Разработка ПО в финтехе и ритейле в зоне риска: «Солар», «Фазум» и «Хоулмонт» выявили более 30 уязвимостей в BPM-платформе Camunda 7

В феврале 2025 года разработчики востребованной международной BPM-платформы Camunda Platform 7 сообщили, что коммерческая версия будет переведена в режим технической поддержки и будет получать только критические исправления. С октября 2025 года была прекращена поддержка бесплатной версии Community Edition. Кроме того, изменение лицензионной политики актуальной версии платформы (Camunda Platfrom 8) существенно ограничило ее использование в России, хотя платформу, как и во всем мире, использовали сотни крупных компаний для автоматизации бизнес-процессов различной отраслевой направленности. В их числе ряд крупнейших российских банков ТОП-10, которые смогли реализовать миграцию на восьмую версию BPM-платформы. При этом, несмотря на запущенные процессы миграции, доля седьмой версии Camunda по-прежнему составляет около 70% среди российских пользователей. Такие данные по итогам 2-го квартала 2025 года приводит Дмитрий Рейдман, руководитель бизнес-кластера X.Технологии ПАО «Ростелеком».

Согласно исследованию компании «Фазум» (входит в состав ПАО «Ростелеком»), высокая доля платформы Camunda 7 на рынке разработки во многом связана с тем, что до 35% проектов автоматизации бизнес-процессов были реализованы на ее основе. Например, в крупных банках и финансовых организациях доля проникновения системы составила до 40%, она использовалась для автоматизации сложных процессов: одобрение кредитов, управление рисками, системы мониторинга транзакций, связанных с незаконной финансовой деятельностью, системы комплаенса и процедуры «знай своего клиента» (KYC), программы лояльности и др. Доля проникновения в телеком-отрасли составила 20–25%, система активно использовалась для цифровизации процессов биллинга, автоматизации call-центров. В ритейле и промышленности она служила основой для автоматизации логистики, планирования и учета оплаты товаров, управления цепочками поставок, маршрутизации, управления производственными процессами и IoT-интеграции. Таким образом, импортозамещение платформы Camunda стало актуальной отраслевой задачей, которая обсуждается на уровне IT-директоров крупных банков и представителей госсектора. По словам представителей банков, проблема с использованием Camunda Platform становится более актуальной. Ситуация осложняется тем, что переход на другую BPMS обесценивает опыт команды, а также выливается в повторные проекты внедрения со своими рисками и болями. Самостоятельная же поддержка не является целевым направлением для банков.

С учетом вероятных рисков для IT-индустрии ГК «Солар» при поддержке компаний «Фазум» и «Хоулмонт» инициировала анализ на уязвимости последней версии BPM-платформы Camunda 7. Эксперты выявили более 30 уязвимостей, для пяти из которых опубликованы сценарии проведения атак и код эксплойтов. Публикация на GitHub кода эксплойтов к уязвимостям высокой критичности повышает риски их эксплуатации при реализации кибератак не только на продуктивные сервера, но и на конвейеры разработки. Анализ был выполнен сертифицированным ФСТЭК России ПО Solar appScreener.

Так, уязвимость в механизме десериализации библиотек Jython до версии 2.7.1rc1 (CVE-2016-4000) позволяет злоумышленнику выполнить произвольный код. Ряд уязвимостей критичны и могут стать вектором атак как на инфраструктуру, так и на контейнерную среду. Эту уязвимость, по оценке экспертов, крайне сложно устранить. Необходимо обновить механизм Jython до версии 2.7.1rc1 или выше. При невозможности немедленного обновления нужно ограничить источники данных и сетевой доступ к сервисам десериализации, внедрить контроль входных данных и мониторинг аномальной активности. Но сделать это внешними инструментами вряд ли получится, поэтому придется существенно расширить программный код BPM-движка для случаев реализации запросов скриптов на Python.

Эксперты также выявили уязвимость (CVE-2020-11979), связанную с инструментом Apach Ant, который базируется на открытом исходном коде и позволяет автоматизировать сборку ПО на языке Java. Эта уязвимость позволяет локальному злоумышленнику модифицировать временное содержимое файлов, внедрить измененные исходные данные в процессы сборки, а далее при вторжении в инфраструктуру эскалировать права, выполнять произвольные команды и скомпрометировать систему.

Следующая уязвимость (CVE-2023-2976) связана с общедоступными библиотеками Google Guava с открытым исходным кодом для программирования на Java. Злоумышленники могут использовать эту уязвимость для подмены содержимого временных файлов с риском раскрытия конфиденциальной информации и нарушению целостности данных. Эксперты рекомендуют использовать контейнеризацию сборки, чтобы снизить риски, и контролировать привилегированный режим доступа, а также использовать доверенный репозиторий Docker-образов.

Эксплуатация следующей уязвимости CVE-2023-6378, связанной с ошибками в реализации компонента receiver библиотеки logback, приводит к полному отказу обслуживания на уровне исполнительного сервера, когда он прекращает работать и отвечать на запросы. Для пользователей это означает полную остановку исполнения бизнес-процессов, включая прекращение рассмотрения клиентских заявок, прекращение согласования документов, остановку продаж и цепочек логистики.

Аналогичный эффект может вызвать эксплуатация одной из ключевых уязвимостей веб-сервера и контейнера сервлетов (программных компонентов, расширяющих функциональность веб-сервера) Eclipce Jetty (CVE-2021-28165), что приводит к некорректной обработке большого объема данных, которые передаются между клиентом и сервером после установления безопасного соединения. Злоумышленник может отправить специально сформированный фрейм, что приведёт к 100%-й загрузке процессора сервера, вызывая отказ в обслуживании (Denial of Service). Для устранения этой эксплуатации эксперты рекомендуют обновить Eclipse Jetty до версии 9.4.39 или новее, в котором исправлена данная уязвимость, или дополнительно настроить межсетевой экран, если нет возможности получить обновление.

Критичная уязвимость в библиотеке Compress (CVE-2021-35516), используемой в сборке Camunda 7. Ее основной риск — чрезмерное выделение памяти при обработке специально сформированных архивов. Вредоносный архив может вызвать ошибку out-of-memory, приводящую к отказу в обслуживании (Denial of Service) приложения или сервиса. Аналитики рекомендуют обновить библиотеку Compress до версии 1.21. При невозможности обновления отключить функцию восстановления поврежденных архивов и ограничить выделяемую память при обработке архивов. Эта уязвимость может проявить себя при осуществлении процедур развертывания (деплоя), то есть при передаче на сервер комплекта процессных артефактов для их последующего исполнения.

Эксперты ГК «Солар», «Фазум» и «Хоулмонт» рекомендуют российским разработчикам уделить особое внимание своевременному обновлению ПО и использованию межсетевых экранов для защиты веб-приложений (WAF). Также эксперты делают акцент на системное повышение навыков в информационной безопасности IT-команд и выполнение рекомендаций ФСТЭК по периодической проверке используемого ПО на уязвимости (SAST/DAST/OSA).

Источник: ГК «Солар»