Корпорация IBM выпустила срочный бюллетень безопасности, в котором описана целая серия уязвимостей в её ключевых продуктах для управления доступом - IBM Verify Identity Access и IBM Security Verify Access. Эти недостатки затрагивают как критически важные сторонние компоненты, так и внутренние механизмы программного обеспечения, подвергая организации рискам, начиная от удалённой кражи данных и заканчивая полным захватом контроля над системой. Для администраторов и специалистов по информационной безопасности данное предупреждение является сигналом к немедленной оценке угроз и укреплению инфраструктуры аутентификации, которая часто служит краеугольным камнем всей корпоративной защиты.
Детали уязвимостей
Самой серьёзной из выявленных проблем признана критическая уязвимость переполнения буфера, получившая идентификатор CVE-2026-1188 и максимально высокий балл опасности CVSS 9.8. Она существует в компоненте портовой библиотеки Eclipse OMR. Ошибка, связанная с некорректным размером буфера при обработке характеристик процессора, позволяет удалённому злоумышленнику выполнить произвольный код на атакуемом сервере или вызвать отказ в обслуживании (Denial of Service, DoS), что парализует работу системы. Ещё одна масштабная угроза исходит от уязвимости повышения привилегий (CVE-2026-1346, CVSS 9.3) внутри контейнерной версии IBM Security Verify Access. Локально аутентифицированный пользователь может воспользоваться этой ошибкой, вызванной выполнением процессов с избыточными правами, и в конечном итоге получить на системе уровень доступа root, то есть полный контроль.
Помимо этого, обнаружена высокоуровневая слабость в криптографии (CVE-2023-46233, CVSS 9.1), затрагивающая библиотеку crypto-js, которую используют данные продукты. Программное обеспечение по умолчанию применяет устаревший алгоритм SHA1 и всего одну итерацию для функции формирования ключа PBKDF2, что делает шифрование существенно слабее современных отраслевых стандартов. Это подвергает защиту паролей и генерируемые цифровые подписи риску атак на поиск прообраза (preimage attacks) и коллизий, потенциально позволяя злоумышленникам восстановить исходные данные или подделать подпись.
Целый ряд других уязвимости высокой степени опасности нацелен непосредственно на основные механизмы безопасности приложения. Например, ошибка CVE-2026-4101 позволяет в определённых условиях высокой нагрузки полностью обойти процедуру аутентификации и получить несанкционированный доступ к приложению. Уязвимость внедрения команд операционной системы (CVE-2026-1345), возникающая из-за недостаточной проверки вводимых данных, даёт возможность неаутентифицированным пользователям выполнять произвольные команды ОС, правда, с пониженными привилегиями. Отдельную опасность представляет уязвимость подделки межсайтовых запросов (Server-Side Request Forgery, SSRF, CVE-2026-1343), с помощью которой удалённый атакующий может обойти обратный прокси-сервер и напрямую обращаться к внутренним конечным точкам аутентификации. Проблемы, связанные с контрабандой HTTP-запросов (HTTP Request Smuggling, CVE-2026-2862, CVE-2026-1491), возникают из-за неконсистентной интерпретации запросов обратным прокси. Это может позволить удалённому злоумышленнику получить доступ к высокочувствительной информации, которая в нормальных условиях должна быть надёжно изолирована.
Бюллетень также описывает несколько уязвимостей в компонентах Java SE (CVE-2026-21945, CVE-2026-21932). Они позволяют удалённым атакующим потреблять неконтролируемые ресурсы системы, обходить ограничения безопасности и несанкционированно изменять доступные данные. Не остались без внимания и векторы атак со стороны клиента. Несколько уязвимость межсайтового выполнения сценариев (Cross-Site Scripting, XSS, CVE-2025-12635, CVE-2026-4364) позволяют злоумышленникам внедрять вредоносный код JavaScript. Одна из таких ошибок, например, обманывает браузер, заставляя его исполнять скрипты из JSON-данных из-за некорректно выставленного заголовка ответа "Content-Type: text/html". Уязвимость открытого перенаправления (Open Redirect, CVE-2026-2475) также открывает возможности для проведения изощрённых фишинговых кампаний, перенаправляя жертв на подконтрольные злоумышленникам веб-сайты с помощью специально сформированного запроса.
Затронутыми оказались следующие версии продуктов IBM: IBM Verify Identity Access (с 11.0 до 11.0.2), IBM Verify Identity Access Container (с 11.0 до 11.0.2), IBM Security Verify Access (с 10.0 до 10.0.9.1) и IBM Security Verify Access Container (с 10.0 до 10.0.9.1). Компания настоятельно рекомендует всем организациям, использующим уязвимые версии, немедленно установить последние предоставленные патчи безопасности. Что касается уязвимости в библиотеке crypto-js, администраторам следует либо обновить её до версии 4.2.0, либо вручную настроить использование более стойкого алгоритма SHA256 как минимум с 250 000 итераций. В качестве временных мер смягчения, пока идёт процесс внедрения заплаток, может помочь регулярный мониторинг систем и ограничение доступа к внутренним конечным точкам аутентификации для предотвращения несанкционированного доступа. Этот инцидент в очередной раз подчёркивает, что даже решения от ведущих вендоров, лежащие в основе критической инфраструктуры, требуют постоянного внимания, оперативного обновления и глубокоэшелонированной защиты.
