В Банк данных угроз безопасности информации (далее - BDU) была внесена запись BDU:2026-07159 (CVE-2026-32633), свидетельствующая об обнаружении опасной уязвимости в популярном инструменте системного мониторинга Glances. Проблема затрагивает как оригинальное прикладное программное обеспечение, так и его использование в составе операционной системы РЕД ОС версии 8.0 отечественного разработчика "Ред Софт". Эксплуатация этой уязвимости может позволить злоумышленнику удалённо получить доступ к защищаемой информации без какой-либо аутентификации.
Детали уязвимости
Уязвимость обнаружена в функции "GlancesServersList.get_servers_list()" прикладного программного интерфейса (API) инструмента Glances. Согласно описанию, она связана с отсутствием должной защиты служебных данных. Проще говоря, злоумышленник может отправить специально сформированный запрос к серверу мониторинга и получить в ответ конфиденциальные сведения. Речь идёт о раскрытии информации (CWE-200) и недостаточной защите регистрационных данных (CWE-522). Оба типа ошибок относятся к категории "раскрытие информации".
Инструмент Glances используется системными администраторами для отслеживания состояния серверов: загрузка процессора, использование памяти, сетевые соединения и другие метрики. Однако в данном случае уязвимость позволяет извлечь не просто технические показатели, а именно защищаемую информацию - логины, пароли или ключи доступа, которые могут храниться в конфигурационных файлах или передаваться в незащищённом виде.
В первую очередь угроза касается организаций, использующих РЕД ОС 8.0. Эта операционная система включена в единый реестр российских программ (№3751) и широко применяется в государственных учреждениях и компаниях с повышенными требованиями к информационной безопасности. Сама по себе уязвимость существует во всех версиях Glances до 4.5.2 включительно, однако её наличие в составе сертифицированной ОС повышает степень риска, поскольку многие администраторы полагаются на встроенные средства мониторинга.
Кроме того, под ударом оказываются любые системы, где запущен Glances версии ниже 4.5.2, независимо от операционной платформы. Уязвимость многофакторная, то есть для её успешной эксплуатации требуется сочетание нескольких условий, но, как показывает вектор CVSS 3.1, для атаки достаточно сетевого доступа и не требуется ни учётных данных, ни взаимодействия с пользователем.
Разработчики оценили серьёзность проблемы очень высоко. По шкале CVSS 2.0 базовая оценка составляет 9,4 из 10 - это высокий уровень опасности. По более современной шкале CVSS 3.1 оценка достигла 9,1, что соответствует критическому уровню. Вектор атаки выглядит следующим образом: нарушитель действует удалённо (AV:N), сложность атаки низкая (AC:L), для эксплуатации не требуется аутентификация (PR:N), взаимодействие с пользователем не нужно (UI:N). Влияние на конфиденциальность и целостность данных оценивается как высокое, а на доступность - как отсутствующее. Иначе говоря, злоумышленник может украсть или изменить важные данные, но не может вызвать отказ в обслуживании.
Примечательно, что в открытом доступе уже существует эксплойт. Это многократно увеличивает вероятность инцидентов, поскольку для использования уязвимости не нужно быть экспертом высокого уровня.
Производитель Glances (Nicolas Hennion) оперативно выпустил исправление в версии 4.5.2. Коммит с изменениями доступен на платформе GitHub. "Ред Софт" также подготовил рекомендации для пользователей РЕД ОС - они размещены на официальном портале поддержки.
Если атакующий получит доступ к служебным данным через Glances, он сможет не только прочитать конфигурационные файлы, но и, возможно, получить пароли к базам данных, ключи SSH или токены доступа к облачным сервисам. Это открывает путь к более серьёзным вторжениям: например, к компрометации всей инфраструктуры.
Для государственных и коммерческих организаций, использующих РЕД ОС, такая утечка может привести к нарушению работы сервисов, утечке персональных данных или коммерческой тайны. Администраторам стоит как можно скорее проверить версию установленного Glances и установить обновление.
Обновление Glances до версии 4.5.2 или выше полностью устраняет проблему. Для РЕД ОС 8.0 следует воспользоваться ссылкой на страницу безопасности производителя. Если по каким-то причинам обновление невозможно, временной мерой может стать ограничение доступа к API Glances только из доверенных сетей или отключение публичного доступа к интерфейсу мониторинга.
Обнаруженная уязвимость в Glances - яркий пример того, как, казалось бы, безобидное вспомогательное программное обеспечение может создать брешь в защите. Высокая оценка опасности, наличие готового эксплойта и отсутствие необходимости в аутентификации делают эту атаку крайне привлекательной для нарушителей. Учитывая, что Glances входит в состав отечественной операционной системы РЕД ОС, риск затрагивает большое число организаций, особенно в госсекторе. Единственное правильное решение - немедленно обновить Glances до актуальной версии и проверить, не были ли скомпрометированы данные в прошлом. Оперативная реакция разработчиков и производителя РЕД ОС позволяет надеяться, что большинство систем успеют получить исправление до начала массовых атак.
Ссылки
- https://bdu.fstec.ru/vul/2026-07159
- https://www.cve.org/CVERecord?id=CVE-2026-32633
- https://github.com/nicolargo/glances/security/advisories/GHSA-r297-p3v4-wp8m
- https://github.com/nicolargo/glances/releases/tag/v4.5.2
- https://github.com/nicolargo/glances
- https://github.com/nicolargo/glances/commit/879ef8688ffa1630839549751d3c7ef9961d361e
- https://redos.red-soft.ru/support/secure/uyazvimosti-red-os-8-0/uyazvimost-glances-cve-2026-32633-8.0/?sphrase_id=1504993
