В реестре Банка данных угроз безопасности информации (BDU) появилась запись о новой серьезной уязвимости, получившая идентификаторы BDU:2026-07988 и CVE-2026-28517. Она затрагивает систему управления инфраструктурой центров обработки данных openDCIM. Речь идет о проблеме, которая позволяет злоумышленнику получить полный контроль над сервером. И что самое тревожное - для атаки не требуются ни учетные данные, ни взаимодействие с жертвой.
Детали уязвимости
Почему это событие заслуживает пристального внимания? openDCIM - это программный комплекс с открытым исходным кодом. Он широко используется для учета физических ресурсов в дата-центрах: серверов, стоек, сетевого оборудования, кабельной инфраструктуры. Компрометация такой системы означает, что нарушитель получает карту всего ЦОДа. Он может отключать оборудование, изменять конфигурации, перехватывать трафик. Для бизнеса это прямой путь к остановке критических процессов и утечке данных.
Суть уязвимости кроется в ошибке кода. Разработчики не предусмотрели фильтрацию специальных символов при обработке одного из параметров. Это относится к классу CWE-78 - внедрение в команду операционной системы. Простыми словами: уязвимость позволяет вставить в запрос произвольную команду, которая будет выполнена на сервере.
Базовый вектор уязвимости по шкале CVSS 3.1 составляет 9,8 балла из 10. Это критический уровень. Причина в трех факторах. Во-первых, атака возможна удаленно. Во-вторых, для нее не нужна аутентификация. В-третьих, последствия затрагивают конфиденциальность, целостность и доступность данных в равной степени - все три показателя оценены как высокие.
Злоумышленник использует технику инъекции. Он отправляет специально сформированный HTTP-запрос к уязвимому скрипту report_network_map.php. В параметр, предназначенный для настройки отчета, подставляется вредоносная полезная нагрузка. Если в системе не установлены фильтры, команда выполняется с правами веб-сервера. В большинстве случаев эти права позволяют запускать произвольные программы, читать и изменять файлы, создавать новых пользователей.
Что это означает на практике? Нарушитель получает точку опоры внутри сети ЦОДа. Оттуда он может перемещаться между сегментами, искать другие уязвимости, красть базы данных или устанавливать программы-вымогатели. Исследователи уже подтвердили, что эксплойт существует в открытом доступе. Это значит, что для проведения атаки не нужны глубокие знания - достаточно скачать готовый инструмент.
Дата выявления уязвимости - 28 февраля 2026 года. Разработчики openDCIM оперативно отреагировали. В репозитории проекта на GitHub появился коммит, который устраняет проблему. Патч закрывает вектор внедрения команд. Теперь специальные символы экранируются перед передачей в оболочку операционной системы. Уязвимость подтверждена производителем, и статус значится как устраненная.
Тем не менее, опасность сохраняется для тех, кто не обновил систему. openDCIM - проект с открытым кодом, поэтому пользователи сами отвечают за установку патчей. В крупных организациях процесс обновления может затянуться на недели. Кроме того, не все администраторы следят за лентой новостей безопасности. В результате серверы остаются уязвимыми. Исследователь, опубликовавший детали, также указал на дополнительный вектор атаки. В своем материале он описал комбинированную методику: сначала через SQL-инъекцию извлекались учетные данные, а затем уже через командную инъекцию выполнялся код. Это говорит о том, что уязвимость может быть лишь звеном в цепочке эксплуатации.
Рекомендации для специалистов очевидны. Необходимо как можно скорее обновить openDCIM до версии, содержащей исправление. В качестве временной меры можно ограничить доступ к веб-интерфейсу системы из внешних сетей с помощью файрвола. Также следует проверить журналы веб-сервера на наличие подозрительных запросов к файлу report_network_map.php. Если атака уже произошла, стоит искать следы закрепления в системе: новые учетные записи, необычные процессы, изменения в планировщике задач.
Подводя итог, можно сказать, что инцидент с openDCIM - очередное напоминание о важности своевременного обновления даже вспомогательных систем. Центры обработки данных являются сердцем цифровой инфраструктуры. И любая уязвимость в их управлении может привести к катастрофическим последствиям. К счастью, в данном случае патч уже доступен. Осталось лишь применить его.
Ссылки
- https://bdu.fstec.ru/vul/2026-07988
- https://www.cve.org/CVERecord?id=CVE-2026-28517
- https://chocapikk.com/posts/2026/opendcim-sqli-to-rce/
- https://github.com/Chocapikk/opendcim-exploit
- https://github.com/opendcim/openDCIM/blob/4467e9c4/report_network_map.php#L467
- https://github.com/opendcim/openDCIM/blob/4467e9c4/report_network_map.php#L7
- https://github.com/opendcim/openDCIM/pull/1664
- https://github.com/opendcim/openDCIM/pull/1664/changes/8f7ab2a710086a9c8c269560793e47c577ddda09
- https://www.vulncheck.com/advisories/opendcim-os-command-injection-via-dot-configuration-parameter
