Дайджест уязвимостей от BI.ZONE EASM за июнь

Дайджест уязвимостей от BI.ZONE EASM за июнь

Рассказываем об уязвимостях, которые были опубликованы, добавлены в каталог KEV или упоминались в июньских отчетах киберразведки. Эти уязвимости представляют повышенный риск для внешнего периметра российских компаний
13 июля 2026 г.

В материале вы найдете разбор уязвимостей, рекомендации по устранению, советы по проверке возможных следов эксплуатации на хосте, а также ссылки на открытые отчеты об угрозах и официальные рекомендации вендоров.

В этом выпуске:

  • Обход аутентификации в Check Point Remote Access VPN и Mobile Access.
  • Чтение памяти в Citrix NetScaler ADC и NetScaler Gateway.
  • Отказ в обслуживании в Grafana Enterprise и Grafana OSS.
  • Повышение привилегий в Mattermost.
Обход аутентификации в Check Point Remote Access VPN и Mobile Access
Идентификатор CVE CVE‑2026‑50751
Оценка по CVSS 9,3 (critical)
Наличие в каталоге KEV

В Check Point Remote Access VPN и Mobile Access обнаружена критическая уязвимость, связанная с ошибкой проверки сертификатов в устаревшем механизме обмена ключами IKEv1. Она позволяет неаутентифицированному злоумышленнику обойти проверку пользователя и установить VPN‑соединение без действительного пароля.

Уязвимость затрагивает Check Point Quantum Security Gateway, Spark Firewall, Remote Access VPN и Mobile Access / SSL VPN в конфигурациях, где используется IKEv1. Производитель отмечает эксплуатацию уязвимости в реальных атаках. По данным Check Point, наблюдаемая активность была ограничена несколькими десятками организаций.

Рекомендации по устранению уязвимости и снижению риска

  • Установите выпущенное исправление на все затронутые Security Gateway и Spark Firewall.
  • В первую очередь проверьте шлюзы, на которых включены Remote Access VPN, Mobile Access / SSL VPN и поддержка устаревшего IKEv1.
  • Если обновление нельзя выполнить сразу, используйте временные меры из бюллетеня Check Point: ограничьте устаревшие сценарии удаленного доступа, пересмотрите настройки удаленного подключения и по возможности отключите IKEv1 для Remote Access VPN.
  • Отдельно проверьте версии, снятые с поддержки, и старые ветки, которые продолжают находиться на внешнем периметре. Для таких систем риск выше не только из‑за самой CVE‑2026‑50751, но и из‑за накопленного технического долга.

Советы по проверке следов эксплуатации

  • Начинайте проверку журналов не с даты публикации уязвимости, а как минимум с 7 мая 2026 года — это самая ранняя дата эксплуатации, указанная Check Point.
  • В журналах VPN и удаленного доступа ищите успешные VPN‑сеансы через IKEv1 без нормальной цепочки пользовательской аутентификации. Также проверьте подозрительные подключения с устаревших клиентов удаленного доступа и события, после которых появлялась активность внутри сети.
  • Отдельно сопоставьте события VPN‑подключений с опубликованными индикаторами компрометации:
    • 45.77.149[.]152
    • 209.182.225[.]136
    • 38.60.157[.]139
    • 162.33.177[.]101
    • 45.76.26[.]42
    • 144.208.127[.]155
    • 38.54.88[.]201
    • 38.54.107[.]167
    • 66.42.99[.]200
  • Проверьте появление ELF‑файлов со следующими MD5:
    • 52fda5c1b9704544f32ee98d9060e689
    • 51d39aa39478beeac94f2d12f682ecce

Полезные ссылки

Чтение памяти в Citrix NetScaler ADC и NetScaler Gateway
Идентификатор CVE CVE‑2026‑8451
Оценка по CVSS 8,8 (high)
Наличие в каталоге KEV

В Citrix NetScaler ADC и NetScaler Gateway обнаружена уязвимость CVE‑2026‑8451. Она связана с недостаточной проверкой входных данных и приводит к чтению памяти за пределами ожидаемой области, если устройство настроено как SAML Identity Provider.

Уязвимость относится к классу проблем, похожих на CitrixBleed: атакующий может отправлять специально сформированные SAML‑запросы на /saml/login и добиваться утечки данных из памяти либо аварийного завершения процесса. Это особенно опасно для внешнего периметра, потому что NetScaler ADC и NetScaler Gateway часто используются как шлюзы удаленного доступа, балансировщики и точки входа в корпоративные сервисы.

По данным открытых отчетов киберразведки, эксплуатация CVE‑2026‑8451 наблюдалась уже в течение 24 часов после раскрытия сведений об уязвимости.

Рекомендации по устранению уязвимости и снижению риска

  • Обновите NetScaler ADC и NetScaler Gateway до исправленных версий. Для основных веток это версии 14.1–72.61 и 13.1–63.18 или более новые.
  • Если немедленное обновление невозможно, временно отключите конфигурацию SAML IdP на устройстве или максимально ограничьте доступ к соответствующим SAML‑обработчикам.
  • Добавьте временные правила наблюдения и фильтрации для подозрительных запросов POST /saml/login. Такие меры не заменяют исправление, но помогают вовремя обнаружить попытки эксплуатации.

Советы по проверке следов эксплуатации

  • Проверьте журналы NetScaler на обращения POST /saml/login начиная с 30 июня 2026 года.
  • Ищите короткие и аномально сформированные значения SAMLRequest, особенно те, которые после декодирования содержат bare <samlp:AuthnRequest> с большим числом пробелов. Lupovis описывает пример запроса, где полезная нагрузка после декодирования содержала <samlp:AuthnRequest> с 476 пробелами.
  • Проверьте активность с IP‑адреса 146.70.139[.]154.
  • Обратите внимание на User‑Agent python‑requests/2.32.5.
  • Дополнительно проверьте ответы с cookie NSC_TASS, содержащим бинарные или непечатаемые данные: такой признак может указывать на успешное чтение памяти. На самом устройстве проверьте аварийные завершения и перезапуски процесса nsppe после раскрытия сведений об уязвимости.

Полезные ссылки

Отказ в обслуживании в Grafana Enterprise и Grafana OSS
Идентификатор CVE CVE‑2026‑42127
Оценка по CVSS 7,5 (high)
Наличие в каталоге KEV

Уязвимость в Grafana Enterprise и Grafana OSS затрагивает обработчик запросов к публичным панелям, который не ограничивает размер тела запроса до обработки. Неаутентифицированный злоумышленник может отправлять большие JSON‑запросы и вызывать чрезмерное выделение памяти, что приводит к отказу в обслуживании.

Для эксплуатации не требуется аутентификация. Уязвимость не приводит к выполнению кода, но опасна для внешнего периметра: Grafana часто публикуется наружу как интерфейс мониторинга, а атака может быть выполнена без учетной записи.

Рекомендации по устранению уязвимости и снижению риска

  • Обновите Grafana Enterprise и Grafana OSS до исправленных версий своей ветки.
  • В первую очередь проверьте публичные экземпляры Grafana, особенно если на них доступны публичные панели.
  • До обновления ограничьте размер тела HTTP‑запроса на прокси или WAF.
  • Если публичные панели не используются, отключите их или ограничьте доступ к ним с внешнего периметра.

Советы по проверке следов эксплуатации

  • Проверьте журналы Grafana, обратного прокси‑сервера и балансировщика на большие POST‑запросы к обработчику запросов публичных панелей.
  • Ищите всплески ответов:
    • 413
    • 500
    • 502
    • 504

Полезные ссылки

Повышение привилегий в Mattermost
Идентификатор CVE CVE‑2026‑7387
Оценка по CVSS 8,8 (high)
Наличие в каталоге KEV

В Mattermost обнаружена уязвимость, связанная с некорректной авторизацией. Mattermost не требует проверки прав на управление ролями при установке флага scheme_admin на group syncable link и в patch‑обработчиках.

Пользователь с правами на связывание групп может отправить специально сформированные запросы к программному интерфейсу и повысить себя или участников группы до администратора команды или канала. Mattermost Advisory ID: MMSA‑2026‑00665.

Уязвимость требует аутентификации и не позволяет выполнить код удаленно. Тем не менее она опасна для внешнего периметра, поскольку Mattermost часто доступен из интернета как корпоративный сервис коммуникаций, а эксплуатация CVE‑2026‑7387 может привести к захвату административных прав внутри команд и каналов.

Рекомендации по устранению уязвимости и снижению риска

  • Обновите Mattermost до исправленной версии своей ветки. По данным NVD, для ветки 11.6.x исправление начинается с 11.6.2, для 11.5.x — с 11.5.5, для 10.11.x — с 10.11.17.
  • Проверьте, включена ли синхронизация групп и используются ли group syncable links.
  • Ограничьте количество пользователей с правами на связывание групп и пересмотрите делегированные права на управление группами, командами и каналами.
  • Если Mattermost опубликован в интернете, обновляйте такие экземпляры в приоритетном порядке.

Советы по проверке следов эксплуатации

  • Проверьте журналы аудита Mattermost на изменения group syncable link и операции изменения scheme_admin.
  • Ищите внезапное появление новых администраторов команд или каналов. Сопоставьте изменения ролей с пользователями, у которых были права на связывание групп.
  • Проверьте, не изменяли ли права пользователи, которые не должны управлять ролями в командах и каналах. Если доступны резервные копии или исторические журналы аудита, сравните список администраторов команд и каналов с состоянием до 12 июня 2026 года.

Полезные ссылки

Как защитить бизнес

BI.ZONE EASM помогает работать с критическими уязвимостями системно. Платформа автоматически сопоставляет новые CVE с внешними активами, выявляет уязвимые сервисы, приоритизирует риски с учетом эксплуатации в реальных атаках и позволяет контролировать их устранение до полного закрытия. Это сокращает время между публикацией уязвимости и принятием управленческого решения: пропатчить, ограничить доступ, изолировать сервис или провести дополнительную проверку.

Если инцидент подтвержден, команда BI.ZONE DFIR проводит полноценное реагирование, устанавливает механизм компрометации, определяет масштаб атаки и помогает локализовать ее последствия.