Компания Progress Software выпустила критические исправления для платформы MOVEit Automation, закрыв сразу четыре уязвимости, которые могли привести к утечке конфиденциальных данных и нарушению доступности сервисов. Событие примечательно тем, что MOVEit уже становился целью громких атак: напомню, именно через уязвимости в продуктах этой линейки хакерская группировка Clop в 2023 году похитила данные тысяч организаций по всему миру. Новые проблемы, хоть и оцениваются производителем как умеренные по степени опасности, всё же требуют немедленного внимания администраторов безопасности.
Детали уязвимостей
Речь идёт о версиях MOVEit Automation 2025.0.х до патча 2025.0.11, а также о сборках 2025.1.x, выпущенных до обновления 2025.1.7. Если ваша компания использует более старые версии, риск особенно велик. К слову, разработчик не раскрыл технических деталей эксплуатации, но опубликовал необходимые заплаты в своём бюллетене безопасности от 18 мая 2026 года.
Наиболее опасной из обнаруженных проблем, пожалуй, стоит считать уязвимость CVE-2026-8487. Она связана с некорректными разрешениями по умолчанию (то есть ошибкой в стандартных настройках прав доступа). Согласно описанию, недостаток позволяет извлечь встроенные конфиденциальные данные. Проще говоря, злоумышленник, уже имеющий учётную запись с низким уровнем привилегий, мог получить доступ к чувствительной информации, которая хранится в системе в незашифрованном виде или с неправильно настроенными правами. По шкале CVSS (стандартной системе оценки критичности уязвимостей) эта проблема получила 6,5 баллов - это средняя степень, но с высоким показателем конфиденциальности. Вектор атаки сетевой, сложность низкая, а для успеха не требуется взаимодействие с пользователем.
Остальные три уязвимости объединяет одна природа - они приводят к отказу в обслуживании. И хотя на первый взгляд последствия могут показаться менее серьёзными, чем утечка данных, их нельзя недооценивать.
Уязвимость CVE-2026-8485 относится к типу неконтролируемого выделения памяти (согласно классификации CWE - общепринятому перечню типов уязвимостей). Проблема позволяет атакующему, не имеющему учётной записи, инициировать чрезмерное потребление оперативной памяти, что в конечном счёте ведёт к исчерпанию ресурсов и падению службы. Сложность атаки высокая, но она не требует аутентификации. Оценка по CVSS - 5,9 баллов.
Другой схожий дефект, CVE-2026-8486, классифицируется как выделение ресурсов без ограничений. Подвид атаки - флудинг, то есть лавинная отправка запросов, которые система начинает обрабатывать без какого-либо контроля и регулирования. Это вызывает перегрузку и снова приводит к отказу в обслуживании, хотя и с более низкой оценкой - 5,3 балла. Примечательно, что здесь нет необходимости в аутентификации, а сложность атаки уже низкая. То есть любой внешний злоумышленник, зная публичный адрес системы, может попытаться вывести её из строя.
Последняя из списка, CVE-2026-8488, относится к тому же классу CWE-770 - "выделение ресурсов без ограничений". От предыдущей она отличается более низким показателем по CVSS (4,3 балла), поскольку требует хотя бы минимальных прав в системе и приводит лишь к частичной недоступности сервиса, а не к полному отказу. Тем не менее, для организаций, где MOVEit Automation используется в критических бизнес-процессах - например, для автоматизации передачи файлов между партнёрами или филиалами - даже временная остановка может обернуться сбоями в цепочке поставок и финансовыми потерями.
Стоит отметить, что в бюллетене Progress упоминается ещё один риск, обозначенный издателем как "проблема безопасности, не указанная производителем". Подробностей о ней компания не раскрыла, что несколько настораживает. Возможно, это внутренняя ошибка конфигурации или особенность работы модуля аутентификации, которую не сочли нужным документировать публично.
В любом случае, тактика здесь должна быть стандартной: установить исправления как можно скорее. Как показала история с MOVEit Transfer в 2023 году, атакующие не сидят сложа руки - они начинают массово сканировать интернет на предмет уязвимых серверов буквально через часы после публикации бюллетеня. Кроме того, уже тогда Progress Software обнародовала информацию о недостатках до того, как большая часть администраторов успела обновиться, что привело к эпидемии взломов.
Сейчас ситуация несколько иная: все обнаруженные дефекты имеют средний уровень критичности, а значит, у компаний есть небольшой запас времени на плановое обновление. Тем не менее, затягивать не стоит. Особенно если ваша система доступна из внешних сетей или используется для работы с данными клиентов.
Для тех, кто не может выполнить обновление мгновенно, стоит как минимум проверить текущие настройки прав доступа к MOVEit Automation и ограничить список IP-адресов, с которых разрешено подключение к веб-интерфейсу. Также имеет смысл усилить мониторинг системных журналов на предмет аномальных запросов. Если в организации развёрнута SIEM-система (программный комплекс для управления событиями информационной безопасности и корреляции данных), полезно настроить оповещения на события, связанные с чрезмерным потреблением памяти или необычными сетевыми соединениями.
В целом, ситуация не критическая, но показательная. Она напоминает, что даже зрелые продукты с многолетней историей не застрахованы от ошибок в управлении памятью и правами доступа. А для компаний, которые доверяют MOVEit Automation автоматизацию передачи чувствительных данных, своевременное обновление - не просто рекомендация, а обязательное условие сохранения доверия клиентов и партнёров.
Ссылки
- https://docs.progress.com/bundle/moveit-automation-release-notes-2026/page/Fixed-Issues-2026.html
- https://www.cve.org/CVERecord?id=CVE-2026-8488
- https://www.cve.org/CVERecord?id=CVE-2026-8487
- https://www.cve.org/CVERecord?id=CVE-2026-8486
- https://www.cve.org/CVERecord?id=CVE-2026-8485
