В октябре 2022 года была выявлена критическая уязвимость, затрагивающая популярную систему управления виртуальными машинами OpenNebula, а также её российский аналог - программный комплекс средств виртуализации "Брест", разработанный компанией "РусБИТех-Астра". По данным Банка данных угроз безопасности информации (BDU), дефект получил идентификатор BDU:2026-08411 (CVE-2022-37425) и связан с нарушением правил обработки входных данных. В классификации CWE он обозначен как CWE-77 - "непринятие мер по очистке данных на управляющем уровне". Это означает, что злоумышленник может внедрить вредоносную команду через некорректно проверенные входные параметры.
Детали уязвимости
Суть проблемы в следующем. Система OpenNebula предоставляет интерфейсы для управления виртуальными машинами, но не фильтрует некоторые поля ввода должным образом. Атакующий, действующий удалённо, может отправить специально сформированный запрос, который приведёт к выполнению произвольных команд на серверной стороне. В результате нарушитель способен вызвать отказ в обслуживании - полную остановку работы гипервизора или всего облачного кластера. Однако, учитывая вектор атаки и высокий уровень привилегий, который можно получить, угроза гораздо серьёзнее: при успешной эксплуатации возможна полная компрометация системы - похищение данных, изменение конфигураций, установка закладок.
Уровень опасности подтверждён оценками по стандарту CVSS. По версии 2.0 базовая оценка составляет максимальные 10 баллов, по версии 3.1 - 9,8 балла, что соответствует критическому классу. Столь высокая опасность объясняется тем, что атака не требует аутентификации, не нужны какие-либо привилегии, а взаимодействие с жертвой не обязательно. Иными словами, любой подключённый к сети злоумышленник может удалённо выполнить код с правами администратора.
Подтверждено, что уязвимости подвержены версии OpenNebula до 6.4.2 включительно. Для российского сегмента важно, что в зоне риска оказался и продукт "Брест" версий до 4.0.1. Напомним, что "Брест" является сертифицированным средством виртуализации, применяемым в государственных информационных системах и на объектах критической информационной инфраструктуры. Таким образом, инцидент потенциально затрагивает не только коммерческих пользователей OpenNebula, но и организации, использующие отечественную платформу в условиях импортозамещения.
Производители уже выпустили обновления, устраняющие дефект. Компания OpenNebula Systems рекомендует перейти на версию 6.4.2, в которой исправлена процедура очистки входных параметров. Для пользователей "Брест" обновление до версии 4.0.1 доступно через личный кабинет на портале "Астра Линукс". Инструкции по установке опубликованы на официальной вики-странице разработчика.
Стоит подчеркнуть, что способ эксплуатации классифицируется как "инъекция" - то есть внедрение команд в поток данных. При этом данные о существовании публичного эксплойта на момент публикации записи BDU отсутствуют, но это не снижает риск: злоумышленники могут самостоятельно разработать код атаки, опираясь на описание уязвимости. Тем более что в открытом доступе есть технические детали по CVE-2022-37425, включая ссылки на базу уязвимости NVD и списки рассылки Debian.
Какие меры следует предпринять администраторам? В первую очередь, необходимо как можно скорее обновить все экземпляры OpenNebula и "Брест" до версий, где ошибка исправлена. Откладывать установку патчей недопустимо, так как атака может быть выполнена без предварительного взаимодействия с пользователем. Кроме того, рекомендуется усилить сетевую сегментацию, ограничить доступ к API управления облаком по межсетевому экрану, а также внедрить системы обнаружения вторжений (IDS), способные выявлять аномальные запросы в трафике к гипервизорам.
Отдельного внимания заслуживает то, что в документации производителей указана доступность исправлений, а сам инцидент признан устранённым. Тем не менее, многие организации, особенно в государственном секторе, обновляют ПО с задержкой - из-за длительных процедур тестирования или требований сертификации. В связи с этим реальное число систем, всё ещё находящихся под угрозой, может оставаться высоким в течение нескольких месяцев.
Таким образом, уязвимость в OpenNebula и её российском аналоге "Брест" демонстрирует типичную проблему управления жизненным циклом облачных платформ: даже один пропущенный фильтр ввода может привести к полной дискредитации инфраструктуры. Специалистам по защите информации стоит включить проверку версий OpenNebula и "Брест" в регулярный аудит, а также отслеживать обновления из реестра BDU и CVE. Без своевременного обновления защита от подобных атак сводится к нулю - ведь злоумышленнику нужна лишь одна открытая точка входа.
Ссылки
- https://bdu.fstec.ru/vul/2026-08411
- https://www.cve.org/CVERecord?id=CVE-2022-37425
- https://lk.astralinux.ru/
- https://nvd.nist.gov/vuln/detail/CVE-2022-37425
- https://opennebula.io/blog/announcements/opennebula-6-4-2-ee-lts-maintenance-release-is-available/
- https://security-tracker.debian.org/tracker/CVE-2022-37425
