В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость, затрагивающая программное обеспечение для проверки личности клиентов. Речь идет о продукте KYC Solutions от компании Meon. Идентификатор уязвимости в системе BDU - 2025-16490. Данная проблема, получившая также идентификатор CVE-2025-42600, связана с критическим недостатком в механизме одноразовых паролей (OTP). Эксперты оценивают уровень опасности как высокий.
Детали уязвимости
Суть уязвимости заключается в недостаточном ограничении попыток аутентификации. На техническом языке такая ошибка классифицируется как CWE-307. Проще говоря, система не блокирует пользователя после множества неудачных попыток ввода OTP-кода. Следовательно, злоумышленник, действуя удаленно, может автоматизировать процесс подбора кодов и получить несанкционированный доступ к учетным записям пользователей.. Это называется атакой перебором (brute-force attack).
Под угрозой находятся версии программного обеспечения KYC Solutions до 1.2. Производитель, компания Meon, уже подтвердил наличие этой проблемы. Важно отметить, что KYC-системы используются для критически важной процедуры "Знай своего клиента" (Know Your Customer). Они применяются банками, финтех-компаниями и другими организациями для верификации личности. Таким образом, компрометация такой системы может привести к серьезным последствиям, включая мошенничество и кражу данных.
Оценка по методологии CVSS подчеркивает серьезность угрозы. Например, базовая оценка CVSS 3.1 составляет 8.6 балла из 10. Вектор атаки оценивается как сетевой (AV:N), а сложность эксплуатации - низкая (AC:L). Это означает, что для атаки не требуются специальные привилегии или взаимодействие с пользователем. Уязвимость позволяет злоумышленнику получить полную конфиденциальность данных (C:H) в контексте всей системы (S:C).
В настоящее время способ эксплуатации (exploit) уточняется. Однако сам факт наличия такой фундаментальной ошибки безопасности делает систему легкой мишенью. Отсутствие базовых механизмов защиты, таких как лимит на попытки ввода или задержка между ними, является грубым архитектурным просчетом. Для достижения устойчивости (persistence) в системе злоумышленнику, получившему доступ, возможно, потребуется дополнительный вредоносный код (malicious payload). Но первоначальное проникновение значительно упрощено.
Производитель выпустил обновление, устраняющее проблему. Способом устранения является обновление программного обеспечения до актуальной версии. Согласно данным BDU, уязвимость уже устранена. Пользователям KYC Solutions настоятельно рекомендуется немедленно проверить и обновить свою систему до версии, следующей за 1.2. Задержка с установкой патча подвергает бизнес и клиентов неоправданному риску.
Данный инцидент в очередной раз демонстрирует важность базовых принципов безопасности при разработке программного обеспечения. Особенно это касается систем, работающих с персональными и финансовыми данными. Реализация надежного механизма OTP должна включать не только генерацию самого кода, но и защиту от его автоматического подбора. Регулярный аудит кода и тестирование на проникновение (penetration testing) могли бы помочь выявить подобную проблему на ранней стадии.
В заключение, уязвимость BDU:2025-16490 в продукте Meon KYC Solutions служит важным напоминанием для всех организаций. Необходимо постоянно отслеживать источники информации об угрозах, такие как BDU или база CVE. Кроме того, нужно оперативно применять выпущенные исправления. В современном ландшафте киберугроз промедление с обновлением может быть эквивалентно приглашению для злоумышленников. Ответственность за защиту данных лежит как на разработчиках, так и на конечных пользователях, которые должны поддерживать свои системы в актуальном состоянии.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-42600
- https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2025-0082
