить доступ к веб-интерфейсу управления внутренней сетью и проверить журналы на подозрительные вызовы addConnector.
Четвертая уязвимость, PT-2026-32093 или CVE-2026-34621 , затрагивает Adobe Acrobat Reader, Acrobat DC и Acrobat 2024 для Windows и macOS. Недостаток получил 8,6 балла по шкале CVSS и позволяет удаленно выполнить произвольный код после открытия специально подготовленного PDF-документа.
Adobe подтвердила , что CVE-2026-34621 уже использовали в реальных атаках. По данным исследователей , эксплуатация могла идти как минимум с ноября 2025 года. Также сообщалось о вредоносных PDF-документах с приманками на русском языке, связанными с событиями в нефтегазовой отрасли России. Такой набор признаков может указывать на целевые атаки против российских организаций.
Вредоносный PDF мог скрытно читать файлы на уязвимой системе, передавать конфиденциальные данные на сервер злоумышленников и загружать дополнительные вредоносные скрипты для развития атаки. Для запуска цепочки пользователю достаточно было открыть подготовленный документ в уязвимой версии программы.
Adobe выпустила экстренные обновления безопасности . Пользователям Acrobat Reader и Acrobat рекомендуют установить последние версии через встроенную проверку обновлений Help > Check for Updates, автообновление или официальный установщик Adobe. До установки исправлений PDF-файлы из внешних источников лучше открывать только после дополнительной проверки.