Уязвимость в UserGate NGFW могла дать злоумышленникам доступ к сети

Эксперты Positive Technologies сообщили о найденной уязвимости в межсетевом экране нового поколения UserGate NGFW. Проблему обнаружил исследователь Владимир Власов из команды PT SWARM. Брешь (PT-2025-28938, BDU:2025-08181) затронула устройства UserGate NGFW версий до 6.1.9.12193R и 7.3.1.153682R включительно.

Она получила 6,5 балла по шкале CVSS 3.1. Ошибка возникала из-за недостаточной фильтрации данных на служебной странице блокировки, куда пользователи попадали при отказе в доступе к сайту.

Сама по себе уязвимость не давала полного контроля над системой, но в сочетании с другими проблемами могла позволить атакующему нарушить работу устройства, получить доступ к персональным данным сотрудников или коммерческой информации.

По данным специалистов, под удар могли попасть более 1,8 тыс. компаний, в основном в России (97%), но также в Беларуси, Израиле, Узбекистане и США.

Производитель выпустил обновления (версии 6.1.9.12198R и 7.3.2.183745R). Если обновиться невозможно, рекомендуется отключить страницу блокировки или вынести её на отдельный домен.

Сценарий атаки мог выглядеть так: злоумышленник отправляет сотруднику письмо или сообщение со ссылкой на «безопасный» ресурс. Если получатель с правами администратора UserGate NGFW переходил по ней, на уязвимом устройстве автоматически выполнялся вредоносный код. В результате нарушитель мог бы:

удалить правила фильтрации и открыть доступ к запрещённым ресурсам, подменить корпоративные страницы на фишинговые, создать учётную запись администратора для закрепления в системе.

По словам исследователя Владимира Власова, успешная атака могла дать злоумышленнику возможность действовать от имени жертвы во внутренних сервисах компании, что грозило утечкой конфиденциальной информации и сбоем бизнес-процессов.