Компания Fortra раскрыла информацию о критической уязвимости внедрения команд операционной системы в платформе Core Privileged Access Manager (ранее BoKS). Проблема зарегистрирована под идентификатором CVE-2026-9862 и получила оценку 9,8 балла по шкале CVSS v3.1 (система оценки критичности уязвимостей), что относит её к категории критических. Уязвимость обнаружена исследователями 27 мая 2026 года, а публичное уведомление выпущено 15 июня 2026 года. Исправление на момент публикации отсутствует, вендор предложил только временные меры защиты.
Уязвимость CVE-2026-9862
Уязвимость затрагивает службу boks_autoregisterd, которая отвечает за процессы автоматической регистрации в среде BoKS. В соответствии с бюллетенем Fortra (FI-2026-007), проблема классифицируется как CWE-78 - недостаточная нейтрализация специальных элементов при формировании команд операционной системы. Причина кроется в некорректной санации входных данных в процедурах аутрегистрации. Злоумышленник, не имеющий аутентификации, но обладающий сетевым доступом к уязвимой службе, может отправить специально сформированный запрос и добиться выполнения произвольных команд.
Поскольку служба boks_autoregisterd исполняет команды с собственными привилегиями, успешная эксплуатация уязвимости может привести к полному компрометации системы. В случае атаки злоумышленник получает возможность управлять сервером, модифицировать данные, нарушать штатную работу или создавать учётные записи с расширенными правами. Никакого взаимодействия с пользователем для эксплуатации не требуется. Атака проводится удалённо по сети, что делает её особенно опасной для систем, доступных из внешней среды.
По умолчанию служба boks_autoregisterd прослушивает порт 6507. Эта конфигурация делает её уязвимой в средах со слабой сегментацией сети или плохо настроенными межсетевыми экранами. Системы управления привилегированным доступом (PAM - класс решений для контроля и аудита действий привилегированных пользователей) традиционно являются высокоприоритетными целями для злоумышленников. Компрометация такого компонента даёт атакующему централизованный канал для эскалации привилегий и латерального перемещения внутри инфраструктуры предприятия.
Fortra подтвердила наличие уязвимости, но не предоставила номер версии, в которой проблема будет исправлена, или готовый патч. Компания рекомендовала временные меры. В первую очередь - ограничить сетевой доступ к службе аутрегистрации, разрешив подключения только с доверенных узлов или внутренних сегментов. Администраторам также предлагается отключить уязвимую службу. Для этого необходимо изменить файл конфигурации boksinit на главном сервере BoKS, закомментировав строку запуска службы аутрегистрации, а затем перезагрузить конфигурацию или перезапустить службу. Отключение службы предотвращает эксплуатацию, но приостанавливает функциональность автоматической регистрации до восстановления настроек.
Специалистам по информационной безопасности рекомендуется немедленно идентифицировать все экземпляры BoKS в своей среде и применить сетевые средства защиты. Особое внимание стоит уделить мониторингу активности на порту 6507. Аномальные попытки подключения или подозрительные команды в журналах должны быть проверены. Требуется также усилить контроль доступа в рамках системы обнаружения и реагирования на инциденты.
Уязвимость CVE-2026-9862 демонстрирует сохраняющуюся угрозу, связанную с внедрением команд в программном обеспечении класса enterprise. Атакующие всё чаще нацеливаются на системы управления идентификацией и доступом, стремясь получить привилегированный доступ к корпоративным ресурсам. Для организаций, использующих Core Privileged Access Manager в уязвимых версиях, ситуация требует немедленного реагирования. Пока не выпущен исправляющий патч, администраторы обязаны полагаться на временные меры: строгую сегментацию сети, блокировку порта 6507 из внешних сетей и мониторинг подозрительной активности. Промедление с применением защитных мер повышает риск полной компрометации инфраструктуры.
Ссылки
