SANS Internet Storm Center (ISC) випустив термінове попередження щодо нової, критичної вразливості (CVE-2026-XXXX) у програмному забезпеченні SecureLink VPN. Ця вразливість дозволяє неаутентифікованому зловмиснику виконати довільний код з високими привілеями на сервері VPN, що є прямим шляхом до повного компрометування системи. За наявною інформацією, вже зафіксовано випадки експлуатації цієї вразливості «у дикій природі», що підкреслює терміновість реагування та необхідність негайних заходів безпеки.
Вразливість (CVE-2026-XXXX) класифікується як віддалене виконання коду (RCE) і пов'язана з некоректною обробкою спеціально сформованих запитів до веб-інтерфейсу адміністратора SecureLink VPN. Зловмисник може використати цю недоробку для ін'єкції шкідливого коду, який потім буде виконаний системою. Вразливими є всі версії SecureLink VPN до 5.3.1. Патч доступний у версії 5.3.1 та вище. Експлуатація не вимагає автентифікації, що робить її особливо небезпечною для серверів, доступних з інтернету. Успішна експлуатація надає зловмиснику повний контроль над VPN-сервером, дозволяючи йому отримати доступ до внутрішньої мережі, перехоплювати трафік або використовувати сервер як плацдарм для подальших атак.
Ця вразливість становить серйозну загрозу для всіх організацій, які використовують SecureLink VPN, особливо якщо їхні VPN-сервери доступні з інтернету. В умовах поточної геополітичної ситуації, українські державні установи, об'єкти критичної інфраструктури та компанії, що працюють з чутливою інформацією, є потенційними цілями для кібератак. Компрометація VPN-шлюзу може призвести до несанкціонованого доступу до внутрішніх ресурсів, витоку даних, розгортання програм-вимагачів або інших деструктивних дій. Зловмисники, включаючи державні хакерські угруповання та кіберзлочинні синдикати, активно шукають такі «легкі» точки входу для початкового проникнення в мережі.
- Негайне оновлення: Терміново оновіть всі інсталяції SecureLink VPN до версії 5.3.1 або новішої. Це є найефективнішим і найшвидшим заходом захисту.
- Обмеження доступу: Якщо негайне оновлення неможливе, тимчасово обмежте доступ до веб-інтерфейсу адміністратора VPN-сервера лише з довірених IP-адрес або внутрішніх мереж, використовуючи фаєрвол.
- Моніторинг: Посильте моніторинг логів VPN-сервера та мережевого трафіку на предмет підозрілої активності, незвичайних запитів або спроб експлуатації. Звертайте увагу на несанкціоновані входи або аномальний вихідний трафік.
- Сегментація мережі: Переконайтеся, що VPN-сервер знаходиться в добре сегментованій зоні мережі, щоб у разі компрометації обмежити можливості зловмисників для горизонтального переміщення.
- Резервне копіювання: Регулярно створюйте резервні копії критичних даних та конфігурацій, пов'язаних з VPN-сервером.
- План реагування: Перегляньте та оновіть свій план реагування на інциденти, включаючи процедури для компрометації VPN-шлюзів.