Эксперты по кибербезопасности подтвердили наличие критической уязвимости в популярном российском решении для двухфакторной аутентификации. Речь идёт о программном комплексе Secure Authentication Server от компании ООО «СИС разработка», который внесён в единый реестр российских программ. Уязвимость, получившая идентификатор BDU:2026-01945 и международный идентификатор CVE-2024-46937, позволяет удалённому злоумышленнику обойти механизмы авторизации и получить несанкционированный доступ к критически важным данным.
Детали уязвимости
Суть проблемы заключается в эндпоинте API "/api-selfportal/get-info-token-properties". Специалисты классифицировали её как «обход авторизации посредством использования ключа, контролируемого пользователем». На практике это означает, что атакующий может проводить атаку методом перебора (brute-force attack) против этого интерфейса. В результате успешной эксплуатации злоумышленник способен получить доступ к токенам пользователей, что полностью подрывает цель системы многофакторной аутентификации.
Оценка серьёзности уязвимости демонстрирует высокую степень опасности. Согласно методологии CVSS 2.0, базовый балл составляет 9.4, что соответствует высокому уровню угрозы. Более современная оценка CVSS 3.1 присваивает ей 9.1 балла, что классифицируется как критический уровень. Уязвимости такого калибра требуют немедленного внимания, поскольку для их эксплуатации не требуются ни привилегии злоумышленника (PR:N), ни взаимодействие с пользователем (UI:N). Другими словами, атака может быть проведена полностью удалённо и автоматически.
По данным Банка данных угроз (BDU), проблема затрагивает версии Secure Authentication Server начиная с 1.8.0 и вплоть до 1.9.040924. Производитель, компания ООО «СИС разработка», уже подтвердил существование уязвимости и выпустил патч. Единственной рекомендованной мерой по устранению является обновление программного обеспечения до версии 1.9.040924 или новее. На текущий момент статус уязвимости обозначен как «устранённая».
Тем не менее, важно подчеркнуть, что подобные уязвимости архитектурного уровня представляют особый риск. Они не являются простыми ошибками в коде, а указывают на фундаментальные недостатки в проектировании механизмов безопасности. В данном случае эндпоинт API неправильно проверял авторизацию запросов, позволяя пользователю контролировать ключевой параметр для доступа к данным. Это классический пример уязвимости, связанной с непрямыми ссылками на объекты (IDOR).
Информация об уязвимости была детально описана в публичных репозиториях, включая платформу GitHub, что повышает риск появления работающих эксплойтов. Хотя на момент публикации данные о наличии активных эксплойтов уточняются, сам факт раскрытия технических деталей сокращает время на реакцию для администраторов. Следовательно, задержка с установкой обновления может привести к реальным инцидентам.
Эксплуатация данной уязвимости открывает злоумышленникам путь к проведению целенаправленных атак. Получив доступ к токенам аутентификации, злоумышленник может имитировать легитимных пользователей, обходя защиту второго фактора. Это создаёт прямую угрозу для инфраструктур, где используется данный продукт, включая государственные организации и коммерческие предприятия, которые обязаны применять сертифицированные средства защиты.
В свете этого происшествия компаниям, использующим Secure Authentication Server, рекомендуется не только немедленно применить патч, но и провести аудит журналов доступа (logs) к соответствующему API на предмет подозрительной активности. Кроме того, важно рассматривать подобные инциденты в контексте модели MITRE ATT&CK, где такая атака может быть тактикой первоначального доступа или повышения привилегий.
Таким образом, уязвимость BDU:2026-01945 служит ещё одним напоминанием о важности регулярного и своевременного обновления систем безопасности. Даже сертифицированные отечественные продукты не застрахованы от критических ошибок. Постоянный мониторинг источников, таких как BDU и реестр CVE, должен быть неотъемлемой частью процесса управления уязвимостями в любой организации. Оперативное применение исправлений остаётся самым эффективным способом защиты от известных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-01945
- https://www.cve.org/CVERecord?id=CVE-2024-46937
- https://mfasoft.ru/
- https://github.com/WI1D-41/IDOR-in-MFASOFT-Secure-Authentication-Server
- https://github.com/advisories/GHSA-7v6r-jgcw-v2j9
