В банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярном корпоративном решении для защиты данных. Речь идёт о системе NAKIVO Backup & Replication, предназначенной для резервного копирования, репликации и восстановления виртуальных машин. Обнаруженная проблема, получившая идентификаторы BDU:2026-00040 и CVE-2025-32406, затрагивает ключевой компонент Director NBR и оценивается экспертами как представляющая высокий риск для конфиденциальности информации.
Детали уязвимости
Суть уязвимости заключается в ошибке типа «неверное ограничение XML-ссылок на внешние объекты». Технически, это частный случай уязвимости внедрения XML, обозначаемой как CWE-611. Если просто, программный компонент некорректно обрабатывает специально сформированные XML-документы. В результате, удалённый злоумышленник может заставить систему прочитать содержимое файлов, находящихся на самом сервере резервного копирования. Следовательно, эксплуатация этой бреши позволяет получить несанкционированный доступ к защищаемой информации, которая по определению должна храниться в безопасности. Под угрозой оказываются резервные копии виртуальных инфраструктур, что может иметь катастрофические последствия для бизнеса.
Оценка по методологии CVSS подтверждает высокую степень опасности. Базовая оценка CVSS 3.1 достигает 8.6 баллов из 10. Важно отметить, что вектор атаки оценивается как сетевой, для эксплуатации не требуются привилегии или действия пользователя, а потенциальный ущерб для конфиденциальности данных оценивается как максимальный. Проще говоря, атака может быть проведена удалённо через сеть без необходимости входа в систему, что значительно расширяет круг потенциальных угроз.
Уязвимость затрагивает все версии программного обеспечения NAKIVO Backup & Replication до 11.0.2 включительно. Производитель, компания NAKIVO Inc., уже подтвердил наличие проблемы и выпустил обновление. Таким образом, текущий статус уязвимости - «устранена производителем». На данный момент нет подтверждённой информации о существовании публичных эксплойтов. Однако, учитывая публикацию деталей, появление таких инструментов в ближайшее время является вполне вероятным сценарием.
Единственной эффективной мерой защиты является незамедлительное обновление программного обеспечения до актуальной версии, в которой данная проблема исправлена. Вендор опубликовал официальное уведомление с рекомендациями, где указаны все необходимые шаги для устранения риска. Администраторам, ответственным за инфраструктуру резервного копирования, настоятельно рекомендуется применить патч как можно скорее. Промедление с обновлением оставляет критически важные бизнес-данные под угрозой хищения.
Этот инцидент в очередной раз подчёркивает важность регулярного и своевременного цикла обновлений даже для специализированного ПО, такого как системы резервного копирования. Часто такие продукты воспринимаются как пассивные элементы инфраструктуры. Между тем, они концентрируют в себе огромные массивы чувствительной информации, что делает их лакомой целью для киберпреступников. Уязвимости типа XXE (XML External Entity), к которым относится данная проблема, давно известны сообществу безопасности, но продолжают встречаться в корпоративных продуктах. Следовательно, регулярное проведение аудита безопасности и мониторинг источников, таких как BDU и базы данных CVE, должны быть неотъемлемой частью практики защиты данных любой организации.
Ссылки
- https://bdu.fstec.ru/vul/2026-00040
- https://www.cve.org/CVERecord?id=CVE-2025-32406
- https://helpcenter.nakivo.com/Knowledge-Base/Content/Security-Advisory/CVE-2025-32406.htm
