В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость в популярном инструменте мониторинга вредоносного трафика Maltrail. Идентификатор уязвимости - BDU:2026-05187, также ей присвоен идентификатор CVE-2025-34073. Проблема затрагивает все версии программного обеспечения до 0.54 включительно и получила максимально возможный балл 10.0 по всем основным версиям шкалы CVSS. Эксперты предупреждают, что в открытом доступе уже существуют работающие эксплойты, что значительно повышает актуальность угрозы.
Детали уязвимости
Уязвимость затрагивает все версии Maltrail до 0.54 включительно. Этот инструмент с открытым исходным кодом широко используется для обнаружения вредоносного трафика в сетях. Проблема кроется в комбинации двух ошибок. Во-первых, это отсутствие аутентификации для критически важной функции при обработке параметра "username". Во-вторых, это классическая уязвимость внедрения команд операционной системы. В результате, атакующий может отправить специально сформированный HTTP-запрос, который система выполнит с максимальными привилегиями.
Оценка по методологии CVSS во всех актуальных версиях - 2.0, 3.1 и 4.0 - присваивает уязвимости высший балл 10.0. Это указывает на критическую тяжесть последствий. Базовый вектор атаки - сетевой, не требующий ни аутентификации злоумышленника, ни взаимодействия с пользователем. Успешная эксплуатация приводит к полному нарушению конфиденциальности, целостности и доступности целевой системы, а также позволяет атаковать другие связанные системы.
Особую остроту ситуации придаёт тот факт, что эксплойт для данной уязвимости уже существует в открытом доступе. Более того, модуль для её эксплуатации был интегрирован в фреймворк Metasploit, что значительно снижает порог входа для киберпреступников и автоматизирует процесс атаки. Следовательно, можно ожидать начала массового сканирования интернета и попыток компрометации незащищённых экземпляров Maltrail в ближайшее время.
Технически, уязвимость относится к классу инъекций. Она позволяет обойти аутентификацию и внедрить произвольные команды ОС через параметры запроса. Это даёт злоумышленнику возможность выполнить любой вредоносный код (payload) на сервере, украсть данные, установить программы-вымогатели (ransomware) или обеспечить себе постоянное присутствие (persistence) в системе. Учитывая, что Maltrail часто развёртывается с высокими привилегиями для глубокого анализа сетевого трафика, последствия взлома могут быть катастрофическими для всей инфраструктуры организации.
На текущий момент точная информация об официальном исправлении от разработчиков проекта уточняется. Однако сообщество уже активно обсуждает проблему на платформе GitHub. Пока патч не выпущен, эксперты по кибербезопасности настоятельно рекомендуют администраторам принять компенсирующие меры. В частности, следует минимизировать привилегии учётной записи, от имени которой работает Maltrail. Кроме того, необходимо отключить или удалить все неиспользуемые учётные записи пользователей в системе.
Важной мерой также является усиленный мониторинг журналов аудита. Необходимо настроить системы обнаружения вторжений (IDS) и платформы безопасности (SOC) на отслеживание подозрительных запросов к веб-интерфейсу Maltrail. Поскольку эксплойт общедоступен, сигнатуры атаки уже могут быть добавлены в базы многих защитных решений. Своевременное обнаружение попыток эксплуатации позволит предотвратить инцидент или минимизировать ущерб.
Данный случай ярко иллюстрирует классические риски, связанные с веб-интерфейсами административных систем. Отсутствие строгой аутентификации для критичных функций в сочетании с недостаточной фильтрацией пользовательского ввода создаёт идеальные условия для удалённого выполнения кода. Системы безопасности, призванные защищать инфраструктуру, сами могут стать лёгкой мишенью, если за их обновлением и настройкой не следят должным образом.
Администраторам, использующим уязвимые версии Maltrail, следует незамедлительно обратиться к официальным источникам проекта на GitHub для отслеживания выхода обновления. До момента установки патча крайне рекомендуется изолировать сервер с Maltrail от публичного интернета, ограничив доступ только доверенным IP-адресам. Постоянное присутствие в системе угрозы такого высокого уровня с доступным эксплойтом представляет собой неприемлемый риск для безопасности любой организации.
Ссылки
- https://bdu.fstec.ru/vul/2026-05187
- https://www.cve.org/CVERecord?id=CVE-2025-34073
- https://github.com/stamparm/maltrail
- https://github.com/stamparm/maltrail/issues/19146
- https://huntr.com/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/http/maltrail_rce.rb
