Новости

Эксперт Positive Technologies помог устранить уязвимость в службе каталогов FreeIPA

Компания Red Hat поблагодарила эксперта PT SWARM Михаила Сухова за обнаружение уязвимости с критически высоким уровнем опасности в контроллере домена для Linux-систем FreeIPA, с помощью которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита. Решение входит в дистрибутив Red Hat Enterprise Linux, который применяют более 2000 организаций, а также лежит в основе ИT-продуктов других вендоров, в том числе отечественных. В случае успешной атаки злоумышленник смог бы похитить конфиденциальные данные компании. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление.

Недостаток безопасности CVE-2025-4404 (BDU:2025-04863) содержался в версиях FreeIPA 4.12.2 и 4.12.3. Ему было присвоено 9,4 балла из 10 возможных по шкале CVSS 4.0, что соответствует критическому уровню угрозы. Успешная эксплуатация уязвимости могла бы позволить атакующему повысить свои привилегии в системе до администратора домена и получить доступ к чувствительным данным компании.
 

Для устранения ошибки необходимо обновить службу каталогов FreeIPA до версии 4.12.4. Компаниям, которым не удается установить патч, эксперт Positive Technologies рекомендует настроить дополнительную проверку прав пользователей. Для этого следует включить обязательное использование PAC1 на всех серверах, управляющих доступом к протоколу аутентификации Kerberos. Затем необходимо присвоить атрибуту krbCanonicalName, относящемуся к учетной записи администратора, имя admin@REALM.LOCAL. Оно будет использоваться системой, чтобы корректно идентифицировать пользователя с повышенными привилегиями.

FreeIPA — открытое программное обеспечение, которое рассматривается организациями как альтернатива службе каталогов Active Directory, разработанной Microsoft. Проект развивает сообщество разработчиков при поддержке компании Red Hat, к услугам которой обращаются 90% организаций из списка Fortune Global 500. FreeIPA используется более чем в 500 компаниях по всему миру.

1 Proxy Auto Configuration, автоматическая настройка прокси-сервера.

«Для эксплуатации уязвимости злоумышленнику потребовался бы доступ к учетной записи компьютера в домене FreeIPA. Завладев максимальными привилегиями на скомпрометированном узле, он смог бы прочитать содержимое файла, в котором хранятся ключи для доступа к системе. В результате успешной атаки нарушитель гипотетически получил бы возможность повысить свои привилегии до администратора домена. Это позволило бы ему управлять учетными записями и правами пользователей, а также открыло бы доступ к любым ...

Михаил Сухов
Михаил СуховСтарший специалист отдела тестирования на проникновение Positive Technologies

Устраненная уязвимость возникла после того, как в 2020 году вендор ограничил возможность произвольного повышения пользователями своих прав в системе, которой также могли воспользоваться злоумышленники. После обновления был удален атрибут krbCanonicalName, что и открыло дорогу для атакующих.

Чтобы защититься от подобных атак, эксперты советуют использовать систему поведенческого анализа трафика PT Network Attack Discovery, которая позволяет выявлять в сети попытки эксплуатации уязвимостей и другие слабые места в защите, оперативно реагировать на инциденты безопасности, а также проводить ретроспективный анализ проникновений. Кроме того, обеспечить безопасность компании поможет межсетевой экран нового поколения PT NGFW.