Агентство кибербезопасности и инфраструктурной безопасности США (CISA) расширило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities), включив в него две новые критически важные проблемы. Этот каталог служит для специалистов по информационной безопасности ориентиром, указывающим на дефекты, которые уже используются злоумышленниками в реальных атаках, что делает их приоритетными для устранения. Новые добавления - это уязвимость в GitLab, позволяющая осуществлять поддельные межсайтовые запросы (SSRF), и критическая проблема в продукте Dell для аварийного восстановления виртуальных машин, связанная с использованием жёстко заданных учётных данных. Факт активной эксплуатации означает, что организации, использующие уязвимое программное обеспечение, уже могут находиться под прицелом или даже быть скомпрометированы.
Детали уязвимостей
Первая из добавленных уязвимостей, идентифицированная как CVE-2021-22175, затрагивает платформу DevOps GitLab. Её суть заключается в возможности атаки типа «подделка запроса на стороне сервера» (Server-Side Request Forgery, SSRF). Данная уязвимость позволяет неавторизованному злоумышленнику заставить сервер GitLab выполнить несанкционированный запрос к внутренним ресурсам корпоративной сети. Особенность этой конкретной реализации в том, что её можно было эксплуатировать даже на экземплярах GitLab с отключённой регистрацией новых пользователей, при условии, что функционал веб-перехватчиков (webhooks), выполняющих запросы к внутренней сети, был активирован. Это серьёзно расширяет потенциальный круг жертв. Уязвимость присутствовала во всех версиях GitLab, начиная с 10.5 и вплоть до исправлений в релизах 13.6.7, 13.7.7 и 13.8.4. Несмотря на то что её базовый рейтинг CVSS v3.1 составляет 6.8 (средний уровень), факт её активной эксплуатации в природе повышает практическую опасность. Злоумышленники могут использовать SSRF для сканирования внутренней сети, получения доступа к данным конфигурационных файлов или взаимодействия с внутренними сервисами, которые не должны быть доступны извне.
Вторая и гораздо более опасная уязвимость получила идентификатор CVE-2026-22769 и обнаружена в решении Dell RecoverPoint for Virtual Machines (RP4VMs), предназначенном для защиты и аварийного восстановления виртуальных сред. Проблема классифицируется как использование жёстко заданных (зашитых в код) учётных данных (CWE-798). Это означает, что в продукте существует скрытая учётная запись с предсказуемым паролем, известным злоумышленникам. Удалённый атакующий, не требующий аутентификации и обладающий этими данными, может получить полный контроль над операционной системой, на которой развёрнуто решение Dell, и закрепиться в ней на уровне root. Уязвимость оценивается максимальным баллом 10.0 по шкале CVSS v3.1 и затрагивает все версии RecoverPoint for Virtual Machines вплоть до 6.0.3.1 HF1. Критичность этой ситуации трудно переоценить, поскольку компрометация системы, отвечающей за восстановление после сбоев, даёт злоумышленникам беспрецедентный уровень контроля и возможности для саботажа. Они могут не только похитить резервные копии критически важных данных, но и намеренно повредить их или сделать недоступными в самый нужный момент, что фактически парализует процессы восстановления предприятия после инцидента.
Включение этих уязвимостей в каталог KEV агентства CISA - это не просто формальность, а прямой сигнал к действию, основанный на данных разведки угроз. Эксплуатация CVE-2021-22175 позволяет злоумышленникам, часто связанным с группировками продвинутой постоянной угрозы (APT), использовать GitLab как точку входа для последующего перемещения по корпоративной сети в рамках сложных многоэтапных атак. Что касается уязвимости в Dell, то её наличие в продукте для аварийного восстановления представляет собой стратегическую угрозу, поскольку напрямую атакует последнюю линию обороны организации - возможность восстановить работоспособность после киберинцидента. Это идеальная цель для атакующих, мотивированных финансовой выгодой (например, авторами программ-вымогателей) или желанием нанести максимальный операционный ущерб.
Таким образом, рекомендации для специалистов по информационной безопасности чётко вытекают из анализа этих угроз. Во-первых, необходимо незамедлительно проверить все используемые экземпляры GitLab на предмет применения обновлений до версий 13.6.7, 13.7.7, 13.8.4 или новее. Кроме того, стоит пересмотреть конфигурацию веб-перехватчиков и ограничить их возможность обращаться к внутренним сетевым ресурсам, если в этом нет прямой необходимости. Во-вторых, организациям, использующим Dell RecoverPoint for Virtual Machines, критически важно как можно скорее обновить продукт до версии 6.0.3.1 HF1 или установить соответствующий патч, предоставленный вендором. До момента применения исправления следует, по возможности, ограничить сетевой доступ к интерфейсам управления данным решением, поместив их в изолированные сегменты сети. В свою очередь, постоянный мониторинг сетевого трафика и подозрительной активности на системах, содержащих жёстко заданные учётные данные, может помочь в раннем обнаружении попыток вторжения. В конечном итоге, оперативное реагирование на предупреждения авторитетных органов, таких как CISA, и своевременное управление уязвимостями остаются краеугольным камнем эффективной стратегии кибербезопасности в условиях постоянно эволюционирующего ландшафта угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-22769
- https://www.cve.org/CVERecord?id=CVE-2021-22175
- https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079
- https://gitlab.com/gitlab-org/gitlab/-/issues/294178
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22175.json
- https://hackerone.com/reports/1059596
