В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость, затрагивающая программное обеспечение для проверки личности клиентов. Речь идет о продукте KYC Solutions от компании Meon. Уязвимость, получившая идентификатор BDU:2025-16493, связана с критической ошибкой в защите передаваемой информации. А именно, система передает учетные данные пользователей в незашифрованном виде. Это создает прямую угрозу безопасности.
Детали уязвимости
Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно, перехватить конфиденциальную информацию. В результате он может получить несанкционированный доступ к учетным записям пользователей. Под угрозой оказываются персональные данные, используемые в Know Your Customer (KYC). Этот процесс является ключевым для финансового сектора и других регулируемых отраслей. Следовательно, утечка подобных данных может иметь крайне серьезные последствия.
Уязвимость затрагивает версии программного обеспечения KYC Solutions до 1.2. Она классифицируется как уязвимость кода. Конкретный тип ошибки определен как CWE-319, что означает передачу секретной информации в виде открытого текста. Проще говоря, логины, пароли или другие аутентификационные токены передаются по сети без применения шифрования. Таким образом, любой, кто имеет возможность перехватить сетевой трафик, может их увидеть и использовать.
Уровень опасности уязвимости оценен как высокий по всем актуальным метрикам. Базовый балл по шкале CVSS 2.0 составляет 7.8. Более современная оценка CVSS 3.1 присваивает уязвимости 8.6 балла. Наконец, по обновленной шкале CVSS 4.0 оценка достигает 8.7. Высокие показатели обусловлены несколькими факторами. Во-первых, для атаки не требуются специальные привилегии или взаимодействие с пользователем. Во-вторых, уязвимость может привести к полной компрометации конфиденциальности данных.
Важно отметить, что уязвимость уже подтверждена производителем, компанией Meon. Согласно данным BDU, проблема устранена в обновленных версиях программного обеспечения. Основным способом устранения риска является установка актуальной версии ПО. Пользователям KYC Solutions настоятельно рекомендуется немедленно проверить и обновить свою систему до версии, следующей за 1.2. Это единственный надежный способ закрыть брешь в безопасности.
Дополнительная информация об уязвимости доступна по ссылкам, предоставленным индийским национальным центром реагирования на кибер-инциденты CERT-In. Уязвимости также присвоен международный идентификатор CVE-2025-42603. На текущий момент наличие активных эксплойтов, использующих эту уязвимость, уточняется. Однако высокая степень опасности и простота потенциальной эксплуатации требуют незамедлительных действий.
Данный инцидент лишний раз подчеркивает важность шифрования данных при передаче. Особенно это критично для программных решений, работающих с персональной и финансовой информацией. Утечка таких данных может привести не только к финансовым потерям, но и к репутационному ущербу для компаний, использующих уязвимое ПО. Поэтому своевременное обновление систем остается одним из базовых принципов кибергигиены.
В заключение, ответственные лица в организациях, использующих продукт Meon KYC Solutions, должны немедленно предпринять шаги по проверке и обновлению программного обеспечения. Игнорирование данного предупреждения может привести к серьезному инциденту безопасности. В целом, эта ситуация служит напоминанием о необходимости тщательного аудита безопасности сторонних решений, особенно в чувствительных областях, связанных с идентификацией пользователей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-42603
- https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2025-0082
