Broadcom выпустила обновление для Avi Load Balancer, закрывающее семь уязвимостей, включая критическую возможность обхода аутентификации

Broadcom

Компания Broadcom (ранее VMware) опубликовала бюллетень безопасности VMSA-2026-0005, касающийся множественных уязвимостей в продукте Avi Load Balancer. Патчи уже доступны для всех затронутых версий. Семь обнаруженных проблем имеют уровень опасности от "важный" до "критический", а оценка CVSSv3 для самой серьёзной из них достигает 9,8 балла из 10. Уязвимости были выявлены исследователями, сотрудничающими с NATO NCSC и Viettel IDC, и переданы производителю в рамках процедуры ответственного раскрытия.

Детали уязвимостей

Центральное место в бюллетене занимает уязвимость CVE-2026-47865, которая позволяет злоумышленнику, имеющему сетевой доступ, обойти механизмы аутентификации и получить контроль над плоскостью управления балансировщика. Эта проблема затрагивает версии Avi Load Balancer 22.1.x, 30.x и 31.x. Для неё не существует временных обходных решений, и она устраняется только установкой исправленной версии контроллера. Наибольший риск связан с тем, что атака может быть проведена удалённо без каких-либо учётных данных, что делает её привлекательной для массовых сканирований и компрометации корпоративной инфраструктуры.

Помимо обхода аутентификации, в продукте обнаружены ещё шесть уязвимостей. CVE-2026-47866 представляет собой обход авторизации: злоумышленник, уже находящийся в сети, может получить доступ к ограниченному подмножеству функций плоскости управления без необходимых разрешений. Две проблемы удалённого выполнения кода - CVE-2026-47867 и CVE-2026-47869 - отличаются векторами атаки. Первая из них эксплуатируется при наличии сетевого доступа к плоскости управления, вторая требует аутентифицированного пользователя с сетевым доступом, но также позволяет инжектировать и выполнять произвольный код. Отдельно стоит CVE-2026-47871, связанная с обходом каталогов: некорректная проверка путей к файлам даёт возможность аутентифицированному участнику сети читать (а в некоторых сценариях и записывать) файлы за пределами разрешённой директории.

Локальная уязвимость повышения привилегий CVE-2026-47868 позволяет пользователю с локальным доступом к системе выполнить код с правами root. Другая уязвимость повышения привилегий CVE-2026-47870 может быть использована удалённо аутентифицированным субъектом для выполнения кода, но её оценка CVSS ниже - 7,1. Объединение этих проблем в цепочку атак потенциально даёт возможность неавторизованному злоумышленнику сначала обойти аутентификацию, затем выполнить код на контроллере и, наконец, закрепиться в инфраструктуре с максимальными привилегиями.

Набор уязвимостей затрагивает все поддерживаемые ветки Avi Load Balancer: начиная с версии 22.1.1 и заканчивая версией 32.1.1. Исключением является ветка 32.1.x: в версии 32.1.1 не воспроизводится критическая уязвимость CVE-2026-47865, однако остальные шесть проблем присутствуют. В версии 32.1.2, которая является актуальной и рекомендованной производителем, устранены все семь уязвимостей. Для ветки 31.x (до 31.2.2) и 30.x (до 30.2.6), а также для 22.1.x (до 22.1.7) критический уровень сохраняется для всех семи CVE.

Broadcom предоставила фиксированные версии для каждой ветки: для версий 22.1.x и 30.x обновление до 30.2.7, для 31.x - до 31.2.2-2p3, а для 32.x - до 32.1.2. Производитель подчёркивает, что пользователям, работающим на версии 22.1.x, необходимо выполнить миграцию как минимум на версию 30.2.7, однако в качестве оптимального варианта рекомендует сразу обновляться до 32.1.2. Обходных путей для всех перечисленных уязвимостей не предусмотрено - единственным способом защиты является установка патча.

Уязвимости в балансировщиках нагрузки представляют особую опасность, поскольку эти устройства часто располагаются на границе сети или на критических маршрутах трафика между компонентами инфраструктуры. Получение контроля над плоскостью управления Avi Load Balancer может позволить атакующему перенаправить трафик, внедрить вредоносную полезную нагрузку в передаваемые данные или полностью парализовать работу обслуживаемых приложений. Для организаций, использующих Avi Load Balancer в качестве части программно-определяемой сети или в облачных средах, последствия могут включать остановку бизнес-процессов и утечку конфиденциальных данных.

Специалистам по информационной безопасности и системным администраторам рекомендуется незамедлительно провести аудит используемых версий Avi Load Balancer и запланировать обновление контроллеров в ближайшее технологическое окно. Поскольку для большинства уязвимостей не требуется сложной аутентификации, откладывать установку патча рискованно: возможна автоматизированная эксплуатация, особенно для CVE-2026-47865 с оценкой 9,8.

Выпуск данного бюллетеня на фоне аналогичных обновлений других производителей сетевого и инфраструктурного ПО подтверждает сохраняющуюся тенденцию: ошибки в компонентах, отвечающих за маршрутизацию и управление трафиком, остаются приоритетной целью для исследователей и злоумышленников. Broadcom продолжает активную работу по устранению подобных проблем, однако основная нагрузка по защите ложится на конечных потребителей, которым необходимо своевременно применять исправления.

Ссылки

Комментарии: 0