Критическая уязвимость в node-netmask затрагивает 279 тысяч приложений

Татьяна Никитина 30 Марта 2021 - 09:00

...

Критическая уязвимость в node-netmask затрагивает 279 тысяч приложений

В популярном npm-пакете node-netmask выявлена уязвимость, позволяющая обойти ограничение доступа к IP-адресам и провести атаку SSRF, RFI или LFI на приложение на базе Node.js. Проблема устранена с выпуском версии 2 продукта.

Библиотека netmask выполняет парсинг IP-адресов при обращении к сетевым ресурсам через приложение. На этот компонент полагаются свыше 279 тыс. проектов на GitHub; из репозитория npm его еженедельно скачивают по 3 млн раз и более.

Уязвимость в netmask, получившая идентификатор CVE-2021-28918, вызвана ошибкой в реализации проверки входных данных и проявляется при обработке IP-адресов смешанного формата.

Согласно спецификациям IETF, адреса IPv4 в текстовом виде могут быть представлены в различных форматах, в том числе в десятичном и восьмеричном. В последнем случае строковое значение адреса начинается с нуля — например, 0150.0024.0073.0321, что соответствует более привычному 104.20.59.209. Основные браузеры обычно отслеживают префикс «0» в адресной строке и автоматически совершают перевод IP-адреса в десятичный формат.

Как оказалось, netmask эту особенность не учитывает и попросту отбрасывает начальный 0, обрабатывая все части адреса как десятичные числа. Злоумышленник может, например, запросить ресурс, указав IP-адрес как 0177.0.0.1 (эквивалентно 127.0.0.1 — кольцевому адресу, возвращающему к локальному хост-компьютеру), и уязвимый модуль обработает его как внешний адрес 177.0.0.1. В итоге использующее netmask приложение не уловит тождества 0177.0.0.1 и 127.0.0.1 и загрузит ресурс в обход возможных запретов.

Точно так же при обращении к приложению на базе Node.js автор атаки может указать localhost-адрес как 0127.0.0.1 (соответствует десятичному 87.0.0.1). Модуль netmask обработает его как публичный 127.0.0.1, и искомый доступ будет получен.

Уязвимость в netmask позволяет также обойти проверку разрешений на доступ к интранет-адресам, VPN, контейнерам и узлам локальной сети путем ввода IP-адреса 012.0.0.1 (10.0.0.1), который netmask воспримет как 12.0.0.1 (публичный).

Обнаружившие проблему исследователи отметили, что она «катастрофична», так как возможность манипуляции значениями IP-адресов на уровне ввода грозит атаками типа RFI (Remote File Inclusion, динамическое подключение файлов с других серверов), LFI (Local File Inclusion, включение в цепочку выполнения локальных файлов) и SSRF (подмена адресов на стороне сервера).

Патч для netmask вышел десять дней назад в составе сборки 2.0.0 пакета; разработчикам приложений настоятельно рекомендуется обновить зависимости в коде.

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 12 Марта 2026 - 17:45

Корпорации

Выручка VK Tech по итогам 2025 года выросла на 38% — до 18,8 млрд рублей

VK Tech, корпоративное ИТ-направление МКПАО «ВК», подвела финансовые и операционные итоги 2025 года. Выручка компании составила 18,8 млрд рублей, что на 38% больше, чем годом ранее. Быстрее всего в портфеле VK Tech росли сервисы продуктивности VK WorkSpace и бизнес-приложения.

Их выручка увеличилась на 75,1% и 65,7% соответственно. В самой компании это связывают как с ростом клиентской базы, так и с расширением использования уже подключённых решений.

Заметно выросла и рекуррентная выручка — она увеличилась более чем вдвое и достигла 12,8 млрд рублей. Это 68% от общего объёма выручки. Такой результат обеспечили как продажи по облачной модели On-Cloud, так и доходы от технической поддержки в сценариях On-Premise.

Скорректированная EBITDA VK Tech по итогам года составила 4,8 млрд рублей, прибавив 21,6% год к году. Рентабельность по этому показателю достигла 26%. Одновременно компания сообщила и о росте клиентской базы: количество клиентов увеличилось в 2,7 раза и достигло 31,9 тыс.

Если смотреть по продуктовым направлениям, то крупнейший вклад по-прежнему дают облачная платформа VK Cloud и сервисы продуктивности VK WorkSpace — вместе на них пришлось около 70% всей выручки за 2025 год.

Направление «Облачная платформа» принесло 6,5 млрд рублей, что на 13,5% больше, чем годом ранее. При этом выручка от облачной модели On-Cloud внутри этого сегмента выросла на 51,3%.

Выручка направления «Сервисы продуктивности» достигла 6,3 млрд рублей. Это один из самых быстрорастущих сегментов в структуре VK Tech: рост год к году составил 75,1%. В компании отмечают, что продажи по модели On-Cloud здесь выросли в 3,6 раза, а средняя ежемесячная аудитория активных пользователей платных облачных аккаунтов — в 2,7 раза.

Сегмент «Дата-сервисы» вырос более умеренно — на 15,5%, до 2,5 млрд рублей. Здесь в компании отдельно выделяют решения Tarantool и VK Data Platform, выручка которых увеличилась на 61,8%.

Направление «Бизнес-приложения» принесло 3,4 млрд рублей, показав рост на 65,7%. Основной вклад здесь обеспечили продажи в формате On-Premise, которые увеличились на 86%. Среди отдельных решений VK Tech выделяет VK HR Tek и VK Tax Compliance, показавшие рост на 38,8% и 97,7% соответственно.

Также компания сообщила о нескольких крупных проектах, реализованных в 2025 году, в том числе с Банком Санкт-Петербург, АВТОВАЗом, ВТБ, Сургутнефтегазом и Lamoda. Кроме того, VK Tech рассказала о соглашениях, связанных с цифровой инфраструктурой Татарстана, решениями для нефтегазовой отрасли и ИИ-технологиями для строительного сектора.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!