В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в системе управления базами данных Statistical Database System, разработанной компанией Gotac. Уязвимость, получившая идентификаторы BDU:2026-02445 и CVE-2025-10452, связана с полным отсутствием аутентификации для критически важной функции. Проще говоря, злоумышленник может получить доступ к базе данных, не представляя никаких учетных данных. Эксплуатация этой уязвимости позволяет удаленному нарушителю читать, изменять и полностью удалять содержимое базы данных. Производитель программного обеспечения уже подтвердил наличие проблемы.
Детали уязвимости
Уязвимость затрагивает все версии Statistical Database System до 1.0.1. В данный момент точный список уязвимых операционных систем и аппаратных платформ уточняется. Однако, учитывая характер уязвимости, риск затрагивает все развертывания данного программного обеспечения. Специалисты классифицируют ошибку как "Отсутствие аутентификации для критичной функции", что соответствует пункту CWE-306 в общепринятом списке слабостей программного обеспечения.
Уровень опасности этой уязвимости оценивается как критический по всем основным версиям системы оценки CVSS. Баллы достигают максимальных или близких к максимальным значений. В частности, базовая оценка по CVSS 2.0 составляет 10.0 из 10.0, что является наивысшим возможным показателем. Аналогично, оценка по CVSS 3.1 равна 9.8, а по обновленному CVSS 4.0 - 9.3. Все эти оценки подтверждают исключительную серьезность угрозы. Вектор атаки оценивается как сетевой, не требующий специальных условий для эксплуатации и каких-либо привилегий или взаимодействия с пользователем.
Основной способ эксплуатации уязвимости заключается в нарушении механизмов аутентификации. Злоумышленник, действуя удаленно, может отправить специально сформированный запрос к уязвимой функции системы. Поскольку проверка подлинности для этой функции не реализована, система выполнит запрос, предоставив атакующему полный контроль над данными. Вредоносный код или злонамеренный актор может таким образом похитить конфиденциальную информацию, подменить ее или нанести непоправимый ущерб, удалив данные. Потенциально такая атака может парализовать бизнес-процессы, зависящие от этой базы данных.
На текущий момент информация о наличии публичных эксплойтов, то есть готовых инструментов для эксплуатации уязвимости, уточняется. Тем не менее, публикация деталей уязвимости часто стимулирует киберпреступников на быстрое создание таких инструментов. Следовательно, организациям необходимо действовать незамедлительно, не дожидаясь появления активных атак. К счастью, способ устранения проблемы уже известен и является стандартным для подобных случаев.
Производитель Gotac выпустил обновление, устраняющее данную проблему. Согласно информации из BDU, уязвимость уже устранена в актуальных версиях программного обеспечения. Единственной рекомендованной мерой по устранению уязвимости является немедленное обновление Statistical Database System до версии, в которой данная ошибка исправлена. Актуальные патчи и рекомендации можно найти на официальном ресурсе, ссылка на который предоставлена в описании уязвимости.
Для справки, эксперты по безопасности настоятельно рекомендуют всем пользователям уязвимого ПО предпринять срочные действия. Во-первых, необходимо провести инвентаризацию информационных активов на предмет использования Gotac Statistical Database System версий ниже 1.0.1. Во-вторых, следует запланировать и провести немедленное обновление этого программного обеспечения в рамках регулярных процессов управления исправлениями. В-третьих, если немедленное обновление невозможно по техническим причинам, необходимо рассмотреть возможность временной изоляции систем, использующих это ПО, от публичных сетей. В частности, следует ограничить сетевой доступ к интерфейсам управления базами данных с помощью межсетевых экранов.
Обнаружение подобных уязвимостей подчеркивает важность строгого следования принципам безопасной разработки, особенно при реализации функций, работающих с критичными данными. Отсутствие базовой аутентификации является грубой архитектурной ошибкой. Между тем, своевременное реагирование на такие инциденты, включая оперативный выпуск исправлений производителем и быстрое обновление со стороны пользователей, остается ключевым элементом защиты корпоративных активов в современном ландшафте киберугроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-02445
- https://www.cve.org/CVERecord?id=CVE-2025-10452
- https://www.twcert.org.tw/en/cp-139-10380-1ce73-2.html
