Всё как на ладони. В популярной в РФ системе бизнес-аналитики «ключи» оставили прямо в «замке»
NewsMakerБезопасность архивов теперь зависит исключительно от скорости установки обновлений.
В системах бизнес-аналитики хранятся отчёты, показатели, финансовые данные и служебная информация, поэтому даже одна ошибка в защите может быстро превратиться в серьёзный риск для компании. В Visiology BI нашли сразу пять уязвимостей, включая две критические, которые при определённых условиях открывают путь к захвату административных учётных записей.
Все уязвимости выявил специалист «СайберОК» Роман Малов. По данным компании, проблемы затрагивают раскрытие информации, неконтролируемый расход ресурсов, жёстко заданные учётные данные и встроенный криптографический ключ.
На радарах системы «СКИПА» обнаружили около 140 доступных из интернета экземпляров Visiology BI. Примерно 60% из них могут быть уязвимы хотя бы к одной из найденных проблем. Пользователей сервиса PentOps, как сообщает «СайберОК», уведомили заранее.
Первая уязвимость, зарегистрированная как BDU:2026-01864 (COK-2026-02-01), связана с раскрытием информации. Ей присвоили 5,3 балла по CVSS, что соответствует среднему уровню риска. Удалённый злоумышленник может получить доступ к защищаемым данным без авторизации.
Вторая проблема, BDU:2026-01865 (COK-2026-02-02), тоже относится к раскрытию информации, но связана уже с архитектурой системы. Оценка по CVSS составляет 8,6 балла. Такая ошибка может привести к утечке конфиденциальных данных в расширенном контексте безопасности.
Ещё одна уязвимость, BDU:2026-01866 (COK-2026-02-03), позволяет вызвать отказ в обслуживании. Из-за неконтролируемого расхода ресурсов удалённый атакующий способен исчерпать возможности системы и нарушить её работу. Риск оценили в 7,5 балла.
Наиболее опасная проблема получила идентификатор BDU:2026-01867 (COK-2026-02-04). В системе обнаружили жёстко заданные учётные данные. Уязвимость оценили в 9,8 балла по CVSS, поскольку она позволяет получить полный несанкционированный доступ и повлиять на конфиденциальность, целостность и доступность.
Пятая уязвимость, BDU:2026-01868 (COK-2026-02-05), связана с жёстко заданным криптографическим ключом. Оценка составляет 9,3 балла. Такая проблема может нарушить механизм аутентификации и привести к доступу к защищаемой информации.
Сочетание двух критических уязвимостей создаёт условия для захвата административных учётных записей и доступа к системе бизнес-аналитики. По данным ФСТЭК, исправления вошли в версию Visiology BI 2.41.1.
До перехода на обновлённую сборку организациям рекомендуют ограничить сетевой доступ к экземплярам системы и усилить контроль на периметре.
В системах бизнес-аналитики хранятся отчёты, показатели, финансовые данные и служебная информация, поэтому даже одна ошибка в защите может быстро превратиться в серьёзный риск для компании. В Visiology BI нашли сразу пять уязвимостей, включая две критические, которые при определённых условиях открывают путь к захвату административных учётных записей.
Все уязвимости выявил специалист «СайберОК» Роман Малов. По данным компании, проблемы затрагивают раскрытие информации, неконтролируемый расход ресурсов, жёстко заданные учётные данные и встроенный криптографический ключ.
На радарах системы «СКИПА» обнаружили около 140 доступных из интернета экземпляров Visiology BI. Примерно 60% из них могут быть уязвимы хотя бы к одной из найденных проблем. Пользователей сервиса PentOps, как сообщает «СайберОК», уведомили заранее.
Первая уязвимость, зарегистрированная как BDU:2026-01864 (COK-2026-02-01), связана с раскрытием информации. Ей присвоили 5,3 балла по CVSS, что соответствует среднему уровню риска. Удалённый злоумышленник может получить доступ к защищаемым данным без авторизации.
Вторая проблема, BDU:2026-01865 (COK-2026-02-02), тоже относится к раскрытию информации, но связана уже с архитектурой системы. Оценка по CVSS составляет 8,6 балла. Такая ошибка может привести к утечке конфиденциальных данных в расширенном контексте безопасности.
Ещё одна уязвимость, BDU:2026-01866 (COK-2026-02-03), позволяет вызвать отказ в обслуживании. Из-за неконтролируемого расхода ресурсов удалённый атакующий способен исчерпать возможности системы и нарушить её работу. Риск оценили в 7,5 балла.
Наиболее опасная проблема получила идентификатор BDU:2026-01867 (COK-2026-02-04). В системе обнаружили жёстко заданные учётные данные. Уязвимость оценили в 9,8 балла по CVSS, поскольку она позволяет получить полный несанкционированный доступ и повлиять на конфиденциальность, целостность и доступность.
Пятая уязвимость, BDU:2026-01868 (COK-2026-02-05), связана с жёстко заданным криптографическим ключом. Оценка составляет 9,3 балла. Такая проблема может нарушить механизм аутентификации и привести к доступу к защищаемой информации.
Сочетание двух критических уязвимостей создаёт условия для захвата административных учётных записей и доступа к системе бизнес-аналитики. По данным ФСТЭК, исправления вошли в версию Visiology BI 2.41.1.
До перехода на обновлённую сборку организациям рекомендуют ограничить сетевой доступ к экземплярам системы и усилить контроль на периметре.