В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, угрожающая системам, использующим программное обеспечение для шифрования электронных документов ESAFENET CDG. Уязвимость, получившая идентификаторы BDU:2026-04947 и CVE-2025-1844, связана с внедрением SQL-кода (SQL Injection) и позволяет удаленному злоумышленнику выполнить произвольные команды на атакуемом сервере. Поскольку эксплойт для эксплуатации уже опубликован в открытом доступе, риск массовых атак оценивается как высокий.
Детали уязвимости
Уязвимость затрагивает версию программного обеспечения 5.6.3.154.205_20250114. Суть проблемы заключается в недостаточной проверке и очистке пользовательского ввода, который используется для формирования SQL-запросов. Следовательно, атакующий может модифицировать эти запросы, чтобы получить несанкционированный доступ к базе данных, а затем использовать эту возможность для выполнения произвольного кода на сервере. Данный тип атаки классифицируется в каталоге слабостей CWE как CWE-89.
Уровень опасности уязвимости оценен как критический по обеим основным шкалам. Базовая оценка по методологии CVSS 2.0 достигает максимального значения 10.0, а по актуальной CVSS 3.1 составляет 9.8 из 10. Все векторы атаки указывают на то, что для эксплуатации не требуются ни учетные данные (PR:N), ни взаимодействие с пользователем (UI:N). Более того, злоумышленник может действовать удаленно через сеть (AV:N) с минимальной сложностью атаки (AC:L). В случае успешной эксплуатации возможен полный компромисс конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
На текущий момент производитель, компания ESAFENET, не предоставил официального исправления или патча. Статус уязвимости и способ ее устранения вендором помечены как "уточняются". Однако эксперты по кибербезопасности настоятельно рекомендуют организациям, использующим уязвимую версию ПО, немедленно принять компенсирующие меры для снижения риска.
Во-первых, эффективной временной защитой может стать развертывание межсетевого экрана уровня приложений (WAF). Он способен фильтровать вредоносный трафик и блокировать попытки SQL-инъекций. Во-вторых, следует пересмотреть и ужесточить политики доступа. Необходимо минимизировать привилегии учетных записей пользователей и служб, а также отключить все неиспользуемые аккаунты. Кроме того, важно обеспечить сегментацию сети, изолировав систему ESAFENET CDG от других критически важных активов и ограничив к ней доступ из интернета.
Для своевременного обнаружения инцидентов рекомендуется настроить правила корреляции в системах класса SIEM или SOC. Эти правила должны отслеживать известные индикаторы компрометации, связанные с данной уязвимостью. Мониторинг должен быть сосредоточен на подозрительной активности, исходящей от хостов с установленным уязвимым ПО, например, на попытках выполнения нестандартных команд или неавторизованного доступа к файлам.
Появление публичного эксплойта значительно упрощает задачу для киберпреступников, включая группы, занимающиеся распространением программ-вымогателей (ransomware). Они часто используют подобные критические уязвимости для первоначального проникновения в корпоративные сети. После получения доступа злоумышленники могут установить вредоносную полезную нагрузку (payload), обеспечить ее постоянное присутствие в системе (persistence) и перемещаться по сети в поисках ценных данных для последующего шифрования.
Данный случай в очередной раз подчеркивает важность принципа "глубокой эшелонированной защиты". При этом нельзя полагаться исключительно на периметровые средства. Регулярное обновление программного обеспечения, строгое управление доступом и постоянный мониторинг безопасности являются обязательными элементами современной стратегии защиты. Организациям следует отслеживать официальные каналы ESAFENET для получения информации о выпуске патча. До этого момента применение всех доступных компенсирующих мер становится критически необходимым шагом для предотвращения потенциально разрушительного инцидента.
Ссылки
- https://bdu.fstec.ru/vul/2026-04947
- https://www.cve.org/CVERecord?id=CVE-2025-1844
- https://github.com/666lail/report/blob/main/tmp/1.md
