8 мая 2026 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована запись BDU:2026-06440, описывающая критическую уязвимость в платформе Azure DevOps от Microsoft. Этот инцидент привлёк пристальное внимание специалистов по информационной безопасности во всём мире. Причина проста: речь идёт об уязвимости, которая позволяет удалённому злоумышленнику получить несанкционированный доступ к защищаемой информации в среде разработки программного обеспечения. При этом для эксплуатации не требуется ни аутентификация, ни какие-либо особые привилегии.
Детали уязвимости
Уязвимость получила идентификатор CVE-2026-42826. Она относится к типу CWE-200, то есть к классу ошибок, связанных с раскрытием информации. Однако, как показывает анализ вектора угрозы, последствия могут быть гораздо серьёзнее, чем просто утечка данных. Согласно базовой оценке по системе CVSS версии 3.1, этот дефект кода набрал максимальные 10 баллов из 10 возможных. Такая оценка автоматически присваивается только тем уязвимостям, которые позволяют атакующему полностью скомпрометировать атакуемую систему, не имея никаких учётных данных.
Вектор CVSS означает следующее: уязвимость эксплуатируется удалённо через сеть, не требует сложных условий, не нуждается в аутентификации, не требует взаимодействия с пользователем и может затронуть не только саму службу, но и смежные ресурсы. Иными словами, злоумышленник может отправить специально сформированный запрос к серверу Azure DevOps и получить не только доступ к данным, но и возможность выполнить произвольные действия с наивысшими привилегиями. Сочетание этих факторов и даёт максимальную оценку опасности.
Уязвимое программное обеспечение - это платформа Azure DevOps, которая широко используется компаниями любого масштаба для управления жизненным циклом разработки. В ней хранятся исходные коды, конфигурационные файлы, ключи доступа, переменные окружения и множество других критически важных данных. Компрометация такой системы означает, что злоумышленник может получить полный доступ ко всем проектам, репозиториям кода и конвейерам непрерывной интеграции. Более того, через Azure DevOps часто передаются учётные данные для доступа к облачным сервисам и внутренним корпоративным сетям. Таким образом, атака на эту платформу может стать началом цепной реакции, приводящей к масштабной утечке интеллектуальной собственности и компрометации всей инфраструктуры компании.
Примечательно, что производитель уже подтвердил факт наличия уязвимости. На официальном портале Microsoft Security Response Center опубликован бюллетень с рекомендациями по устранению. Более того, согласно информации из BDU, уязвимость уже исправлена. Это означает, что необходимые обновления выпущены.
Тем не менее, статус уязвимости всё ещё вызывает вопросы. В записи BDU указано, что данные о наличии эксплойта уточняются. Нарушитель может быть как внешним, так и внутренним. Вектор эксплуатации классифицируется как "несанкционированный сбор информации". Однако с учётом максимальных оценок CVSS можно предположить, что на самом деле атака может привести и к модификации данных, и к выполнению произвольного кода на сервере. Раскрытие информации в данном контексте - лишь наиболее очевидный, но не единственный исход.
Прежде всего, всем организациям, использующим Azure DevOps, следует немедленно проверить версию платформы и применить обновление, выпущенное Microsoft. Обновление программного обеспечения - это единственный рекомендованный способ устранения уязвимости, подтверждённый производителем.
Также стоит провести аудит логов и мониторинг аномальной активности на серверах Azure DevOps. Даже если организация ещё не установила патч, важно убедиться, что система не была скомпрометирована ранее. В случае обнаружения подозрительных событий необходимо немедленно связаться со службой поддержки Microsoft и, возможно, с командой реагирования на инциденты.
В долгосрочной перспективе этот инцидент лишний раз напоминает о том, насколько хрупкой может быть безопасность в среде DevOps. Платформы для совместной разработки становятся всё более привлекательной мишенью для злоумышленников. Каждый раз, когда появляется подобная критическая уязвимость, стоит пересмотреть общую архитектуру управления доступом в организации. Например, использовать многофакторную аутентификацию даже для серверных служб, ограничивать сетевой доступ к Azure DevOps только доверенными диапазонами IP-адресов и регулярно проводить тесты на проникновение.
Ссылки
- https://bdu.fstec.ru/vul/2026-06440
- https://www.cve.org/CVERecord?id=CVE-2026-42826
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42826
