27/08/25
Эксперт PT SWARM Владимир Власов обнаружил дефект безопасности в межсетевом экране нового поколения (NGFW) российского разработчика ПО и электроники UserGate. Проэксплуатировав уязвимость и взломав другие ресурсы компании, атакующий мог бы нарушить работу UserGate NGFW, похитить персональные данные сотрудников либо развить атаку в локальной сети. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
Уязвимость, PT-2025-28938[1] (BDU:2025-08181) содержалась сразу в двух линейках UserGate NGFW — в версиях до 6.1.9.12193R и 7.3.1.153682R включительно. Дефект безопасности, получивший 6,5 балла из 10 по шкале CVSS 3.1, возник из-за недостаточной фильтрации данных на служебной странице блокировки, на которую перенаправляются пользователи после отказа в доступе к тому или иному URL-адресу. В совокупности с другими уязвимостями брешь потенциально открывала злоумышленнику доступ к персональным данным сотрудников и информации, содержащей коммерческую тайну компании.
Межсетевые экраны нового поколения используются организациями в качестве шлюза для безопасного доступа сотрудников в интернет. В 2024 году решение UserGate, по данным Центра стратегических разработок (ЦСР), занимало почти четверть российского рынка NGFW. В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что уязвимость в UserGate NGFW потенциально затронула более 1,8 тыс. компаний. Наибольшее их число находится в России (97%), в зоне риска также могли оказаться организации из Белоруссии (1%), Израиля (0,5%), Узбекистана (0,3%) и США (0,2%).
Для устранения ошибки необходимо загрузить исправленную версию UserGate NGFW (начиная с 6.1.9.12198R или 7.3.2.183745R). Если обновить ПО невозможно, эксперт Positive Technologies рекомендует отключить страницу блокировки или вывести ее на отдельный домен, не связанный с основным.
Эксплуатируя ошибку, нарушитель, предположительно, использовал бы почту или мессенджер, чтобы направить сотруднику атакуемой компании письмо со ссылкой на якобы безопасный ресурс. Злоумышленник действовал бы под видом коллеги жертвы, чтобы та не заметила подвоха. Перейдя по ссылке в сообщении, пользователь с правами администратора UserGate NGFW, авторизованный на уязвимом устройстве, автоматически выполнил бы вредоносный код, что позволило бы атакующему изменить параметры межсетевого экрана:
- Удалить правила фильтрации трафика и открыть доступ к заблокированным ресурсам, чтобы проникнуть в сеть компании и выгрузить ценные данные.
- Заменить адреса корпоративных страниц ссылками на фишинговые ресурсы, чтобы похищать учетные записи сотрудников.
- Создать дополнительную учетную запись администратора, чтобы закрепиться на UserGate NGFW и атаковать любые сервисы компании.
«Проэксплуатировав BDU:2025-08181 и совершив успешную атаку, злоумышленник гипотетически получал возможность отправлять запросы от имени жертвы к внутренним сервисам компании, таким как корпоративная почта и база знаний. Это могло бы обернуться утечкой информации, содержащей коммерческую тайну, — рассказал Владимир Власов, старший специалист отдела исследований безопасности банковских систем, Positive Technologies. — Если бы нарушитель сумел закрепиться во внутренней сети организации, под угрозой могли бы оказаться ее бизнес-процессы».
Это не первый дефект безопасности, связанный с работой NGFW, который помогла устранить Positive Technologies. В 2021 году эксперты Никита Абрамов и Михаил Ключников совместно с разработчиком закрыли уязвимость в диспетчере устройств Cisco Firepower Device Manager (FDM) On-Box, предназначенном для локальной настройки межсетевых экранов Cisco Firepower. Ошибка могла бы позволить злоумышленнику выполнить произвольный код в системе пораженного устройства. В 2020 году те же исследователи помогли исправить недостаток в операционной системе PAN-OS, используемой NGFW Palo Alto Networks. Брешь могла бы позволить атакующему выполнять произвольные команды в ОС межсетевого экрана, а затем получить максимальные привилегии.
Продвинутые решения класса NTA (NDR), например PT Network Attack Discovery (PT NAD), детектируют попытки эксплуатации описанной уязвимости, а продукты класса NGFW, такие как PT NGFW, блокируют ее. Снизить риски последствий эксплуатации, в том числе закрепление злоумышленника во внутренней сети организации, помогут средства защиты информации класса EDR, например MaxPatrol EDR. Решение позволяет обнаружить вредоносную активность на конечных устройствах, отправить сигнал в SIEM-систему и не дать злоумышленнику продолжить атаку. Своевременно фиксировать уязвимости в инфраструктуре поможет система управления уязвимостями — MaxPatrol VM.
Узнавать об актуальных недостатках безопасности можно на портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
