Специалисты по кибербезопасности вновь обращают внимание на платформы виртуализации. Стало известно об обнаружении сразу трёх критических уязвимостей в таких распространённых решениях, как XCP-ng версии 8.3.0 и XenServer версии 8.4. Все три уязвимости получили максимальные оценки опасности по международной шкале. Речь идёт о баллах 9,9 из 10 по системе CVSS 3.1. Такой рейтинг однозначно указывает на серьёзную угрозу для всех организаций, использующих эти гипервизоры.
Детали уязвимостей
Проблемы были выявлены 20 апреля 2026 года. Уязвимости зарегистрированы в Банке данных угроз безопасности информации (BDU) под номерами BDU:2026-07087, BDU:2026-07088 и BDU:2026-07089. Им также присвоены международные идентификаторы CVE-2026-23559, CVE-2026-23560 и CVE-2026-23561 соответственно. В связи с этим важно разобраться, о каких именно угрозах идёт речь.
Все три уязвимости относятся к одному классу - они связаны с неправильным контролем доступа (CWE-284). Если говорить простым языком, то речь идёт об ошибках в подсистеме ролевого управления доступом RBAC. Именно через эту подсистему злоумышленник может получить полный контроль над гипервизором.
Первая уязвимость (BDU:2026-07087) кроется в функции set_other_config(). Этот компонент отвечает за настройку дополнительных параметров виртуальных машин. Проблема в том, что нарушитель, имеющий лишь ограниченные права в системе, может удалённо подключиться к гипервизору и смонтировать собственный образ виртуального жёсткого диска. По сути, злоумышленнику достаточно отправить специально подготовленный запрос, чтобы получить несанкционированный доступ к файловой системе хоста. Это открывает огромные возможности для кражи данных или внедрения вредоносных программ.
Вторая уязвимость (BDU:2026-07088) ещё опаснее. Она находится в коде, отвечающем за проверку прав в так называемых системных доменах - специальных защищённых областях гипервизора. Ошибка в данной функции позволяет нарушителю, действующему удалённо, повысить свои привилегии до уровня root. Таким образом, даже обычный пользователь может превратиться в полного администратора всей платформы виртуализации.
Третья уязвимость (BDU:2026-07089) связана с драйвером подсистемы управления хранилищем, или storage driver domain. Этот компонент отвечает за работу с дисковыми массивами. Здесь допущена аналогичная ошибка разграничения доступа. Злоумышленник, используя эту уязвимость, также может получить привилегии root. В итоге все три проблемы ведут к одному результату - полному захвату управления гипервизором.
В чём заключается главная опасность для бизнеса? Гипервизор - это основа любой инфраструктуры виртуализации. Он управляет всеми виртуальными машинами и распределяет ресурсы сервера. Если злоумышленник получает над ним контроль, то ему становятся доступны все гостевые операционные системы, которые на нём работают. А это значит, что атакующий может похитить любые данные, хранящиеся на этих виртуальных машинах, остановить критически важные бизнес-процессы или использовать заражённые серверы для дальнейших атак. Последствия могут быть катастрофическими для любой компании.
Теперь о хороших новостях. Разработчики уже выпустили обновления, устраняющие эти бреши. Для XCP-ng патч доступен в дистрибутиве версии 26.1.11, а также по ссылке на официальном сайте Vates. Для XenServer аналогичное исправление опубликовала компания Citrix. Более того, производители подтвердили, что эксплойты уже существуют в открытом доступе. Это означает, что любой мало подготовленный злоумышленник может воспользоваться этими инструкциями.
Специалистам по информационной безопасности следует действовать незамедлительно. В первую очередь необходимо как можно скорее установить обновления на все серверы, работающие под управлением XCP-ng 8.3.0 и XenServer 8.4. Сделать это важно в кратчайшие сроки, так как уязвимости, по сути, представляют собой открытую дверь для взлома.
Если немедленное обновление по каким-то причинам невозможно, стоит применить компенсирующие меры. Например, ограничить удалённый доступ к гипервизору с помощью межсетевых экранов. Рекомендуется сегментировать сеть, чтобы к уязвимому оборудованию не могли обращаться системы из других подсетей. Кроме того, полезно задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Однако стоит понимать, что все эти меры - лишь временное решение. Полную защиту даёт только обновление.
Впрочем, есть и ещё один важный аспект. Данная история лишний раз напоминает о том, как быстро меняется ландшафт угроз. Казалось бы, банальные ошибки в разграничении доступа, которые изучают ещё на первых курсах профильных вузов, до сих пор встречаются в таких зрелых продуктах. Это говорит о том, что безопасность - не статичная цель, а постоянный процесс. Компаниям, использующим XCP-ng или XenServer, стоит на регулярной основе мониторить официальные бюллетени безопасности вендоров. Ведь уязвимости, подобные этим, не просто ставят под угрозу отдельные сервера. Они угрожают всей корпоративной инфраструктуре.
Подводя итог, можно сказать, что ситуация довольно тревожная, но не критическая при условии своевременного реагирования. Три обнаруженные бреши - это не теоретические недочёты, а рабочие инструменты для атак. Но так как обновления уже вышли, у администраторов есть все шансы защитить свои системы. Главное - не откладывать это на потом.
Ссылки
- https://bdu.fstec.ru/vul/2026-07087
- https://bdu.fstec.ru/vul/2026-07088
- https://bdu.fstec.ru/vul/2026-07089
- https://www.cve.org/CVERecord?id=CVE-2026-23559
- https://www.cve.org/CVERecord?id=CVE-2026-23560
- https://www.cve.org/CVERecord?id=CVE-2026-23561
- https://github.com/xapi-project/xen-api/releases/tag/v26.1.11
- https://docs.vates.tech/security/advisories/2026/vates-sa-2026-011/
- https://xenbits.xen.org/xsa/advisory-489.html
- https://github.com/xapi-project/xen-api/pull/7031
- https://support.citrix.com/external/article/CTX696527/xenserver-security-update-for-multiple-i.html
- https://blog.moksha.dk/shittrixier/https://blog.moksha.dk/shittrix/
- https://github.com/xapi-project/xen-api/pull/7032
- https://github.com/xapi-project/xen-api/pull/7033
