PT NGFW
Производительность и защита на новом уровне
Эксперты PT SWARM Алексей Соловьев и Евгений Копытин обнаружили три уязвимости в опенсорсной платформе XWiki, которую компании используют для создания вики-сайтов1. Успешная эксплуатация недостатков безопасности могла позволить атакующему похитить данные сотрудников и заблокировать доступ к XWiki, что нарушило бы операционные процессы компании. Разработчик проекта был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
1 Вики-сайт — это сайт, благодаря которому можно быстро собирать идеи и обмениваться ими путем создания простых страниц и связывания их друг с другом.
Уязвимости PT-2025-30704 (CVE-2025-32429, BDU: 2025-09129) было присвоено 9,3 балла из 10 по шкале CVSS 4.0, что соответствует критическому уровню угрозы. Две другие бреши были объединены общим идентификатором PT-2025-319422 (CVE-2025-32430, BDU: 2025-06941) и получили по 6,5 балла.
В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально по всему миру уязвимы более 21 тыс. узлов с установленной XWiki. Большинство из них было зафиксировано в Германии (26%), США (19%), Франции (18%), Гонконге (6%) и России (5%).
2 Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
Доли уязвимых систем XWiki по странам
Успешная эксплуатация уязвимости PT-2025-30704 привела бы к сбою в работе XWiki, что могло нарушить процессы и повлечь негативную реакцию со стороны клиентов и партнеров пострадавшей компании. На восстановление доступа к размещенной на платформе информации потребовались бы дополнительные ресурсы. В свою очередь, ошибки PT-2025-31942 позволяли нарушителю совершить социотехническую атаку3, чтобы от имени администратора выполнить произвольный код на сервере и закрепиться на нем. Так злоумышленник получил бы доступ к конфиденциальным данным и смог бы, например, продолжить движение внутри корпоративной сети для атак на рабочие компьютеры сотрудников и внутренние серверы компании. Чтобы оставаться защищенными, пользователям необходимо в кратчайшие сроки обновить XWiki до последней версии.
3 Социотехническая атака — вид хакерской атаки, при которой злоумышленники манипулируют поведением пользователей для получения доступа к системе или данным.
«При отправке специального HTTP-запроса от неаутентифицированного пользователя платформа очищала не все входные данные, что позволяло бы злоумышленнику внедрить SQL-инъекцию (HQL-инъекцию)4. При этом уязвимость CVE-2025-32429 нельзя назвать стандартной, так как возможности ее использования были ограничены особенностями работы XWiki. Успешно проэксплуатировав ошибку, нарушитель мог отправить в базу данных множество HTTP-запросов с командой „заснуть“, что перегрузило бы XWiki, вызвав отказ в обслуживании».
Алексей СоловьевРуководитель группы экспертизы отдела анализа защищенности веб-приложений, Positive Technologies
По словам Евгения Копытина, для успешной эксплуатации PT-2025-31942 требовалось, чтобы пользователь перешел по специальной ссылке, после чего в его браузере был бы выполнен вредоносный JavaScript-код. Атака с использованием межсайтового скриптинга (XSS), совершенная в отношении обычного пользователя, позволила бы нарушителю повысить свои привилегии в XWiki. Если бы жертвой стал администратор платформы, нарушитель получил бы возможность читать и редактировать конфиденциальные данные компании. Злоумышленник также мог выполнить произвольный код на сервере, что позволило бы ему, например, заменить адреса корпоративных страниц ссылками на фишинговые ресурсы и похитить учетные записи сотрудников. Если бы сервер с XWiki находился в локальной сети организации, то нарушитель мог развить атаку на других устройствах.
Подобные уязвимости могут возникать в различных решениях, имеющих сложную архитектуру и широкий набор функций. Так, в начале 2025 года специалисты PT SWARM Алексей Соловьев и Ян Чижевский обнаружили в системе управления сайтами NetCat CMS ошибки PT-2024-5669–PT-2024-5691, также связанные с внедрением SQL-кода и использованием межсайтового скриптинга. Чтобы обеспечить безопасность большого числа активно развивающихся компонентов, необходимы специализированные инструменты.
Продвинутые системы классов NTA (NDR), например PT Network Attack Discovery (PT NAD), детектируют попытки эксплуатации подобных уязвимостей, а продукты класса NGFW, такие как PT NGFW, блокируют атаки с их использованием. Выявлять бреши в защите еще на стадии разработки продукта можно с помощью статистического анализатора кода, например PT Application Inspector. Для блокировки попыток эксплуатации уязвимостей рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
4 Внедрение SQL-инъекции (HQL-инъекции) — атака, в ходе которой злоумышленник использует фрагмент вредоносного кода на языке HQL, чтобы получить возможность внедрить SQL-код. Это, в свою очередь, может позволить атакующему завладеть конфиденциальной информацией.
