Критическая уязвимость в OpenBao и РЕД ОС: риск перехвата сеанса из-за ошибки управления аутентификацией

vulnerability

В Банке данных угроз безопасности информации (BDU) была зарегистрирована серьёзная уязвимость, затрагивающая систему управления секретами и шифрованием OpenBao. Проблема получила идентификатор BDU:2026-08727 (CVE-2026-33757) и высокую оценку опасности. Её эксплуатация позволяет удалённому злоумышленнику перехватывать сеансы пользователей, что грозит компрометацией конфиденциальных данных.

Детали уязвимости

Уязвимость кроется в методах аутентификации JWT (веб-токены JSON) и OIDC (открытый протокол аутентификации на основе токенов) в OpenBao. Причина - некорректное управление сеансом, что относится к типу ошибки CWE-384, то есть фиксации сеанса. Проще говоря, атакующий может заставить жертву использовать уже известный ему идентификатор сеанса, а затем перехватить его. Такая техника опасна тем, что не требует наличия учётных данных пользователя.

Согласно данным BDU, уязвимость подтверждена производителем. Она затрагивает OpenBao версий до 2.5.2. Кроме того, под удар попадают операционные системы РЕД ОС версий 7.3 и 8.0, в состав которых входит уязвимый компонент. РЕД ОС - российская сертифицированная платформа, активно используемая в государственных учреждениях и на объектах критической информационной инфраструктуры. В связи с этим инцидент требует особого внимания.

Оценка по международной шкале CVSS подтверждает серьёзность ситуации. По версии 2.0 базовый балл составил 9,7 из 10 - это высокий уровень опасности. По версии 3.1 оценка достигла 9,6, что уже считается критическим уровнем. Вектор атаки сетевой, то есть злоумышленник может действовать удалённо, не имея физического доступа к системе. При этом для эксплуатации не требуется предварительной аутентификации, а сложность атаки оценивается как низкая.

Важно отметить, что уязвимостью могут воспользоваться только при условии взаимодействия с пользователем - например, если жертва перейдёт по специально подготовленной ссылке или откроет вредоносный контент. Однако в реальных условиях это не снижает риска. Атакующие могут комбинировать фишинг с эксплуатацией уязвимости, чтобы перехватить сеанс администратора или привилегированного пользователя. Эксплуатация уязвимости относится к классу ошибок кода, а не конфигурации. Это значит, что проблема заложена на уровне программной логики. Способ эксплуатации описан как манипулирование сроками и состоянием - злоумышленник управляет временными метками сеансовых токенов или состоянием аутентификации.

На данный момент информация о существовании готового эксплойта уточняется. Тем не менее, сам факт подтверждения уязвимости производителем означает, что злоумышленники могут уже вести разработку атак. В таких случаях реакция должна быть немедленной.

Разработчики уже выпустили исправление. Для OpenBao необходимо обновиться до версии 2.5.2. Соответствующий коммит доступен на официальном GitHub проекта. Для пользователей РЕД ОС компания "Ред Софт" предоставила обновления через портал производителя. Уязвимость устранена, но только при условии своевременной установки патчей.

Последствия успешной атаки могут быть серьёзными. OpenBao используется для хранения и управления секретами - паролями, ключами шифрования, сертификатами. Перехват сеанса администратора даёт доступ ко всем этим данным. В сочетании с высокой оценкой конфиденциальности и целостности в CVSS (оба показателя имеют значение "высокий"), утечка может привести к компрометации множества других систем, полагающихся на OpenBao.

Что касается РЕД ОС, то для государственных информационных систем и объектов КИИ последствия могут быть ещё более масштабными. Злоумышленник, получивший доступ к сеансу привилегированного пользователя, способен устанавливать вредоносное ПО, изменять конфигурацию безопасности или выгружать данные. В условиях, когда ОС используется на серверах и рабочих станциях с ограниченным доступом, такой инцидент может парализовать работу целых ведомств.

Итак, перед специалистами по информационной безопасности стоит конкретная задача. В первую очередь необходимо проверить версии используемого OpenBao и РЕД ОС. Если используется версия ниже 2.5.2 для OpenBao или актуальные обновления для РЕД ОС не установлены, следует оперативно провести обновление. Рекомендуется также усилить мониторинг сеансовой активности - обратить внимание на подозрительные запросы к эндпоинтам аутентификации. На время обновления имеет смысл ограничить доступ к панели управления OpenBao, используя межсетевые экраны и списки контроля доступа.

Данная уязвимость - ещё одно напоминание о том, что даже зрелые проекты управления секретами могут содержать критические ошибки. Особенно тревожно то, что проблема затрагивает российскую сертифицированную ОС. В связи с этим инцидентом стоит пересмотреть процессы управления обновлениями: автоматическая установка патчей для компонентов, задействованных в защите конфиденциальных данных, должна стать обязательной практикой.

Ссылки

Комментарии: 0