Всем привет!

Многие компании продолжают пользоваться зарубежным ПО, не получая полноценной поддержки от вендора. В результате при обнаружении угроз становится сложным оперативно поставить защитный патч, и бизнес сталкивается с угрозой неминуемых кибератак. При этом с каждым годом время от публикации уязвимости до появления автоматизированных эксплойтов становится все меньше. В конце 2024 года исследователи говорили, что в среднем уязвимости начинают эксплуатироваться через пять дней после публикации.

Антон Прокофьев, руководитель отдела операционной поддержки Solar appScreener ГК «Солар», проанализировал несколько громких уязвимостей в популярных продуктах от Veeam, Microsoft и Citrix, которые могут привести к утечкам данных, проникновению в корпоративную сеть и атакам с вымогательством. Антон разобрал эти кейсы и подготовил рекомендации: как защититься, если обновления недоступны, и какие шаги помогут снизить риски для бизнеса.

Уязвимость Veeam Backup & Replication (CVE-2025-23121)

Первая уязвимость в нашем обзоре обнаружена в Veeam Backup & Replication. Она получила 9.8 баллов по шкале CVSS. Угроза связана с ошибкой в механизме проверки входных данных. Злоумышленник может удаленно выполнить на сервере произвольный код без аутентификации.

Так как серверы Veeam часто доступны из интернета (например, для управления через Veeam Backup Console), они становятся очевидной целью для атак. Злоумышленники могут автоматически обнаруживать цели с помощью средств массового сканирования.

Как это может быть использовано в атаке

Один из самых очевидных сценариев — это шифрование корпоративных данных и резервных копий. Атакующий получает доступ к серверу, шифрует бэкапы и требует выкуп. Параллельно он может провести атаку на продуктивную инфраструктуру, делая восстановление невозможным.

Еще один вариант — внедрение бэкдоров в инфраструктуру для обеспечения контроля над сетью. Скомпрометированный Veeam-сервер может стать точкой входа, позволяя злоумышленнику развернуть средства удаленного управления, начать сканирование внутренних сегментов, использовать доверенные подключения для развития атаки.

Как защититься, если обновление недоступно

1. Изоляция сервера Veeam от внешнего доступа. Убедитесь, что веб-интерфейсы Veeam недоступны напрямую из интернета. Разрешите доступ только через корпоративный VPN с многофакторной аутентификацией. Настройте файрвол или reverse proxy для работы с белым списком IP-адресов.

2. Контроль доступа. Проверьте, что к серверу имеют доступ только ИТ/ИБ-специалисты. Не должно быть открытых RDP- или HTTP-интерфейсов. Удалите или отключите устаревшие и неиспользуемые учетные записи. Включите многофакторную аутентификацию на всех уровнях доступа, где это возможно.

3. Контроль и проверка резервных копий. Держите резервные копии в нескольких местах, включая оффлайн-носители. Автоматизируйте регулярную проверку целостности бэкапов, чтобы не хранить уже зашифрованные или поврежденные данные. По возможности используйте неизменяемые бэкапы (immutable backup).

4. Мониторинг и оповещения. Интегрируйте Veeam с SIEM-системой и настройте алерты на подозрительные входы (в том числе попытки подбора пароля), необычные действия с резервными копиями (удаление, шифрование), сетевые подключения к нетипичным хостам или регионам. При наличии IDS/IPS настройте сигнатуры под CVE-2025-23121.

5. Тестирование защиты. Проведите внутреннее сканирование на уязвимости с помощью безопасного PoC или специализированных средств (Nessus, Qualys и др.). Организуйте пентест, чтобы оценить, насколько быстро можно выявить и остановить подобную атаку.

Уязвимость Microsoft Power Automate (CVE-2025-47966)

Следующая угроза обнаружена в платформе Microsoft Power Automate, которая часто применяется для интеграции бизнес-логики, автоматизации процессов и обмена данными между облачными и локальными сервисами. Сервис входит в состав многих корпоративных подписок Microsoft 365 и Office, которыми пользуется подавляющее большинство компаний в России. В крупных корпорациях и государственных учреждениях, в среднем бизнесе Power Automate помогает решать рутинные задачи: от автоматической обработки данных в Excel до интеграции различных систем, например, при автоматизации документооборота на базе 1С.

Эта уязвимость также получила 9,8 баллов по шкале CVSS — злоумышленник может воспользоваться ей удаленно без аутентификации. Ошибка связана с некорректной обработкой внешних HTTP-запросов и открывает доступ к конфиденциальной информации, в том числе к аутентификационным токенам, API-ключам, данным о подключениях и внутренним переменным бизнес-процессов.

Как это может быть использовано в атаке

Ключевая угроза в том, что атакующий может перехватить критически важную информацию: аутентификационные токены, ключи доступа к другим системам или иные критически важные данные, которые обычно надежно защищены. Это позволит злоумышленнику развивать атаку, используя украденные данные для входа в другие сервисы — например, Microsoft 365, SharePoint, Azure, SAP.

Получив доступ к данным внутри автоматизированных процессов, атакующий может вмешиваться в них, менять их течение, контролировать пересылаемую информацию. В облачных инфраструктурах уязвимость может привести к подмене данных в процессах, внедрению вредоносных действий, например для рассылки вредоносных документов через Outlook.

Как защититься, если обновление недоступно

1. Изоляция Power Automate от открытого доступа. Запретите прямой доступ к Power Automate с внешних IP-адресов. Настройте доступ только через корпоративный прокси или VPN с аутентификацией.

2. Сегментация и контроль доступа. Разделите инфраструктуру на зоны: пользовательские процессы Power Automate должны быть отделены от критически важных систем. Используйте Privileged Access Management (PAM) для всех учетных записей, связанных с автоматизацией.

3. Принцип минимальных привилегий. Проверьте, какие права имеют учетные записи, выполняющие автоматизированные действия. Чаще всего скриптам и потокам выдаются чрезмерные полномочия: доступ к почте, CRM, файловым хранилищам и т.п. Удалите или ограничьте доступ к чувствительным переменным.

4. Мониторинг активности. Используйте SIEM и IDS/IPS, чтобы автоматически обнаруживать необычные подключения к сервисам Power Platform, подозрительные изменения в потоках автоматизации, активацию новых процессов от имени аккаунтов, которые ранее ими не пользовались.

5. Использование WAF/NGFW. Если в архитектуре используется собственный шлюз (например, для API-запросов), разверните Web Application Firewall/NGFW с фильтрацией на уровне URL и тел запросов. Если в правилах WAF от поставщика есть сигнатуры уязвимостей, используйте их для автоматической блокировки.

6. Аудит и ревизия. Проведите ревизию всех существующих потоков и автоматизаций, особенно тех, которые обрабатывают чувствительные данные. Убедитесь, что для всех подключений используется безопасная аутентификация (OAuth 2.0, сертификаты), а токены имеют срок действия и ограничения по зонам.

Уязвимость Citrix ADC/Gateway (CVE-2025-5777)

Последняя уязвимость в нашем обзоре касается решений Citrix ADC и Citrix Gateway (версии до 13.1-50.10 и 13.0-91.12). Они исторически глубоко укоренились в IT-ландшафте российских компаний, особенно в финансовом секторе, ритейле и крупных корпорациях. Их функции для организации VDI и безопасного удаленного доступа долгое время считались отраслевым стандартом. Одномоментная миграция с таких платформ — задача нетривиальная и дорогостоящая, поэтому уязвимые продукты до сих пор составляют основу инфраструктуры удаленного доступа во многих отечественных организациях.

Уязвимость CVE-2025-5777 также получила критическую оценку (9,3 балла по шкале CVSS). Она связана с переполнением буфера и позволяет выполнить произвольный код без предварительной аутентификации.

Как это может быть использовано в атаке

Citrix ADC и Gateway часто используются как точка входа в корпоративную сеть. Это делает уязвимость особенно критичной: ее эксплуатация может привести к полному контролю над внешним периметром.

Злоумышленник может внедрить бэкдор, перехватывать трафик пользователей, подменять содержимое веб-приложений или использовать ADC как точку старта для продвижения внутри сети.

Компрометация ADC также может использоваться для атак на доверенные сервисы:  кражи учетных данных (например, через подмену страниц входа), компрометации VPN-подключений или проведения MITM-атаки внутри корпоративной инфраструктуры.

Как защититься, если обновление недоступно

1. Изоляция интерфейсов Citrix. Закройте все публичные интерфейсы ADC и Gateway, кроме тех, что строго необходимы. Разрешите доступ к административной панели только из внутреннего сегмента или через VPN. Используйте геофильтрацию, если бизнес не работает с зарубежными IP-диапазонами.

2. WAF и NGFW. Установите перед ADC шлюз с фильтрацией на уровне приложений, способный обнаруживать попытки переполнения буфера или аномальные HTTP-запросы. Ограничьте скорость выполнения запросов (rate limiting), чтобы снизить эффективность автоматизированных сканеров.

3. Сегментация сети и ограничение доступа. Поместите Citrix ADC в DMZ-сегмент с минимально необходимыми маршрутами в внутреннюю сеть. Используйте файрвол, чтобы ограничить доступ к критически важным зонам инфраструктуры. Не допускайте, чтобы Citrix Gateway имел прямой доступ к внутренним базам данных, LDAP или другим критичным сервисам.

4. Мониторинг и поведенческий анализ. Подключите логирование в SIEM и следите за аномальной активностью пользователей (особенно с неизвестных IP), изменением конфигурации ADC, перезапуском служб и системных процессов. Используйте поведенческий анализ (например, с применением UEBA-модулей или NTA), чтобы выявлять 0-day-атаки.

5. Подготовка к миграции. Присмотритесь к российским аналогам сервисов Citrix, внедрите тестовую среду и продумайте план перехода, чтобы избежать аврального переключения в случае атаки.

Подводим итоги

Ситуация с зарубежным ПО создала для российских компаний новый класс рисков: даже известные и критические уязвимости не всегда могут быть закрыты вовремя. Это требует от ИБ-подразделений пересмотра подходов к защите.

Новые уязвимости в Veeam, Microsoft Power Automate и Citrix ADC показывают: атаки на инфраструктуру могут начаться с любой точки, если базовые меры защиты не реализованы.

Мы рекомендуем компаниям поддерживать реестр используемого ПО и вовремя получать информацию об уязвимостях. Если есть возможность устанавливать защитные патчи, обновляйте зарубежные системы через доверенные каналы, чтобы не попасть под атаку, связанную с рисками Supply Chain.

Лучший метод — это эшелонированная система безопасности на основе компенсирующих мер:

• внедрение WAF/NGFW, VPN, ограничение доступа;

• сегментация сети и контроль трафика;

• мониторинг событий безопасности (SIEM, UEBA, IDS/IPS);

• принцип минимальных привилегий (PoLP).

Развивайте культуру резервного копирования, регулярно проверяйте целостность бэкапов и наличие оффлайн-версий. В критической ситуации это последний рубеж обороны.

Наконец, планируйте миграцию на отечественные решения. Это должно быть стратегическим направлением развития ИТ по снижению зависимости и повышению управляемости инфраструктурой.