Компания NetApp опубликовала серию бюллетеней безопасности, в которых сообщила об обнаружении четырёх уязвимостей, затрагивающих несколько линеек её продуктов. Проблемы связаны с использованием сторонних библиотек - Go (Golang, язык программирования Go) и tar-fs (библиотека для работы с tar-архивами). Злоумышленник, успешно воспользовавшийся этими уязвимостями, может удалённо нарушить работу систем, получить несанкционированный доступ к данным или изменить их. На момент публикации NetApp выпустила необходимые обновления, однако организации, не установившие патчи, остаются под угрозой.
Детали уязвимостей
Первая и наиболее опасная уязвимость зарегистрирована под идентификатором CVE-2023-24531. Она связана с компонентом Golang в версиях Go до 1.21.0-0. CVSS-оценка этой уязвимости составляет 9,8 из 10 - критический уровень. Вектор атаки сетевой, сложность низкая, для эксплуатации не требуется аутентификация. Успешная эксплуатация позволяет злоумышленнику полностью скомпрометировать систему: получить доступ к конфиденциальной информации, изменить данные или вызвать отказ в обслуживании (DoS). NetApp подтвердила, что данная уязвимость уже обсуждается в открытых источниках, что повышает вероятность её активного использования.
Вторая уязвимость, CVE-2025-22870, также затрагивает Golang, но на этот раз пакеты net/http и net/proxy в версиях ниже 0.36.0. Ей присвоен высокий уровень опасности с оценкой 7,5. Вектор атаки аналогичен - удалённый, без аутентификации. Последствия ограничены нарушением целостности данных: злоумышленник может добавлять или изменять информацию, но не может напрямую похитить данные или вызвать отказ в обслуживании. Тем не менее, даже частичное искажение данных в системах хранения может привести к серьёзным последствиям для бизнеса.
Третья уязвимость, CVE-2024-12905, связана с библиотекой tar-fs. Уязвимы версии tar-fs ниже 1.16.4, а также ветки 2.0.0 до 2.1.2 и 3.0.0 до 3.0.7. CVSS-оценка также 7,5 (высокий). Проблема позволяет нарушить целостность данных: злоумышленник может модифицировать файлы внутри архивов, обрабатываемых продуктами NetApp. Учитывая, что tar-архивы часто используются для резервного копирования и передачи данных, подобная атака способна внедрить вредоносное содержимое в цепочки поставок. Эксплуатация также возможна удалённо без аутентификации.
Четвёртая уязвимость, CVE-2025-47907, вновь затрагивает Golang - версии ниже 1.23.12, ниже 1.24.6 и ниже 1.25-rc3. Оценка CVSS - 7,0 (высокий). Вектор атаки сетевой, но сложность повышена (требует определённых условий). Тем не менее, последствия масштабны: раскрытие конфиденциальной информации, возможность изменения данных и отказа в обслуживании. NetApp также отмечает, что о данной уязвимости известно публично.
Все четыре уязвимости затрагивают следующие продукты NetApp: Console Agent версий ниже 4.3.0, Shift Toolkit версий ниже 2.2, Trident Autosupport версий ниже 25.06.0, Trident Protect без последнего исправления безопасности, а также Trident версий ниже 25.06.0. Таким образом, под ударом оказались как инструменты управления и оркестрации контейнерных сред (Trident, Trident Protect), так и вспомогательные утилиты.
NetApp уже опубликовала соответствующие бюллетени: NTAP-20250328-0005 (CVE-2023-24531), NTAP-20250509-0007 (CVE-2025-22870), NTAP-20250801-0003 (CVE-2024-12905) и NTAP-20250829-0001 (CVE-2025-47907). Все бюллетени датированы 9 июня 2026 года, статус - финальный. Компания рекомендует пользователям незамедлительно обновить затронутые компоненты до указанных в документации версий.
Важно подчеркнуть, что эти уязвимости не являются единичным инцидентом, а представляют собой системную проблему, связанную с использованием сторонних библиотек с открытым исходным кодом. Golang и tar-fs широко применяются не только в продуктах NetApp, но и во многих других корпоративных решениях. Поэтому обнаружение подобных уязвимостей может затронуть более широкий круг систем, если вендоры своевременно не выпустят патчи.
Для организаций, использующих перечисленные продукты NetApp, первоочередной мерой должно стать развёртывание обновлений. Без установки патчей сохраняется высокая вероятность удалённой компрометации: злоумышленник может не только парализовать работу систем хранения данных, но и украсть или исказить критически важную информацию. Учитывая, что по всем четырём уязвимостям уже есть публичные обсуждения, можно ожидать появления эксплойтов в ближайшее время.
Ссылки
- https://security.netapp.com/advisory/NTAP-20250829-0001
- https://security.netapp.com/advisory/NTAP-20250801-0003
- https://security.netapp.com/advisory/NTAP-20250328-0005
- https://security.netapp.com/advisory/NTAP-20250509-0007
