В Банке данных угроз безопасности информации (BDU) зарегистрирована новая опасная уязвимость, затрагивающая популярную платформу для управления сетью. Речь идёт об ошибке в продукте MICROSENS NMP Web+, получившей идентификаторы BDU:2026-00295 и CVE-2025-49153. Уязвимость классифицирована как критическая по всем актуальным версиям системы оценки CVSS, что подчёркивает её серьёзность и потенциальную опасность для инфраструктур предприятий.
Детали уязвимости
Суть проблемы заключается в так называемом «обходе пути» (CWE-22). Говоря простым языком, в программном обеспечении отсутствует корректная проверка вводимых пользователем данных, указывающих на путь к файлам или каталогам. Следовательно, злоумышленник, действующий удалённо и не имеющий легитимных прав доступа (PR:N в CVSS 3.x), может сконструировать специальный запрос. Этот запрос позволит ему выйти за пределы предназначенного для веб-доступа каталога и обратиться к произвольным файлам на сервере. Однако в данном случае последствия ещё серьёзнее. Уязвимость позволяет не просто читать системные файлы, а выполнять произвольный код (RCE). Фактически, это даёт атакующему полный контроль над уязвимой системой.
Продукт MICROSENS NMP Web+ представляет собой веб-платформу для централизованного мониторинга и администрирования сетевого оборудования. Таким образом, компрометация этого ПО открывает путь к самой сети организации. Злоумышленник может получить доступ к конфигурациям коммутаторов и маршрутизаторов, перехватывать трафик или использовать взломанный сервер как плацдарм для атак на другие внутренние ресурсы. Под угрозой оказываются конфиденциальность, целостность и доступность данных (C:I:C/A:C в CVSS 2.0).
Согласно данным BDU, уязвимости подвержены все версии NMP Web+ до 3.2.5 включительно. Производитель MICROSENS уже подтвердил наличие проблемы и выпустил исправления. На текущий момент информация о наличии публичных эксплойтов уточняется. Однако высокая степень опасности и относительная простота эксплуатации подобных уязвимостей обхода пути означают, что такие инструменты могут появиться в кратчайшие сроки.
Единственным эффективным способом устранения угрозы является незамедлительное обновление программного обеспечения. Производитель предоставляет патчи и обновлённые версии на своём официальном сайте в разделе поддержки. Системным администраторам и специалистам по информационной безопасности настоятельно рекомендуется проверить все инсталляции MICROSENS NMP Web+ в своей инфраструктуре и обновить их до актуальной, защищённой версии. Если немедленное обновление по каким-либо причинам невозможно, следует рассмотреть временные компенсирующие меры. Например, можно ограничить сетевой доступ к веб-интерфейсу NMP Web+ только с доверенных IP-адресов или сегментов сети.
Данный инцидент служит очередным напоминанием о важности своевременного управления обновлениями, особенно для программного обеспечения, выполняющего критически важные функции управления инфраструктурой. Киберпреступники, включая группы APT, постоянно сканируют интернет на наличие систем с известными уязвимостями. Критическая уязвимость, позволяющая выполнить произвольный код удалённо без аутентификации, является для них чрезвычайно привлекательной целью. Эксплуатация такой ошибки может стать первым шагом в сложной цепочке атаки, ведущей к установке вредоносного ПО, шифровальщика или обеспечению устойчивости (persistence) злоумышленника в сети.
В заключение, уязвимость BDU:2026-00295 в MICROSENS NMP Web+ представляет собой существенный риск. Её критический уровень опасности, оценённый в 9.8 баллов по CVSS 3.1, требует самого пристального внимания со стороны ИТ-сообщества. Оперативное применение патчей - это ключевое действие для предотвращения потенциальных инцидентов безопасности, которые могут привести к масштабным утечкам данных и операционным сбоям.
Ссылки
- https://bdu.fstec.ru/vul/2026-00295
- https://www.cve.org/CVERecord?id=CVE-2025-49153
- https://www.microsens.com/support/downloads/nmp/
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-07
