CVE-2026-2624 w ePati Antikor NGFW: obejście uwierzytelniania WebSocket z ryzykiem wycieku danych - Security Bez Tabu

CVE-2026-2624 w ePati Antikor NGFW: obejście uwierzytelniania WebSocket z ryzykiem wycieku danych

Cybersecurity news

Wprowadzenie do problemu / definicja

W urządzeniach klasy Next-Generation Firewall szczególnie niebezpieczne są podatności, które umożliwiają dostęp do funkcji administracyjnych bez wcześniejszego uwierzytelnienia. W przypadku ePati Antikor NGFW ujawniono lukę oznaczoną jako CVE-2026-2624, dotyczącą obejścia mechanizmu autoryzacji w kanale WebSocket. Problem obejmuje wersje od 2.0.1298 do 2.0.1301 i może prowadzić do ujawnienia wrażliwych danych operacyjnych oraz informacji o ruchu sieciowym.

W skrócie

Podatność pozwala na zestawienie połączenia WebSocket z usługą urządzenia bez skutecznej weryfikacji tożsamości klienta. Publicznie opisany proof of concept pokazuje, że atakujący może połączyć się z odpowiednim endpointem, wysłać komendy subskrybujące dane systemowe i odebrać odpowiedzi zawierające informacje o stanie klastra oraz listach pakietów sieciowych.

  • Dotknięte wersje: 2.0.1298–2.0.1301
  • Identyfikator luki: CVE-2026-2624
  • Typ problemu: obejście uwierzytelniania / brak autoryzacji krytycznej funkcji
  • Potencjalny skutek: wyciek danych operacyjnych i telemetrycznych
  • Możliwa poprawka: wersja 2.0.1302 lub nowsza

Kontekst / historia

Informacja o luce została upubliczniona 14 maja 2026 roku w publicznej bazie exploitów. Sam opis techniczny proof of concept wskazuje datę 13 kwietnia 2026 roku i identyfikuje problem jako nieuwierzytelniony dostęp do interfejsu WebSocket w produkcie ePati Antikor NGFW.

Znaczenie tej klasy błędów jest wysokie, ponieważ dotyczy urządzeń bezpieczeństwa brzegowego. Firewalle NGFW przetwarzają i korelują dane o sesjach, politykach, zdarzeniach i ruchu pakietowym. Każda luka pozwalająca ominąć kontrolę dostępu do interfejsów zarządzania lub kanałów telemetrycznych zwiększa ryzyko rozpoznania środowiska, przechwycenia metadanych ruchu oraz przygotowania gruntu pod dalsze działania ofensywne.

Analiza techniczna

Publicznie dostępny proof of concept wskazuje, że podatna usługa nasłuchuje połączeń WebSocket Secure pod ścieżką opartą o SockJS, w formacie zbliżonym do ścieżek sesyjnych wykorzystywanych przez aplikacje webowe czasu rzeczywistego. Skrypt generuje losowe identyfikatory sesji i serwera, a następnie inicjuje połączenie WSS bez przedstawienia prawidłowego kontekstu uwierzytelnienia.

Już sam fakt zaakceptowania połączenia sugeruje, że walidacja sesji lub tokenu nie jest poprawnie egzekwowana na etapie handshake albo w logice aplikacyjnej po ustanowieniu kanału. Po zestawieniu sesji proof of concept wysyła komunikaty JSON zawierające polecenia subskrypcji danych, w tym związanych ze statusem klastra oraz listami pakietów sieciowych. To wskazuje, że backend może akceptować żądania sterujące od klienta, który nie przeszedł pełnej autoryzacji.

Z perspektywy architektury aplikacyjnej prawdopodobny scenariusz obejmuje jeden lub kilka błędów projektowych:

  • brak powiązania połączenia WebSocket z uprzednio zweryfikowaną sesją użytkownika,
  • brak kontroli uprawnień dla wybranych komend po stronie serwera,
  • zaufanie do samego zestawienia kanału SockJS lub WSS jako warunku dostępu,
  • nieprawidłową obsługę anonimowych klientów w mechanizmie publikacji i subskrypcji zdarzeń.

Dodatkowym sygnałem technicznym jest użycie TLS z wyłączoną walidacją certyfikatu po stronie klienta w skrypcie PoC. Nie stanowi to źródła samej luki, ale pokazuje praktyczny sposób testowania urządzeń z certyfikatami samopodpisanymi, co jest częste w interfejsach administracyjnych appliance’y bezpieczeństwa.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem podatności jest naruszenie poufności. Jeżeli nieuwierzytelniony użytkownik może odczytywać status klastra, informacje systemowe lub listy pakietów, zyskuje wgląd w architekturę sieci, bieżący stan urządzenia oraz dane pomocne przy kolejnych etapach ataku.

W zależności od zakresu ujawnianych informacji konsekwencje mogą obejmować:

  • identyfikację interfejsów i segmentów sieci,
  • podgląd wybranych metadanych ruchu,
  • rozpoznanie aktywności administracyjnej lub stanu usług,
  • przygotowanie działań lateral movement,
  • dokładniejsze omijanie polityk bezpieczeństwa.

Ryzyko rośnie szczególnie wtedy, gdy interfejs zarządzania jest dostępny z Internetu, z sieci partnerów lub z niewystarczająco odseparowanych segmentów wewnętrznych. Nawet jeśli luka nie umożliwia natychmiastowego wykonania kodu, może stanowić bardzo wartościowy etap rozpoznania przed kolejnym atakiem.

Rekomendacje

W pierwszej kolejności należy zweryfikować, czy w środowisku używane są wersje ePati Antikor NGFW od 2.0.1298 do 2.0.1301. Jeżeli tak, priorytetem powinno być przejście na wydanie zawierające poprawkę, zgodnie z informacjami dostawcy lub wskazaniem, że wersje 2.0.1302 i nowsze mogą eliminować problem.

Dodatkowo warto wdrożyć następujące działania ochronne:

  • ograniczyć dostęp do interfejsów zarządzania i endpointów WebSocket wyłącznie do wydzielonych sieci administracyjnych,
  • wyeliminować ekspozycję paneli administracyjnych do Internetu wszędzie tam, gdzie nie jest to bezwzględnie konieczne,
  • wymusić dodatkowe kontrole dostępu na poziomie reverse proxy, ACL lub VPN,
  • monitorować logi pod kątem nietypowych połączeń do ścieżek SockJS i WebSocket,
  • sprawdzić, czy połączenia anonimowe są odrzucane już na etapie handshake,
  • zweryfikować autoryzację każdej komendy odpowiedzialnej za subskrypcję danych,
  • przeanalizować historyczne logi w celu wykrycia wcześniejszych połączeń z nieznanych adresów IP.

W organizacjach o podwyższonych wymaganiach bezpieczeństwa warto potraktować ten incydent jako impuls do audytu wszystkich kanałów asynchronicznych wykorzystywanych w appliance’ach bezpieczeństwa, zwłaszcza WebSocket, SSE oraz mechanizmów pub/sub.

Podsumowanie

CVE-2026-2624 w ePati Antikor NGFW pokazuje, że nawet w systemach bezpieczeństwa krytycznym obszarem pozostaje poprawna kontrola dostępu do interfejsów zarządzania i kanałów telemetrycznych. Publicznie dostępny exploit wskazuje na możliwość nieuwierzytelnionego połączenia z endpointem WebSocket i pozyskania danych o stanie systemu oraz ruchu sieciowym. Dla zespołów bezpieczeństwa oznacza to konieczność pilnej weryfikacji wersji, ograniczenia ekspozycji usług administracyjnych oraz wdrożenia aktualizacji usuwającej problem.

Źródła

  1. Exploit Database: ePati Antikor NGFW 2.0.1301 – Authentication Bypass — https://www.exploit-db.com/exploits/52562
  2. CVE Feed: CVE-2026-2624 — https://cvefeed.io/vuln/detail/CVE-2026-2624
  3. INCIBE-CERT Vulnerabilities: ePati Antikor NGFW Authentication Bypass — https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities?field_vul_product=&page=995
  4. ePati Cyber Security: Antikor NGFW — https://www.epati.com.tr/en/ngfw