В конце ноября 2025 года исследователи по безопасности обнаружили критическую уязвимость в популярном фреймворке FACTION, который используется для создания отчетов по тестированию на проникновение (penetration testing). Уязвимость, получившая идентификаторы BDU:2025-14802 и CVE-2025-66022, позволяет удаленному злоумышленнику выполнить произвольный код в системе. Производитель, компания Faction Security LLC, уже подтвердил проблему и выпустил исправление. Эксперты оценивают угрозу как критическую из-за максимального базового балла 10.0 по шкале CVSS 2.0 и 9.6 по CVSS 3.1.
Детали уязвимости
Суть уязвимости заключается в отсутствии процедуры аутентификации при загрузке расширений в платформу. Технически, ошибка классифицируется как "Неправильная аутентификация" (CWE-287) и "Включение функций из недостоверной контролируемой области" (CWE-829). По сути, это архитектурная уязвимость, позволяющая злоумышленнику, действующему удаленно, загрузить вредоносное (malicious) расширение. В результате успешной эксплуатации злоумышленник может получить полный контроль над системой. Конкретно, он получает возможность выполнить произвольный код, а также читать, изменять или удалять любую информацию.
Поражаются все версии программного обеспечения FACTION до 1.7.1. Важно отметить, что FACTION позиционируется не только как прикладное ПО, но и как программное средство защиты. Следовательно, его компрометация создает двойную угрозу. Во-первых, нарушается целостность самого процесса безопасности, такого как пентест. Во-вторых, система, которая должна обеспечивать защиту, сама становится вектором для атаки. Учитывая, что фреймворк часто имеет высокие привилегии в инфраструктуре, последствия взлома могут быть катастрофическими.
Способ эксплуатации уязвимости сочетает злоупотребление функционалом и нарушение аутентификации. Поскольку процедура проверки подлинности при установке расширений отсутствует, злоумышленник может обманом заставить систему загрузить и выполнить свой вредоносный модуль (payload). Этот модуль затем обеспечит злоумышленнику постоянное присутствие (persistence) в системе. Угроза усугубляется тем, что, согласно данным бюллетеня, эксплойт для этой уязвимости уже существует в открытом доступе. Это значительно снижает порог для киберпреступников и повышает риски массовых атак.
Метрики CVSS (Common Vulnerability Scoring System) четко указывают на высочайший уровень опасности. Вектор CVSS 3.x: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H. Расшифровка показывает, что для атаки не требуется никаких специальных условий (AC:L) или привилегий (PR:N). Более того, влияние распространяется на другие компоненты системы (S:C), а последствия затрагивают конфиденциальность, целостность и доступность на максимальном уровне (C:H/I:H/A:H). Проще говоря, уязвимость легко эксплуатируется удаленно и дает полный контроль.
К счастью, уязвимость уже устранена производителем. Единственный надежный способ защиты - немедленное обновление программного обеспечения до версии 1.7.1 или новее. Компания Faction Security LLC предоставила патч, детали которого опубликованы на GitHub. Администраторам и специалистам по кибербезопасности настоятельно рекомендуется проверить все свои инстансы FACTION и применить обновление без задержки. Промедление может привести к взлому, особенно с учетом доступности эксплойта.
Данный инцидент служит важным напоминанием для всей индустрии. Даже инструменты, созданные для обеспечения безопасности, сами могут содержать серьезные изъяны. Поэтому принцип "не доверяй, проверяй" (zero trust) должен применяться ко всем элементам инфраструктуры. Регулярное обновление ПО, мониторинг активности и сегментация сетей остаются ключевыми практиками для снижения рисков. Эксперты также советуют после обновления проверить системы на признаки возможного уже состоявшегося компрометирования.
Ссылки
- https://bdu.fstec.ru/vul/2025-14802
- https://www.cve.org/CVERecord?id=CVE-2025-66022
- https://github.com/factionsecurity/faction/commit/c6389f1c76175b7c1c68d1a87b389311b16c62c3
- https://github.com/factionsecurity/faction/security/advisories/GHSA-xr72-2g43-586w
