В банк данных уязвимостей (BDU) была внесена новая критическая уязвимость, затрагивающая популярный FTP-сервер для управления файлами Rumpus от Maxum Development Corporation. Присвоенный идентификатор BDU:2025-14762, уязвимость также зарегистрирована как CVE-2025-55055. Основная проблема связана с недостаточной нейтрализацией специальных элементов в пользовательском вводе, что открывает путь для внедрения операционных системных команд (OS Command Injection). Эксплуатация этой уязвимости может позволить удаленному злоумышленнику получить полный контроль над системой, напрямую воздействуя на конфиденциальность, целостность и доступность данных.
Детали уязвимости
Уязвимость затрагивает Rumpus версии 9.0.12, классифицируемый как сетевое программное средство. Тип ошибки определен как CWE-78, то есть непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Это классическая уязвимость внедрения команд, возникающая, когда приложение передает непроверенные или некорректно обработанные пользовательские данные непосредственно в командную оболочку операционной системы. В результате злоумышленник может выполнить произвольные команды с привилегиями самого серверного приложения.
Уровень опасности уязвимости оценен как критический по обеим основным шкалам CVSS. Базовая оценка по методологии CVSS 2.0 составляет максимальные 10.0 баллов с вектором AV:N/AC:L/Au:N/C:C/I:C/A:C. Это расшифровывается как сетевая атака (AV:N), низкая сложность эксплуатации (AC:L), отсутствие необходимости аутентификации (Au:N), а также полный компромисс конфиденциальности (C:C), целостности (I:C) и доступности (A:C). По более современной шкале CVSS 3.1 базовая оценка лишь немногим ниже - 9.8 баллов (критический уровень) с вектором AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, подтверждая высокий риск полного захвата системы.
На текущий момент статус уязвимости, наличие публичных эксплойтов (вредоносных программ для использования уязвимости) и официальный способ устранения от вендора уточняются. При этом указан способ эксплуатации - инъекция, что прямо указывает на атаки типа внедрения кода. Отсутствие официального патча делает ситуацию особенно напряженной для организаций, использующих уязвимую версию программного обеспечения.
Тем не менее, эксперты уже предлагают ряд компенсирующих мер для снижения риска до выхода обновления. Во-первых, рекомендуется развернуть межсетевой экран уровня приложений (Web Application Firewall, WAF), способный фильтровать и блокировать вредоносный пользовательский ввод, характерный для атак с внедрением команд. Во-вторых, может помочь использование систем обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевой активности и выявления попыток эксплуатации данной уязвимости.
Кроме того, важной практикой является минимизация привилегий. Следует обеспечить, чтобы служба Rumpus и связанные с ней учетные записи работали с минимально необходимыми правами доступа в операционной системе. Это может ограничить потенциальный ущерб даже в случае успешной атаки. Еще одной мерой является изоляция среды выполнения. Работа с файлами из недоверенных источников должна осуществляться в строго контролируемых, замкнутых программных средах (например, песочницах), что предотвратит выполнение произвольного кода на основной системе.
Уязвимости класса внедрения команд остаются одними из наиболее опасных, поскольку часто ведут к полной компрометации узла. В случае с сетевым ПО, таким как FTP-сервер, который по определению доступен извне, угроза многократно возрастает. Атакующий, успешно эксплуатирующий CVE-2025-55055, может не только похитить или уничтожить файлы, но и установить программы для обеспечения постоянного доступа, развернуть вредоносное ПО, такое как программы-вымогатели или использовать сервер в качестве плацдарма для атак на другие системы внутренней сети.
Администраторам, использующим Rumpus 9.0.12, настоятельно рекомендуется внимательно следить за официальными каналами Maxum Development Corporation для получения информации о выпуске патча. Параллельно необходимо незамедлительно применить все доступные компенсирующие меры, особенно уделив внимание сегментации сети и строгой фильтрации входящего трафика. До тех пор, пока уязвимость не будет устранена на уровне кода, угроза критического инцидента информационной безопасности остается крайне высокой.
Ссылки
- https://bdu.fstec.ru/vul/2025-14762
- https://www.cve.org/CVERecord?id=CVE-2025-55055
- https://www.gov.il/en/departments/dynamiccollectors/cve_advisories_listing?skip=0
