В середине июня 2026 года специалисты по информационной безопасности получили подтверждение тревожной находки. В Банке данных угроз (BDU) зафиксирована запись BDU:2026-08924 (CVE-2026-0274), описывающая критический дефект в популярном ПО для защиты корпоративных сетей. Речь идет о плагине CommvaultSecurityIQ, который интегрируется с платформами Cortex XSIAM и Cortex XSOAR. Последние представляют собой решения класса SIEM и SOAR - то есть системы сбора событий безопасности и оркестрации реагирования на инциденты. Проблема оказалась настолько серьезной, что производитель, компания Palo Alto Networks, уже выпустил исправление, но инцидент еще раз напомнил рынку об уязвимости цепочек поставок программного обеспечения.
Детали уязвимости
Суть проблемы кроется в ошибке процедуры аутентификации, которая классифицируется как CWE-1390. Если объяснять просто: злоумышленник, которому не нужны никакие учетные данные, может удаленно обойти проверку подлинности. В итоге он получает практически полный контроль над компонентом безопасности. В соответствии со шкалой CVSS, уровень угрозы оценивается как критический: 9,1 балла по версии 3.1. Это означает, что противнику не нужно иметь доступ к локальной сети жертвы. Ему достаточно отправить специально сформированный вредоносный запрос через интернет.
Каковы же практические последствия такой уязвимости? Плагин CommvaultSecurityIQ предназначен для того, чтобы платформы Cortex могли взаимодействовать с решениями для резервного копирования. Взломав этот мост, атакующий способен получить доступ к историческим данным. Речь идет о так называемых полезных нагрузках (payload) - сохраненных образах систем, которые, как правило, содержат дампы баз данных, конфиденциальные документы и пароли. Но на этом опасность не заканчивается. Поскольку ошибка затрагивает механизмы аутентификации, нарушитель может закрепиться (persistence) в инфраструктуре мониторинга. Вместо того чтобы видеть реальную картину атак, специалисты SOC рискуют увидеть ложные данные, которые подменил взломщик. Под удар попали все версии плагина до 1.2.0 включительно.
Плагины и расширения - это слабое звено любой крупной системы. Администраторы часто обновляют ядро продукта, но забывают о дополнительных модулях. Многие организации уже перешли на использование Cortex XSIAM как единой аналитической платформы. Уязвимость в CommvaultSecurityIQ может стать лазейкой для целых групп злоумышленников, которые специализируются на атаках через цепочки поставок (supply chain attacks).
На данный момент производитель уже подтвердил проблему и присвоил ей идентификатор CVE-2026-0274. Эксплойт пока не опубликован в открытом доступе, но это лишь вопрос времени. Обычно после официального подтверждения уязвимости киберпреступники начинают реверс-инжиниринг патча, чтобы восстановить логику атаки. Специалистам по безопасности настоятельно рекомендуется обновить плагин до версии 1.2.0 или выше.
Подводя итог, можно сказать, что ситуация с BDU:2026-08924 является классическим примером того, как ошибка в коде, пусть и не самом заметном, создает брешь в эшелонированной защите. И хотя вредоносная программа не была обнаружена, потенциал для атаки крайне высок.
Ссылки
- https://bdu.fstec.ru/vul/2026-08924
- https://www.cve.org/CVERecord?id=CVE-2026-0274
- https://security.paloaltonetworks.com/CVE-2026-0274