В Банке данных угроз безопасности информации (BDU) Федеральной службы по техническому и экспортному контролю появилась запись о критической уязвимости в популярном программном обеспечении для совместной работы SOGo. Позднее выяснилось, что речь идёт о двух взаимосвязанных проблемах, получивших идентификаторы BDU:2026-07862 (CVE-2026-39179) и BDU:2026-07863 (CVE-2026-39178). Обе уязвимости затрагивают один и тот же компонент - механизм поиска контактов. А самое тревожное заключается в том, что злоумышленнику не требуется проходить аутентификацию, чтобы атаковать сервер.
Детали уязвимости
SOGo - это решение с открытым исходным кодом, которое предоставляет организациям инструменты для работы с электронной почтой, календарями и адресными книгами. Его часто разворачивают в государственных учреждениях, образовательных организациях и среднем бизнесе, где ценят контроль над собственной инфраструктурой. Именно поэтому новость о найденных уязвимостях вызвала серьёзное беспокойство среди администраторов.
Давайте разберёмся, что именно произошло. Разработчики Inverse Inc. подтвердили, что в версиях SOGo вплоть до 5.12.7 компонент поиска контактов некорректно обрабатывает входящие запросы к базе данных. Иными словами, вредоносный код, переданный в строке поиска, может быть интерпретирован как часть SQL-запроса. Такая ошибка известна специалистам как "внедрение SQL" (SQL-инъекция). Это классический тип атаки, при котором нарушитель вставляет в поле ввода специальные команды, заставляя базу данных выполнять произвольные действия.
Уровень опасности подтверждён максимально возможными оценками CVSS 3.1 - 10,0 баллов. Базовый вектор указывает, что уязвимость эксплуатируется удалённо, без привилегированного доступа и без участия пользователя. Более того, атака может затронуть не только саму базу данных, но и всю инфраструктуру, на которой развёрнут SOGo. Дело в том, что многие серверы групповой работы традиционно настраиваются с повышенными привилегиями для обеспечения производительности. В результате компрометация одного компонента открывает путь к выполнению произвольного кода.
Каковы практические последствия? Представьте, что в организации, использующей SOGo, сотрудники ищут контакты коллег через веб-интерфейс. Злоумышленник, отправив специально сформированный поисковый запрос, может извлечь из базы данных содержимое всех адресных книг, включая личные данные, номера телефонов и служебные заметки. Более того, используя SQL-инъекцию, атакующий способен выполнить команды на сервере, что даёт ему полный контроль над системой. На практике это означает возможность установки программ-вымогателей (ransomware), кражу паролей к почте и календарям, а также использование скомпрометированного сервера для дальнейших атак внутри сети.
Важно отметить, что на момент публикации информации официальные представители Inverse Inc. уже выпустили обновление. Версия 5.12.7 содержит исправления для обеих уязвимостей. Разработчики опубликовали релиз на официальном сайте и в репозитории GitHub. Поэтому главная рекомендация для администраторов - как можно скорее обновить серверное программное обеспечение. Тем, кто использует более старые версии или дистрибутивы, где пакеты обновляются с задержкой, следует проверить доступность патча через штатные средства управления.
С точки зрения эксплуатации, пока нет подтверждённых данных о наличии готового публичного эксплойта. Однако практика показывает, что для критических уязвимостей с простым механизмом атаки подобные инструменты появляются в течение нескольких дней. Более того, сам по себе класс SQL-инъекций хорошо изучен, и написать работающую атаку для опытного злоумышленника не составляет труда. Следовательно, каждую минуту промедления с обновлением повышает риск взлома.
Стоит добавить, что подобные инциденты не редкость для программного обеспечения с открытым исходным кодом. Открытость кода, с одной стороны, позволяет сообществу быстро находить и исправлять ошибки. Но с другой - она даёт атакующим возможность изучать код в поисках уязвимостей до того, как выйдет патч. В данном случае разработчики сработали оперативно: после выявления проблемы прошло всего несколько дней до выпуска исправления.
В качестве временной меры можно ограничить доступ к веб-интерфейсу SOGo только из доверенных подсетей, а также включить строгую фильтрацию вводимых данных на уровне веб-сервера. Однако эти действия лишь снижают поверхность атаки, а не устраняют уязвимость полностью. Единственный надёжный способ защиты - установка версии 5.12.7 или более новой.
В заключение отмечу, что данная ситуация лишний раз напоминает о важности своевременного обновления даже тех компонентов инфраструктуры, которые долгое время работают стабильно. SOGo заслужил репутацию надёжного продукта, но любое программное обеспечение может содержать ошибки. Внимательность администраторов и следование рекомендациям производителя остаются лучшей защитой от подобных инцидентов.
Ссылки
- https://bdu.fstec.ru/vul/2026-07862
- https://bdu.fstec.ru/vul/2026-07863
- https://www.cve.org/CVERecord?id=CVE-2026-39179
- https://www.cve.org/CVERecord?id=CVE-2026-39178
- https://www.sogo.nu/news/2026/sogo-v5127-released.html
- https://github.com/Alinto/sogo/releases
