В сфере информационной безопасности выявлена давняя, но сохраняющая актуальность критическая уязвимость в популярном сетевом инструменте Multi-Router Looking Glass (MRLG). Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00096 и получившая код CVE-2014-3931, связана с классической ошибкой переполнения буфера. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику выполнить произвольный код на атакуемом сервере с максимально возможными привилегиями, что фактически означает полный контроль над системой.
Детали уязвимости
Multi-Router Looking Glass (MRLG) - это свободное веб-приложение, широко используемое сетевыми инженерами и интернет-провайдерами для диагностики маршрутизации. Оно агрегирует результаты таких стандартных утилит, как ping, traceroute и BGP-запросы, с нескольких сетевых устройств, предоставляя удобный веб-интерфейс. Однако в версиях программного обеспечения до 5.5.0 была обнаружена опасная ошибка категории CWE-119, связанная с выходом операции за границы буфера в памяти. Проще говоря, при обработке специально сформированных сетевых запросов программа записывает данные за пределы выделенной области памяти, что может быть использовано для подмены исполняемого кода.
Базовые векторы оценки CVSS присваивают этой уязвимости наивысшие баллы. Согласно методологии CVSS 2.0, оценка достигает максимального значения 10.0, а по более современной шкале CVSS 3.x - 9.8 из 10. Оценка присваивается по категории «критический» уровень опасности. Ключевыми факторами такой высокой оценки являются полное отсутствие требований к аутентификации злоумышленника (PR:N), а также возможность атаки через сеть (AV:N) без какого-либо взаимодействия с пользователем (UI:N). Следовательно, уязвимый сервер, доступный из интернета, может быть скомпрометирован без каких-либо предварительных условий.
Главная угроза заключается в том, что, согласно данным BDU, для этой уязвимости существуют эксплойты в открытом доступе. Наличие публичного эксплойта многократно увеличивает риск массовых атак, поскольку даже злоумышленники с невысоким уровнем технической подготовки могут попытаться использовать эту слабость. Успешная эксплуатация позволяет запустить произвольный вредоносный код, что в свою очередь открывает путь для установки программ-вымогателей (ransomware), создания скрытых точек постоянного присутствия (persistence) в системе или интеграции сервера в ботнет.
Важно отметить, что уязвимость была выявлена и опубликована еще в марте 2017 года, а также подтверждена разработчиками сообщества свободного программного обеспечения. Несмотря на это, подобные уязвимости часто остаются в фокусе внимания групп APT и других злоумышленников, которые сканируют интернет в поисках устаревших систем. Фактически, инструменты сетевой инфраструктуры, такие как MRLG, являются особенно привлекательной целью, поскольку их компрометация может обеспечить разведку данных или стать плацдармом для атак на внутреннюю сеть организации.
Единственным надежным способом устранения угрозы является обновление программного обеспечения до версии 5.5.0 или новее, в которой разработчики устранили ошибку переполнения буфера. Производитель рекомендует всем пользователям немедленно проверить и обновить свои установки MRLG, следуя инструкциям на официальном сайте проекта. Если обновление по какой-либо причине невозможно, следует рассмотреть вопрос об изоляции интерфейса MRLG от публичной сети, ограничив доступ только доверенным IP-адресам.
Этот случай наглядно демонстрирует, что даже специализированное служебное программное обеспечение с открытым исходным кодом требует не менее пристального внимания к вопросам безопасности, чем коммерческие продукты. Регулярное обновление всех компонентов ИТ-инфраструктуры остается фундаментальным принципом кибергигиены. Кроме того, организациям рекомендуется внедрять комплексные меры защиты, такие как сегментация сети, использование систем предотвращения вторжений (IPS) и регулярный аудит обращенных к интернету служб на предмет известных уязвимостей.
Ссылки
- https://bdu.fstec.ru/vul/2026-00096
- https://www.cve.org/CVERecord?id=CVE-2014-3931
- https://hackerone.com/reports/16330
- https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Exploit:O97M/CVE-2014-3931.KRA!MTB&ThreatID=2147814370
- https://mrlg.op-sec.us/
