Дайджест уязвимостей от BI.ZONE EASM за июнь
В материале вы найдете разбор уязвимостей, рекомендации по устранению, советы по проверке возможных следов эксплуатации на хосте, а также ссылки на открытые отчеты об угрозах и официальные рекомендации вендоров.
В этом выпуске:
- Обход аутентификации в Check Point Remote Access VPN и Mobile Access.
- Чтение памяти в Citrix NetScaler ADC и NetScaler Gateway.
- Отказ в обслуживании в Grafana Enterprise и Grafana OSS.
- Повышение привилегий в Mattermost.
| Идентификатор CVE | CVE‑2026‑50751 |
| Оценка по CVSS | 9,3 (critical) |
| Наличие в каталоге KEV | ✅ |
В Check Point Remote Access VPN и Mobile Access обнаружена критическая уязвимость, связанная с ошибкой проверки сертификатов в устаревшем механизме обмена ключами IKEv1. Она позволяет неаутентифицированному злоумышленнику обойти проверку пользователя и установить VPN‑соединение без действительного пароля.
Уязвимость затрагивает Check Point Quantum Security Gateway, Spark Firewall, Remote Access VPN и Mobile Access / SSL VPN в конфигурациях, где используется IKEv1. Производитель отмечает эксплуатацию уязвимости в реальных атаках. По данным Check Point, наблюдаемая активность была ограничена несколькими десятками организаций.
Рекомендации по устранению уязвимости и снижению риска
- Установите выпущенное исправление на все затронутые Security Gateway и Spark Firewall.
- В первую очередь проверьте шлюзы, на которых включены Remote Access VPN, Mobile Access / SSL VPN и поддержка устаревшего IKEv1.
- Если обновление нельзя выполнить сразу, используйте временные меры из бюллетеня Check Point: ограничьте устаревшие сценарии удаленного доступа, пересмотрите настройки удаленного подключения и по возможности отключите IKEv1 для Remote Access VPN.
- Отдельно проверьте версии, снятые с поддержки, и старые ветки, которые продолжают находиться на внешнем периметре. Для таких систем риск выше не только из‑за самой CVE‑2026‑50751, но и из‑за накопленного технического долга.
Советы по проверке следов эксплуатации
- Начинайте проверку журналов не с даты публикации уязвимости, а как минимум с 7 мая 2026 года — это самая ранняя дата эксплуатации, указанная Check Point.
- В журналах VPN и удаленного доступа ищите успешные VPN‑сеансы через IKEv1 без нормальной цепочки пользовательской аутентификации. Также проверьте подозрительные подключения с устаревших клиентов удаленного доступа и события, после которых появлялась активность внутри сети.
- Отдельно сопоставьте события VPN‑подключений с опубликованными индикаторами компрометации:
45.77.149[.]152209.182.225[.]13638.60.157[.]139162.33.177[.]10145.76.26[.]42144.208.127[.]15538.54.88[.]20138.54.107[.]16766.42.99[.]200
- Проверьте появление ELF‑файлов со следующими MD5:
52fda5c1b9704544f32ee98d9060e68951d39aa39478beeac94f2d12f682ecce
Полезные ссылки
- CVE‑2026‑50751 Detail // NIST NVD
- Security Advisory – Action Required – Active Exploitation of Check Point VPN Authentication Bypass (CVE‑2026‑50751) // Check Point
- CVE‑2026‑50751 ‑ User Authentication bypass on VPN Remote Access and Mobile Access in deprecated IKEv1 key exchange // Check Point
- Check Point | Security Gateway // CISA
| Идентификатор CVE | CVE‑2026‑8451 |
| Оценка по CVSS | 8,8 (high) |
| Наличие в каталоге KEV | ❌ |
В Citrix NetScaler ADC и NetScaler Gateway обнаружена уязвимость CVE‑2026‑8451. Она связана с недостаточной проверкой входных данных и приводит к чтению памяти за пределами ожидаемой области, если устройство настроено как SAML Identity Provider.
Уязвимость относится к классу проблем, похожих на CitrixBleed: атакующий может отправлять специально сформированные SAML‑запросы на /saml/login и добиваться утечки данных из памяти либо аварийного завершения процесса. Это особенно опасно для внешнего периметра, потому что NetScaler ADC и NetScaler Gateway часто используются как шлюзы удаленного доступа, балансировщики и точки входа в корпоративные сервисы.
По данным открытых отчетов киберразведки, эксплуатация CVE‑2026‑8451 наблюдалась уже в течение 24 часов после раскрытия сведений об уязвимости.
Рекомендации по устранению уязвимости и снижению риска
- Обновите NetScaler ADC и NetScaler Gateway до исправленных версий. Для основных веток это версии 14.1–72.61 и 13.1–63.18 или более новые.
- Если немедленное обновление невозможно, временно отключите конфигурацию SAML IdP на устройстве или максимально ограничьте доступ к соответствующим SAML‑обработчикам.
- Добавьте временные правила наблюдения и фильтрации для подозрительных запросов
POST /saml/login. Такие меры не заменяют исправление, но помогают вовремя обнаружить попытки эксплуатации.
Советы по проверке следов эксплуатации
- Проверьте журналы NetScaler на обращения
POST /saml/loginначиная с 30 июня 2026 года. - Ищите короткие и аномально сформированные значения SAMLRequest, особенно те, которые после декодирования содержат bare
<samlp:AuthnRequest>с большим числом пробелов. Lupovis описывает пример запроса, где полезная нагрузка после декодирования содержала<samlp:AuthnRequest>с 476 пробелами. - Проверьте активность с IP‑адреса
146.70.139[.]154. - Обратите внимание на User‑Agent
python‑requests/2.32.5. - Дополнительно проверьте ответы с cookie
NSC_TASS, содержащим бинарные или непечатаемые данные: такой признак может указывать на успешное чтение памяти. На самом устройстве проверьте аварийные завершения и перезапуски процессаnsppeпосле раскрытия сведений об уязвимости.
Полезные ссылки
- CVE‑2026‑8451 Detail // NIST NVD
- NetScaler ADC and NetScaler Gateway Security Bulletin for CVE‑2026‑8451, CVE‑2026‑8452, CVE‑2026‑8655, CVE‑2026‑10816, CVE‑2026‑10817, and CVE‑2026‑13474 // Citrix
- CitrixBleed To Infinity And Beyond (Citrix NetScaler Pre‑Auth Memory Overread CVE‑2026‑8451) // watchTowr Labs
| Идентификатор CVE | CVE‑2026‑42127 |
| Оценка по CVSS | 7,5 (high) |
| Наличие в каталоге KEV | ❌ |
Уязвимость в Grafana Enterprise и Grafana OSS затрагивает обработчик запросов к публичным панелям, который не ограничивает размер тела запроса до обработки. Неаутентифицированный злоумышленник может отправлять большие JSON‑запросы и вызывать чрезмерное выделение памяти, что приводит к отказу в обслуживании.
Для эксплуатации не требуется аутентификация. Уязвимость не приводит к выполнению кода, но опасна для внешнего периметра: Grafana часто публикуется наружу как интерфейс мониторинга, а атака может быть выполнена без учетной записи.
Рекомендации по устранению уязвимости и снижению риска
- Обновите Grafana Enterprise и Grafana OSS до исправленных версий своей ветки.
- В первую очередь проверьте публичные экземпляры Grafana, особенно если на них доступны публичные панели.
- До обновления ограничьте размер тела HTTP‑запроса на прокси или WAF.
- Если публичные панели не используются, отключите их или ограничьте доступ к ним с внешнего периметра.
Советы по проверке следов эксплуатации
- Проверьте журналы Grafana, обратного прокси‑сервера и балансировщика на большие POST‑запросы к обработчику запросов публичных панелей.
- Ищите всплески ответов:
413500502504
Полезные ссылки
| Идентификатор CVE | CVE‑2026‑7387 |
| Оценка по CVSS | 8,8 (high) |
| Наличие в каталоге KEV | ❌ |
В Mattermost обнаружена уязвимость, связанная с некорректной авторизацией. Mattermost не требует проверки прав на управление ролями при установке флага scheme_admin на group syncable link и в patch‑обработчиках.
Пользователь с правами на связывание групп может отправить специально сформированные запросы к программному интерфейсу и повысить себя или участников группы до администратора команды или канала. Mattermost Advisory ID: MMSA‑2026‑00665.
Уязвимость требует аутентификации и не позволяет выполнить код удаленно. Тем не менее она опасна для внешнего периметра, поскольку Mattermost часто доступен из интернета как корпоративный сервис коммуникаций, а эксплуатация CVE‑2026‑7387 может привести к захвату административных прав внутри команд и каналов.
Рекомендации по устранению уязвимости и снижению риска
- Обновите Mattermost до исправленной версии своей ветки. По данным NVD, для ветки 11.6.x исправление начинается с 11.6.2, для 11.5.x — с 11.5.5, для 10.11.x — с 10.11.17.
- Проверьте, включена ли синхронизация групп и используются ли
group syncable links. - Ограничьте количество пользователей с правами на связывание групп и пересмотрите делегированные права на управление группами, командами и каналами.
- Если Mattermost опубликован в интернете, обновляйте такие экземпляры в приоритетном порядке.
Советы по проверке следов эксплуатации
- Проверьте журналы аудита Mattermost на изменения
group syncable linkи операции изменения scheme_admin. - Ищите внезапное появление новых администраторов команд или каналов. Сопоставьте изменения ролей с пользователями, у которых были права на связывание групп.
- Проверьте, не изменяли ли права пользователи, которые не должны управлять ролями в командах и каналах. Если доступны резервные копии или исторические журналы аудита, сравните список администраторов команд и каналов с состоянием до 12 июня 2026 года.
Полезные ссылки
BI.ZONE EASM помогает работать с критическими уязвимостями системно. Платформа автоматически сопоставляет новые CVE с внешними активами, выявляет уязвимые сервисы, приоритизирует риски с учетом эксплуатации в реальных атаках и позволяет контролировать их устранение до полного закрытия. Это сокращает время между публикацией уязвимости и принятием управленческого решения: пропатчить, ограничить доступ, изолировать сервис или провести дополнительную проверку.
Если инцидент подтвержден, команда BI.ZONE DFIR проводит полноценное реагирование, устанавливает механизм компрометации, определяет масштаб атаки и помогает локализовать ее последствия.