Критический дуэт уязвимостей в Apache APISIX: злоумышленники могут обойти аутентификацию и подделать запросы

vulnerability

В Банке данных угроз безопасности информации (BDU) опубликованы сведения сразу о двух опасных уязвимостях, затрагивающих популярный облачный API-шлюз Apache APISIX. Обе проблемы носят критический характер и позволяют удалённому нарушителю либо получить несанкционированный доступ к защищаемой информации, либо инициировать подделку межсайтовых запросов. Речь идёт об уязвимости в плагине jwt-auth (BDU:2026-08920) и уязвимости в плагине cas-auth (BDU:2026-08935). Специалистам по защите периметра следует обратить на эти находки самое пристальное внимание: речь идёт о версиях продукта, начиная с 2.12.0 и заканчивая 3.16.0 включительно.

Детали уязвимостей

Начнём с первой уязвимости, которая получила идентификатор CVE-2026-39999. Её суть заключается в том, что плагин jwt-auth, предназначенный для проверки JSON Web Token, неправильно обрабатывает определённые токены. Из-за программной ошибки нарушитель может подменить подпись или содержимое утверждений и таким образом обойти механизмы аутентификации. В терминах CWE это квалифицируется как обход аутентификации посредством спуфинга, то есть подмены данных или сетевых идентификаторов. Злоумышленнику не требуется предварительная авторизация: он действует удалённо, через сеть. При векторе атаки AV:N (сеть) и нулевой сложности эксплуатации (AC:L) вероятность успешного использования этой ошибки крайне высока.

В чём конкретно заключается опасность? Если атакующий успешно обойдёт аутентификацию, он получит доступ к функциям API-шлюза, которые обычно защищены. Более того, поскольку уязвимость имеет высокую оценку конфиденциальности и целостности (C:H/I:H), нарушитель сможет не только читать защищённые данные, но и модифицировать их. По шкале CVSS 2.0 базовый балл достигает 9,4 - это высокий уровень опасности. В пересчёте на актуальную версию CVSS 3.1 оценка выросла до 9,1, что уже считается критическим уровнем. Производитель - Apache Software Foundation - подтвердил наличие ошибки и выпустил патч. На момент публикации сведений о готовом эксплойте нет, но корпоративный сектор, использующий APISIX в качестве облачного API-шлюза, должен действовать на опережение.

Вторая уязвимость (CVE-2026-49871) хотя и относится к другой категории, не менее серьезна. Она найдена в плагине cas-auth, который отвечает за интеграцию с протоколом единого входа CAS. Ошибка представляет собой классическую межсайтовую подделку запросов (CSRF). Простыми словами, атакующий может обманом заставить браузер жертвы выполнить нежелательные действия на сервере, используя доверенные куки или сессионные данные. Вектор атаки всё тот же - сеть, сложность низкая. Отличие в том, что для успешной эксплуатации требуется взаимодействие с пользователем (UI:R). Злоумышленнику необходимо, чтобы администратор или пользователь сервиса перешёл по вредоносной ссылке или загрузил скомпрометированную страницу.

Последствия CSRF-атаки на API-шлюз могут быть катастрофическими. Нарушитель сможет добавлять новых пользователей, изменять маршруты, отключать механизмы безопасности или перехватывать трафик. Базовый балл по CVSS 2.0 тот же - 9,4, а по CVSS 3.1 - 9,3, что также является критической оценкой. Примечательно, что в отличие от первой уязвимости, которая затрагивает все версии начиная с 2.12.0, данный баг присутствует в APISIX с версии 3.0.0 до 3.16.0 включительно. Архитектура ошибки отнесена к классу уязвимости архитектуры, что подразумевает неверный концептуальный подход к защите от CSRF, а не просто опечатку в коде.

Оба дефекта производитель устранил в обновлениях, выпущенных вскоре после раскрытия информации. Рекомендую всем администраторам, использующим Apache APISIX, немедленно проверить версию своего программного обеспечения и применить патч, либо, если это невозможно по техническим причинам, временно отключить проблемные плагины. Ссылки на официальные бюллетени и дистрибутивы обновлений уже доступны в репозитории Apache и на портале Openwall.

В профессиональной среде регулярно возникают дискуссии о безопасности управления API, и данный инцидент - яркое напоминание о том, что даже зрелые проекты с многолетней историей могут содержать скрытые критические уязвимости. Apache APISIX используется сотнями компаний по всему миру как основной шлюз для микросервисной архитектуры. Утечка данных из-за обхода аутентификации или подделки запросов может нанести серьёзный ущерб репутации и бизнесу.

Подводя итог, можно сказать, что анонсированные уязвимости требуют незамедлительных мер со стороны служб информационной безопасности. Приоритетной задачей становится обновление до версии 3.17.0 или выше. Администраторам также стоит усилить мониторинг входящих запросов и логов на предмет подозрительной активности, связанной с плагинами аутентификации. Ситуация осложняется тем, что уязвимости действуют на удалённой основе и не требуют высоких привилегий для старта атаки. В таких условиях только своевременное обновление и грамотная настройка могут гарантировать защиту от злоумышленников.

Ссылки

Комментарии: 0