В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, получившая идентификаторы BDU:2026-00004 и CVE-2025-27364. Данная уязвимость затрагивает популярную автоматизированную систему эмуляции действий нарушителей Caldera, разрабатываемую при поддержке некоммерческой организации MITRE. Уязвимость связана с плагинами Manx и Sandcat и позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе.
Детали уязвимости
Caldera широко используется специалистами по информационной безопасности для тестирования на проникновение, моделирования атак Advanced Persistent Threat и отработки реагирования на инциденты. Эксплуатация этой уязвимости в рабочей среде может привести к полному компрометированию тестовой инфраструктуры. Следовательно, злоумышленник потенциально способен получить контроль над системами, предназначенными для отражения реальных атак.
Техническая суть проблемы классифицируется как "непринятие мер по нейтрализации специальных элементов" или, согласно общепринятой классификации Common Weakness Enumeration, как CWE-78 - внедрение в команду операционной системы. Проще говоря, в коде плагинов Manx и Sandcat отсутствовала должная проверка и очистка пользовательского ввода. В результате, специально сформированные данные могли интерпретироваться системой как команды операционной системы для выполнения.
Уровень опасности уязвимости оценивается как критический по всем основным метрикам. Базовая оценка по шкале CVSS 2.0 и CVSS 3.1 составляет максимальные 10 баллов. Согласно вектору CVSS 3.1 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), для эксплуатации не требуются аутентификация или взаимодействие с пользователем, а последствия затрагивают не только целевую систему, но и смежные ресурсы. Таким образом, уязвимость позволяет осуществить полный захват контроля, что включает в себя кражу данных, нарушение целостности информации и отказ в обслуживании.
Уязвимости подвержены версии Caldera Graphics до 5.1.0. Разработчики из MITRE оперативно отреагировали на обнаруженную проблему. Уязвимость уже подтверждена вендором и устранена в актуальных версиях программного обеспечения. Соответственно, основной и единственной рекомендованной мерой защиты является немедленное обновление Caldera до последней стабильной версии, доступной на официальной странице проекта на GitHub.
Сообществу уже предоставлены все необходимые патчи и рекомендации по устранению. В частности, исправления были внесены в рамках коммитов в репозитории проекта. Примечательно, что информация об уязвимости и способе ее эксплуатации уже существует в открытом доступе. Этот факт значительно повышает актуальность скорейшего применения обновлений, поскольку снижает порог входа для потенциальных атакующих.
Обнаружение такой серьезной уязвимости в инструменте, предназначенном для укрепления обороны, служит важным напоминанием для всех специалистов по кибербезопасности. Во-первых, даже инструменты защиты требуют самого пристального внимания к их собственной безопасности и регулярного обновления. Во-вторых, тестовые и лабораторные среды не должны рассматриваться как второстепенные. Часто они имеют доступ к критическим активам или содержат конфиденциальные данные о внутренней инфраструктуре организации.
Эксперты подчеркивают, что закрытие уязвимости CVE-2025-27364 должно быть приоритетной задачей для всех команд SOC , использующих Caldera. Промедление с установкой патчей может превратить инструмент для обороны в точку входа для реальных злоумышленников. В целом, данный инцидент наглядно демонстрирует принцип "доверяй, но проверяй", который должен применяться ко всему программному обеспечению, независимо от его назначения.
Ссылки
- https://bdu.fstec.ru/vul/2026-00004
- https://www.cve.org/CVERecord?id=CVE-2025-27364
- https://github.com/mitre/caldera/commit/35bc06e42e19fe7efbc008999b9f993b1b7109c0
- https://github.com/mitre/caldera/pull/3129
- https://github.com/mitre/caldera/pull/3131/commits/61de40f92a595bed462372a5e676c2e5a32d1050
- https://github.com/mitre/caldera/releases
- https://github.com/mitre/caldera/security
