В Банке данных угроз (BDU) появилась новая запись под номером BDU:2026-00610, описывающая критическую уязвимость в популярном RPC-фреймворке Apache bRPC. Данная уязвимость, получившая идентификатор CVE-2025-60021, позволяет удаленному злоумышленнику выполнить произвольные команды на уязвимом сервере без какой-либо аутентификации. Эксперты присвоили ей максимальные баллы по шкале CVSS: 10.0 для версии 2.0 и 9.8 для версии 3.1, что соответствует критическому уровню опасности.
Детали уязвимости
Уязвимость затрагивает встроенную службу профилирования кучи (heap profiler) в рамках RPC-фреймворка Apache bRPC. Этот фреймворк широко используется для построения высокопроизводительных распределенных систем, микросервисов и облачных приложений, что делает масштаб потенциального воздействия значительным. Проблема кроется в ошибке типа "внедрение команды" (command injection), связанной с недостаточной очисткой данных на управляющем уровне. Конкретно, уязвим параметр "extra_options" при взаимодействии со службой heap profiler через удаленный вызов процедур (RPC).
Таким образом, атакующий, способный отправить специально сконструированный запрос к уязвимой службе, может добиться выполнения произвольного кода на целевом сервере. Это открывает путь к полному захвату контроля над системой, краже конфиденциальных данных, установке вредоносного программного обеспечения (malware) или обеспечению постоянного присутствия (persistence) в корпоративной сети. Поскольку для эксплуатации не требуется аутентификация, а сложность атаки оценивается как низкая, угроза становится особенно актуальной.
Под удар попадают версии Apache bRPC с 1.11.0 по 1.15.0 включительно. Разработчики из Apache Software Foundation уже подтвердили наличие уязвимости и выпустили необходимые исправления. Соответственно, основной и настоятельно рекомендуемой мерой защиты является немедленное обновление программного обеспечения до версии, в которой проблема устранена. Актуальные рекомендации и патчи опубликованы в официальном списке рассылки Apache.
Примечательно, что информация об уязвимости стала публичной 22 сентября 2025 года, а уже сейчас в открытом доступе существуют рабочие эксплойты. Например, доказательство концепции (PoC) опубликовано на платформе GitHub. Это значительно сокращает "окно опасности" для организаций, которые еще не применили заплатки. Наличие публичного эксплойта резко повышает вероятность того, что злоумышленники, включая не очень опытных, начнут массово сканировать интернет в поисках уязвимых экземпляров bRPC.
Специалисты по кибербезопасности подчеркивают, что подобные уязвимости в инфраструктурных компонентах, таких как RPC-фреймворки, представляют повышенную опасность. Дело в том, что один такой компонент может использоваться в десятках или сотнях внутренних сервисов компании. Следовательно, успешная атака может привести к компрометации не одной отдельной системы, а целого сегмента IT-ландшафта. Это классический пример уязвимости в цепочке поставок программного обеспечения.
Для команд, отвечающих за безопасность (SOC), критически важно в срочном порядке провести инвентаризацию всех сервисов, использующих Apache bRPC в указанном диапазоне версий. При этом необходимо проверить не только публично доступные конечные точки, но и внутренние, так как угроза может исходить и от уже скомпрометированных систем внутри периметра сети. Если немедленное обновление по какой-то причине невозможно, следует рассмотреть возможность временного отключения встроенной службы heap profiler или строгого ограничения сетевого доступа к портам, используемым уязвимыми службами.
В долгосрочной перспективе данный инцидент в очередной раз демонстрирует важность регулярного аудита безопасности зависимостей в программных проектах. Автоматизированные инструменты для анализа состава программного обеспечения (Software Composition Analysis, SCA) могут помочь выявлять подобные уязвимые библиотеки на ранних стадиях. Кроме того, практика "защиты в глубину", включающая сегментацию сети и применение правил минимальных привилегий для запуска сервисов, способна существенно ограничить потенциальный ущерб даже в случае успешной эксплуатации уязвимости.
В заключение, уязвимость CVE-2025-60021 в Apache bRPC является серьезной и активно эксплуатируемой угрозой. Ее критический статус и наличие публичного эксплойта требуют от администраторов и разработчиков безотлагательных действий. Своевременное обновление до патченной версии фреймворка остается самым эффективным способом защиты от потенциальных атак, которые могут привести к значительным финансовым и репутационным потерям.
Ссылки
- https://bdu.fstec.ru/vul/2026-00610
- https://www.cve.org/CVERecord?id=CVE-2025-60021
- https://lists.apache.org/thread/xy51d2fx6drzhfp92xptsx5845q7b37m
- http://www.openwall.com/lists/oss-security/2026/01/16/4
