Две критические уязвимости в Apache MINA: удаленное выполнение кода без аутентификации

Фреймворк для построения высокопроизводительных сетевых приложений на Java получил сразу два опасных обновления. Специалисты по информационной безопасности зафиксировали критические изъяны в библиотеке Apache MINA, которые позволяют злоумышленнику удаленно выполнить произвольный код. Обе уязвимости уже подтверждены производителем и получили максимальные оценки опасности. ФСТЭК России внесла в Банк данных угроз безопасности информации (BDU) записи о двух новых уязвимостях. Первая из них, зарегистрированная под номером BDU:2026-06345 (CVE-2026-41409), затрагивает функцию IoBuffer.getObject() в составе Apache MINA. Уязвимость связана с некорректной обработкой данных при десериализации - процессе восстановления объектов Java из последовательности байтов. Вторая проблема, BDU:2026-06347 (CVE-2026-42778), также относится к десериализации, но имеет более широкий охват версий.

Детали уязвимостей

Обе уязвимости имеют статус "критический уровень опасности". Базовая оценка CVSS 2.0 составляет максимальные 10 баллов. По версии CVSS 3.1 оценка достигает 9,8 балла из десяти возможных. Это означает, что атака не требует никаких привилегий или действий со стороны пользователя. Нарушителю достаточно отправить специально сформированный вредоносный пакет на сервер.

Первая уязвимость, которой присвоен идентификатор BDU:2026-06345, затрагивает версии Apache MINA с 2.0.0 по 2.0.27 включительно, с 2.1.0 по 2.1.10 и с 2.2.0 по 2.2.5. Проблема кроется в методе IoBuffer.getObject(), используемом при передаче данных между сетевыми узлами. Из-за отсутствия проверок вредоносных данных злоумышленник может манипулировать структурами данных и внедрить самодельную полезную нагрузку, которая исполнится на стороне сервера. Вторая уязвимость, BDU:2026-06347, является более масштабной. Она затрагивает все версии до 2.2.7 и до 2.1.12. При этом производитель уже выпустил исправления, и обновленное программное обеспечение доступно для загрузки. Оказалось, что проблема десериализации затрагивает базовые механизмы фреймворка, а не только отдельную функцию. Обе уязвимости относятся к категории CWE-502 (восстановление в памяти недостоверных данных). Это классическая ошибка, когда приложение восстанавливает объекты из потока байтов, не проверяя их происхождение и целостность. В мире Java подобные уязвимости считаются одними из самых опасных, потому что позволяют выполнить произвольный код.

Apache MINA используется для создания масштабируемых сетевых сервисов - от чат-серверов до систем мониторинга и промышленного оборудования. Фреймворк популярен в финансовом секторе, телекоммуникациях и государственных информационных системах. По данным из открытых источников, библиотека применяется в продуктах ряда крупных вендоров, включая системы управления базами данных и серверы приложений.

Уязвимость не требует аутентификации, вектор атаки - удаленный. Это значит, что любой компьютер, подключенный к сети, может стать источником угрозы. Достаточно отправить специально сформированные данные на порт уязвимого сервиса. В случае успешной атаки злоумышленник получает полный контроль над сервером. Он может похитить конфиденциальные данные, изменить рабочие процессы или полностью остановить работу системы. Учитывая, что Apache MINA часто используется как основа для критически важных приложений, последствия могут быть катастрофическими для бизнеса.

Речь идет о потенциальных остановках производственных линий, блокировке банковских транзакций или утечках персональных данных миллионов граждан. Если атака будет направлена на государственные информационные системы, это может привести к нарушению работы целых ведомств.

Производитель уже выпустил обновления, устраняющие обе уязвимости. Ссылки на патчи опубликованы на официальном сайте Apache Software Foundation. Для версий линейки 2.2.x рекомендуется обновление до версии 2.2.6 и выше, для версий 2.1.x - до 2.1.11 и выше. Для двухлетних веток 2.0.x обновление не выпускалось - пользователям настоятельно рекомендуется перейти на актуальные версии второй или третьей линейки.

Администраторам серверов стоит провести инвентаризацию используемого программного обеспечения и проверить, какая версия Apache MINA развернута в инфраструктуре. Если используется одна из уязвимых сборок, требуется немедленное обновление. В случае невозможности оперативного патча следует рассмотреть возможность изоляции уязвимого сервера от внешних сетей или ограничения доступа к нему с помощью межсетевых экранов.

Эксперты по информационной безопасности рекомендуют также провести аудит конфигураций на предмет использования дополнительных защитных механизмов, таких как системы обнаружения вторжений и системы предотвращения вторжений. Важно помнить, что уязвимости десериализации часто остаются незамеченными при стандартных сканированиях.

Уязвимости класса CWE-502 регулярно попадают в топ самых критических. В 2024 и 2025 годах схожие проблемы были обнаружены в библиотеках Log4j, Jackson и Spring Framework. Каждый раз производители выпускали срочные исправления, а администраторы спешили обновить тысячи серверов. История показывает, что подобные уязвимости активно эксплуатируются злоумышленниками в течение нескольких недель после публикации. Специалисты по кибербезопасности советуют не откладывать обновление на потом.