Критическая уязвимость в библиотеке Socket.IO угрожает безопасности продуктов "Астра" и множества веб-приложений

vulnerability

В Банке данных угроз безопасности информации (BDU) зарегистрирована уязвимость с идентификатором BDU:2026-09400. Речь идёт об опасной ошибке в кодировщике и декодировщике пакетов библиотеки Socket.IO - популярном инструменте для создания веб-приложений с двусторонней связью в реальном времени. Проблема получила максимальную оценку критичности по шкалам CVSS: 10 из 10 по версии 2.0 и 9,8 из 10 по версии 3.1. Уязвимость может быть использована удалённо без предварительной аутентификации, что делает её особенно опасной для необновлённых систем.

Детали уязвимости

Разработчики библиотеки допустили классическую ошибку из категории CWE-89 - непринятие мер по защите структуры SQL-запроса. Иными словами, злоумышленник может внедрить вредоносный код в запрос, который библиотека обрабатывает при передаче данных. В описании уязвимости указано, что эксплуатация приводит к отказу в обслуживании. Однако, судя по вектору CVSS, который учитывает полную компрометацию конфиденциальности, целостности и доступности, последствия могут быть гораздо серьёзнее. Аналитики не исключают, что атакующий способен не только "положить" сервер, но и получить контроль над уязвимыми компонентами.

Уязвимость затрагивает библиотеку Socket.IO в версиях от 4.0.0 до 4.2.1. Socket.IO - это широко распространённое решение, которое используют тысячи проектов по всему миру для организации чатов, онлайн-игр, мониторинга в реальном времени и других интерактивных сервисов. Кроме того, проблема подтверждена для продукта "ПК СВ "Брест"" версий ниже 4.0.2, выпускаемого компанией ООО "РусБИТех-Астра". "Брест" представляет собой программный комплекс средств виртуализации и защиты информации, предназначенный для построения доверенных сред. Таким образом, под удар попали не только рядовые web-приложения, но и критическая инфраструктура, где используется отечественное ПО.

На момент публикации записи в BDU она уже была подтверждена производителем, а также получен идентификатор CVE-2022-2421 в международной системе Common Vulnerabilities and Exposures. Способ эксплуатации классифицируется как инъекция. Наличие готового эксплойта пока уточняется, но с учётом высокой оценки опасности специалисты рекомендуют не ждать подтверждения, а немедленно принять меры защиты.

Для библиотеки Socket.IO разработчики сообщества выпустили исправление. Информацию о точных версиях с устранённой уязвимостью можно найти на сайте проекта по ссылке из официальных источников CSIRT DIVD. Пользователям "ПК СВ "Брест"" следует установить оперативное обновление до версии 4.0.2, доступное в личном кабинете пользователя на портале lk.astralinux.ru. Также в рекомендациях ФСТЭК указано, что при отсутствии возможности обновления необходимо придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", утверждённых методическим документом ведомства.

Чем опасна данная уязвимость для бизнеса и госсектора? Во-первых, Socket.IO часто используется в гибридных средах, где одновременно работают веб-серверы, базы данных и средства защиты. Атакующий, внедрив SQL-команду через уязвимый парсер, может получить доступ к данным, которые хранятся в связанных базах. В случае с "Брестом" речь идёт о системе, отвечающей за изолированные виртуальные машины и шифрование. Компрометация такого компонента может привести к утечке защищённой информации или нарушению работы целых сегментов сети.

Во-вторых, масштаб потенциальных атак велик: любое приложение, использующее Socket.IO версии до 4.2.2, остаётся беззащитным. По данным открытых источников, библиотека входит в состав тысяч проектов на GitHub, а также применяется в продуктах многих коммерческих вендоров. В России уязвимость особенно критична для организаций, которые обязаны соблюдать требования по импортозамещению и используют "ПК СВ "Брест"" как часть доверенной платформы.

Руководителям служб информационной безопасности стоит как можно быстрее провести инвентаризацию используемых версий Socket.IO и "Бреста". Если в инфраструктуре обнаружены уязвимые сборки, необходимо осуществить внеплановое обновление. До выполнения апдейта рекомендуется временно отключить ненужные функции библиотеки, ограничить доступ к сетевым портам, на которых работает Socket.IO, и усилить мониторинг на предмет подозрительных SQL-запросов.

Дополнительно стоит обратить внимание на то, что уязвимость относится к классу "ошибки кода" - это значит, что патч исправляет именно логическую недоработку, а не настройку конфигурации. Так что единственный надёжный способ устранения - установка новой версии ПО.

Ссылки

Комментарии: 0