Корпоративные системы по всему миру, построенные на платформе IBM WebSphere Application Server, оказались под угрозой комплексной атаки. Производитель раскрыл информацию сразу о четырёх "дырах", три из которых позволяют злоумышленнику получить полный контроль над сервером без аутентификации. Серьёзность ситуации подчёркивается тем, что все уязвимости затрагивают актуальные версии продукта - 8.5 и 9.0, а баллы по шкале CVSS варьируются от 8,5 до 9,1.
Детали уязвимостей
Речь идёт о наборе проблем, которые были зафиксированы под идентификаторами CVE-2026-8644, CVE-2026-9311, CVE-2026-9319 и CVE-2026-9330. Все они были опубликованы в конце мая 2026 года. Наибольшую опасность представляет уязвимость CVE-2026-8644, связанная с подменой личности. Её базовый балл по шкале CVSS (методология оценки критичности уязвимостей) составляет 9,1 из 10 - это критический уровень. Причина кроется в ошибке проверки подлинности: злоумышленник может выдать себя за легального пользователя или систему, обойдя стандартные механизмы контроля доступа. Важно отметить, что для эксплуатации этой уязвимости не требуются никакие привилегии или взаимодействие с жертвой - атака может быть проведена удалённо через сеть.
Остальные три уязвимости ведут к удалённому выполнению кода. Это означает, что атакующий может внедрить и запустить на сервере произвольные команды или программы. Механизмы атак различаются, но всех их объединяет один вектор - работа с ненадёжными данными.
Так, уязвимость CVE-2026-9311 связана с обходом механизмов безопасности. В описании CWE (классификация типов уязвимостей) она помечена как CWE-94 - ненадлежащий контроль генерации кода. Простыми словами, хакер может обмануть систему защиты и заставить её выполнить вредоносный код. Балл CVSS для этой проблемы равен 9,0.
Особого внимания заслуживают две уязвимости, связанные с десериализацией (процесс восстановления объекта из бинарного или иного формата для передачи данных) недоверенных данных - CVE-2026-9319 и CVE-2026-9330. Они затрагивают разные компоненты сервера. Первая проявляется при использовании JAX-WS (Java API для веб-сервисов на основе протокола SOAP) с протоколом WS-Security (набор стандартов обеспечения безопасности веб-сервисов). Вторая связана с модулем SAML Web Single Sign-On (протокол единого входа на основе утверждений SAML). В обоих случаях приложение некорректно проверяет данные, которые поступают из сети. Атакующий может отправить специально сформированный HTTP-запрос, содержащий вредоносный сериализованный объект. Если в памяти сервера оказывается подходящий вспомогательный класс (так называемая "цепочка гаджетов"), злоумышленник получает возможность выполнить код.
Разница между этими двумя уязвимостями заключается в уровне сложности атаки. Для эксплуатации CVE-2026-9319 не требуется аутентификация, а её балл достигает 9,0. Для CVE-2026-9330 необходим доступ с минимальными привилегиями, поэтому её оценка несколько ниже - 8,5 балла.
Под угрозой находятся все версии IBM WebSphere Application Server от 8.5.0.0 до 8.5.5.29, а также от 9.0.0.0 до 9.0.5.28 включительно. Учитывая, что WebSphere является одной из ключевых платформ для развёртывания корпоративных Java-приложений, потенциальный круг жертв чрезвычайно широк. В зону риска попадают банковские системы, государственные информационные системы, телекоммуникационные компании и промышленные предприятия.
Технические детали эксплуатации сложны, но это не должно успокаивать. Опасность кроется в том, что любая из этих уязвимостей может быть использована для полного захвата управления над сервером. В случае с удалённым выполнением кода хакер может не только похитить данные, но и установить программы-вымогатели, внедрить бэкдор для длительного присутствия в сети или использовать скомпрометированный узел как точку входа для атаки на соседние системы.
Подмена личности, в свою очередь, создаёт риск несанкционированного доступа к критически важным функциям. Злоумышленник, выдающий себя за администратора или доверенный сервис, может изменить конфигурацию, отключить защитные механизмы и скрыть следы своего присутствия.
IBM уже выпустила временные исправления, которые закрывают каждую из уязвимостей. Для версии 8.5 необходимо применить APAR (запрос на временное исправление) PH71422 (для CVE-2026-8644), PH71453 (для CVE-2026-9311 и CVE-2026-9330) и PH71454 (для CVE-2026-9319). Для версии 9.0 требуются те же самые патчи, так как уязвимости одинаковы для обеих веток. Производитель также анонсировал выход полных пакетов обновлений - Fix Pack 8.5.5.30 и 9.0.5.29 - которые станут доступны в третьем квартале 2026 года.
Администраторам настоятельно рекомендуется не откладывать установку временных исправлений. Пока нет доказательств активной эксплуатации этих уязвимостей в реальных атаках, но практика показывает, что публикация бюллетеня безопасности часто становится триггером для злоумышленников, которые начинают охоту за уязвимыми системами.
В качестве временной меры защиты до применения патча можно рассмотреть ограничение доступа к уязвимым компонентам по сети. Однако единственным надёжным решением остаётся обновление программного обеспечения. Особенно это касается уязвимости подмены личности, где механизм атаки использует базовые функции аутентификации и не требует сложных предварительных условий.
Ссылки
- https://www.ibm.com/support/pages/node/7274733
- https://www.ibm.com/support/pages/node/7274738
- https://www.ibm.com/support/pages/node/7274740
- https://www.cve.org/CVERecord?id=CVE-2026-8644
- https://www.cve.org/CVERecord?id=CVE-2026-9311
- https://www.cve.org/CVERecord?id=CVE-2026-9319
- https://www.cve.org/CVERecord?id=CVE-2026-9330
