Два опасных дефекта безопасности одновременно выявлено в популярном сервере приложений Apache Tomcat. Одна из уязвимостей уже получила публичный эксплойт, а это означает, что злоумышленники могут начать массовые атаки в любой момент. Под удар попали тысячи организаций по всему миру, включая российских пользователей операционной системы РЕД ОС.
Детали уязвимостей
Речь идёт о двух записях из Банка данных угроз безопасности информации (BDU) - BDU:2026-08081 и BDU:2026-08085. Обе уязвимости получили максимальные оценки по шкале CVSS 3.1 - 9,8 балла из 10. Это критический уровень опасности. Первая проблема связана с обходом аутентификации, вторая - с недостаточной проверкой вводимых данных, что позволяет вызвать отказ в обслуживании.
Особую тревогу вызывает уязвимость, зафиксированная под идентификатором CVE-2026-43512 (BDU:2026-08081). Её эксплуатация позволяет удалённому нарушителю повысить свои привилегии в системе. Злоумышленнику не нужны учётные данные - атака выполняется без аутентификации. Вредоносный код уже опубликован в открытых репозиториях, в частности на GitHub. Любой желающий может скачать готовое доказательство концепции (PoC) и запустить атаку на незащищённые серверы.
Вторая уязвимость (CVE-2026-41293, BDU:2026-08085) также критична, но пока информация о наличии готового эксплойта уточняется. Однако и она позволяет удалённо нарушить работу сервера, вплоть до полного отказа в обслуживании. Вектор атаки - манипулирование ресурсами, что в сочетании с другими техниками может привести к серьёзным последствиям.
На первый взгляд может показаться, что уязвимости затрагивают только Apache Tomcat. Но на деле проблема гораздо шире. Tomcat входит в состав многих дистрибутивов Linux, включая Ubuntu, Debian, а также российскую операционную систему РЕД ОС. Red Hat Process Automation, JBoss Web Server и OpenShift Dev Spaces тоже попали в список уязвимых продуктов. Получается, что атака может быть направлена не только на отдельный сервер приложений, но и на целые инфраструктурные решения. Под ударом оказались практически все актуальные версии Tomcat. Для ветки 9.x это версии от 9.0.0.M1 до 9.0.17 для первого дефекта и до 9.0.117 для второго. Версии 10.x поражаются до 10.1.54, а 11.x - до 11.0.21. При этом разработчики уже выпустили исправления. Проблема в том, что многие организации до сих пор не обновили свои системы.
Последствия атаки могут быть катастрофическими. Если злоумышленник использует уязвимость обхода аутентификации, он получает полный контроль над сервером. Это означает кражу базы данных, подмену веб-страниц, установку программ-шпионов или программ-вымогателей. В случае отказа в обслуживании бизнес рискует потерять доступ к критически важным приложениям, что приведёт к финансовым потерям. Особенно уязвимы организации, использующие устаревшие операционные системы. Например, Ubuntu 18.04 LTS, Debian 11, а также Red Hat Process Automation версии 7 - все они входят в зону поражения. Российская РЕД ОС версий 7.3 и 8.0 также не защищена без установки обновлений.
Что делать администраторам? В первую очередь необходимо срочно обновить Apache Tomcat до последних версий. Для ветки 9.x это версия 9.0.18 и выше, для 10.x - от 10.1.55, для 11.x - от 11.0.22. Разработчики операционных систем уже выпустили соответствующие патчи. Для пользователей РЕД ОС адрес для получения обновлений - репозиторий redos.red-soft.ru. Пользователи Ubuntu и Debian могут найти исправления на страницах security-tracker.debian.org и ubuntu.com/security.
Кроме того, следует проверить системы на наличие признаков компрометации. В открытом доступе есть готовый эксплойт, и злоумышленники уже могли использовать его в атаках. Особое внимание стоит уделить логам Tomcat, а также провести аудит учётных записей системы. В идеале - временно изолировать уязвимые серверы от внешней сети, пока не будут установлены обновления.
Эти инциденты напоминают о том, что даже популярное и хорошо поддерживаемое программное обеспечение может содержать критические дефекты. Apache Tomcat используется в тысячах организаций - от небольших интернет-магазинов до государственных порталов. Игнорировать угрозу больше нельзя. Время на раздумья практически не осталось.
Ссылки
- https://bdu.fstec.ru/vul/2026-08081
- https://bdu.fstec.ru/vul/2026-08085
- https://www.cve.org/CVERecord?id=CVE-2026-43512
- https://www.cve.org/CVERecord?id=CVE-2026-41293
- https://github.com/covepseng/cve-2026-43512-poc
- https://github.com/advisories/GHSA-h6fc-48rj-7qqh
- https://github.com/advisories/GHSA-r29c-68gh-xp6x
