В конце мая 2026 года компания "Лаборатория Касперского" выпустила обновление для своей платформы Anti Targeted Attack, предназначенной для защиты корпоративных сетей от сложных целевых атак. Причиной для внеочередного патча стала уязвимость CVE-2026-31932 (идентификатор уязвимости в мировой базе CVE), которая затрагивает версии платформы 8.0.x вплоть до сборки 8.0.0 включительно. Проблема кроется не в самом продукте, а в одном из сторонних компонентов, используемых в его составе.
Уязвимость CVE-2026-31932
Речь идет о системе Suricata - широко распространённом анализаторе сетевого трафика с открытым исходным кодом. Этот модуль, входящий в состав платформы Kaspersky, отвечает за глубокую инспекцию пакетов и выявление вредоносной активности. Уязвимость заключается в неэффективной реализации алгоритма буферизации протокола KRB5 (Kerberos - системы аутентификации в доменных сетях). Иными словами, при обработке специально сформированных сетевых пакетов механизм буферизации начинает расходовать вычислительные ресурсы квадратично, а не линейно.
Такое поведение относится к классу CWE-407: неэффективная алгоритмическая сложность. Оценка по шкале CVSS (системе оценки степени опасности уязвимости) составила 7,5 баллов из 10, что соответствует высокому уровню серьёзности. Вектор атаки при этом сетевой (AV:N), то есть злоумышленнику не требуется физический доступ к системе или учётные данные для запуска эксплуатации. Сложность атаки низкая (AC:L), а аутентификация не нужна (PR:N). Взаимодействия с пользователем также не требуется (UI:N).
На практике это означает следующее: если атакующий сможет отправить на уязвимый сервер пакеты определённого типа, относящиеся к протоколу KRB5, то внутренняя логика обработки начнёт работать в режиме чрезмерного потребления ресурсов процессора и памяти. По мере накопления таких пакетов производительность всей платформы будет постепенно снижаться. В конечном счёте это может привести к полному отказу в обслуживании (denial of service) - система перестанет отвечать на запросы, перестанет обрабатывать реальный трафик и, таким образом, ослепит защитную инфраструктуру организации.
Уязвимость затрагивает только серверную часть продукта под названием Anti Targeted Attack Server версий от 8.0.0 до 8.0.0 включительно. Исправление появилось в версии 8.0.1, которую компания рекомендует установить всем клиентам в кратчайшие сроки. Ссылка на бюллетень безопасности Kaspersky с подробной документацией и инструкцией по обновлению доступна в официальных каналах поддержки.
Важно понимать, что уязвимость не является ошибкой в коде самой платформы Kaspersky. Это классический случай проблемы в сторонней библиотеке, которая была интегрирована в продукт. Именно поэтому атака направлена не на специфические механизмы защиты от целевых угроз, а на общий сетевой стек обработки трафика. Тем не менее последствия для бизнеса могут быть серьёзными, ведь платформа Anti Targeted Attack обычно устанавливается в крупных организациях, где простой системы безопасности даже на несколько часов способен привести к утечке данных или пропуску реальной атаки.
Согласно бюллетеню компании, само обновление до версии 8.0.1 не является сложным и выполняется штатными средствами администрирования продукта. В то же время стоит учитывать, что уязвимость была обнаружена разработчиками Suricata ещё в апреле 2026 года и исправлена в версиях 7.0.15 и 8.0.4 самого движка. Производителям программных продуктов, использующих Suricata в своём составе, потребовалось дополнительное время для включения исправления в собственные сборки. В случае с Kaspersky процесс занял около двух месяцев, что укладывается в стандартные сроки для подобных интеграционных патчей.
Рекомендация для специалистов по информационной безопасности на текущий момент однозначна: необходимо как можно быстрее обновить Anti Targeted Attack до версии 8.0.1. При этом важно не забывать, что одного обновления недостаточно, если уязвимость может быть использована через другие компоненты сетевой инфраструктуры. Стоит провести аудит всех систем, работа которых зависит от движка Suricata, особенно в части обработки Kerberos-трафика. Организациям, которые эксплуатируют старые версии Suricata отдельно от платформы Kaspersky, также следует установить актуальные патчи.
В целом данный инцидент - очередное напоминание о том, что безопасность любой сложной системы определяется её слабейшим звеном. Сторонние компоненты очень часто становятся источником скрытых уязвимостей, которые могут оставаться незамеченными месяцами. И хотя в этом конкретном случае угроза ограничивается отказом в обслуживании, а не компрометацией данных, игнорировать её не стоит. В условиях современных атак с использованием программ-вымогателей даже кратковременная потеря видимости сети может стать для злоумышленников тем самым окном возможностей, которое им необходимо для закрепления в системе и последующего развёртывания полезной нагрузки.
Ссылки
- https://support.kaspersky.com/vulnerability/list-of-advisories/12430#290526
- https://www.cve.org/CVERecord?id=CVE-2026-31932
