В последние дни сообщество информационной безопасности обсуждает новую критическую уязвимость в перспективной распределенной файловой системе RustFS. Согласно записи в Банке данных угроз (BDU) под идентификатором BDU:2026-00007, проблема связана с использованием жестко закодированных учетных данных в прикладном программном интерфейсе (API) аутентификации gRPC. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику полностью обойти механизмы безопасности. Следовательно, он может получить несанкционированный доступ ко всей системе с максимальными привилегиями.
Детали уязвимости
Уязвимость затрагивает все версии RustFS до alpha.77. Стоит отметить, что RustFS - это проект с открытым исходным кодом, разрабатываемый сообществом. Он позиционируется как высокопроизводительное и отказоустойчивое решение для хранения данных. Однако обнаруженный недостаток ставит под угрозу его базовую безопасность. Проблема была официально подтверждена производителем и получила идентификатор CVE-2025-68926.
Технически уязвимость классифицируется как архитектурная. Она объединяет два типа ошибок из общепринятого списка Weakness Enumeration (CWE). Во-первых, это неправильная аутентификация (CWE-287). Во-вторых, это жесткое кодирование регистрационных данных (CWE-798). Фактически, в коде системы присутствуют статические, предопределенные логин и пароль для доступа через gRPC API. Таким образом, любой, кто знает эти данные, может аутентифицироваться в системе без каких-либо дополнительных проверок.
Уровень опасности оценен как критический по всем шкалам. Базовый балл CVSS версии 3.1 составляет 9.8 из 10. Это максимально высокий показатель для удаленных атак, не требующих аутентификации. Аналогично, оценка по CVSS 2.0 достигает максимальных 10 баллов. Эксперты подчеркивают, что уязвимость позволяет злоумышленнику получить полный контроль (C), целостность (I) и доступность (A) данных. При этом для атаки не требуется никаких специальных условий или прав.
Главная угроза заключается в простоте эксплуатации. По данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Это означает, что даже злоумышленники с низким уровнем подготовки могут воспользоваться недостатком. Они могут украсть конфиденциальную информацию, повредить или зашифровать данные для последующего вымогательства. Более того, атакующий может установить на систему вредоносное программное обеспечение для обеспечения устойчивости (persistence) или использовать ее как плацдарм для движения по сети.
Разработчики RustFS оперативно отреагировали на инцидент. Уязвимость была устранена в версии alpha.77. Соответственно, основная и настоятельная рекомендация для всех пользователей - немедленно обновиться до этой или более поздней версии. Официальный патч и детали доступны в репозитории проекта на GitHub. Тем не менее, в текущей геополитической обстановке BDU рекомендует устанавливать обновления только после тщательной оценки всех сопутствующих рисков.
Если немедленное обновление невозможно, специалисты предлагают ряд компенсирующих мер. Прежде всего, следует ограничить сетевой доступ к системе. Например, можно использовать межсетевые экраны для блокировки доступа из интернета к порту gRPC по умолчанию (9000). Кроме того, эффективной мерой может стать переход на нестандартный порт. Также рекомендуется применять схемы доступа по «белым спискам», разрешая подключения только с доверенных IP-адресов.
Дополнительный уровень защиты могут обеспечить системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны выявлять аномальные попытки доступа к API аутентификации. Организация удаленного доступа через виртуальные частные сети (VPN) также значительно снижает риск атаки извне. Однако важно понимать, что эти меры лишь усложняют эксплуатацию уязвимости, но не устраняют ее полностью.
Обнаружение этой критической проблемы в очередной раз подчеркивает важность аудита безопасности на ранних стадиях разработки. Использование жестко закодированных учетных данных является грубой архитектурной ошибкой. Она противоречит базовым принципам безопасности. В результате, инцидент с RustFS служит напоминанием для всех разработчиков распределенных систем. Необходимо тщательно проверять механизмы аутентификации и авторизации, особенно в быстро развивающихся проектах.
В заключение, уязвимость BDU:2026-00007 (CVE-2025-68926) представляет собой серьезную угрозу. Ее критический статус и наличие публичного эксплойта требуют безотлагательных действий от администраторов. Приоритетом должно стать применение официального патча.
Ссылки
- https://bdu.fstec.ru/vul/2026-00007
- https://www.cve.org/CVERecord?id=CVE-2025-68926
- https://github.com/rustfs/rustfs/security/advisories/GHSA-h956-rh7x-ppgj
