Прекращение поддержки Camunda 7 обернулось десятками уязвимостей
Специалисты «Солар», «Фазум» и «Хоулмонт» обнаружили свыше тридцати уязвимостей в BPM-платформе Camunda Platform 7, включая несколько критических, для которых в открытом доступе опубликованы эксплойты. Проблемы с безопасностью возникают на фоне прекращения поддержки данной версии и ограничений на использование актуальной Camunda 8 в России.
В феврале 2025 года вендор платформы Camunda объявил о переводе коммерческой версии Camunda Platform 7 в режим технической поддержки с получением только критических исправлений, а с октября поддержка бесплатной Community Edition была полностью прекращена. По итогам второго квартала 2025 года доля Camunda 7 среди российских пользователей всё ещё составляет около 70%.
Согласно исследованию компании «Фазум», до 35% проектов автоматизации бизнес-процессов в России были реализованы на этой платформе. В банковском секторе её доля проникновения достигала 40%, как указывается в сообщении компании. Платформа использовалась для автоматизации кредитования, управления рисками, KYC-процедур, комплаенса и систем мониторинга транзакций. В телекоммуникациях (20-25%), ритейле и промышленности она применялась для цифровизации биллинга, логистики, управления цепочками поставок и IoT-интеграции.
С учётом рисков, связанных с прекращением поддержки, «Солар» при поддержке «Фазум» и «Хоулмонт» провела анализ безопасности последней версии Camunda 7. В ходе проверки, выполненной сертифицированным ФСТЭК ПО Solar appScreener, было выявлено более 30 уязвимостей. Для пяти из них, как сообщили эксперты, в открытом доступе уже опубликованы сценарии атак и код эксплойтов, что повышает риски кибератак на продуктивные сервера и конвейеры разработки.
Среди выявленных проблем — критическая уязвимость в механизме десериализации (восстановления объектов из данных) библиотек Jython до версии 2.7.1rc1 (CVE-2016-4000), позволяющая выполнить произвольный код. Её устранение, по оценке специалистов, крайне сложно и требует обновления Jython или значительной доработки кода BPM-движка. Также обнаружены уязвимости в инструменте Apach Ant (CVE-2020-11979), библиотеках Google Guava (CVE-2023-2976), компоненте logback (CVE-2023-6378), ведущие к отказу в обслуживании, компрометации системы или нарушению целостности данных. Ещё одна проблема (CVE-2021-35516) связана с библиотекой Compress и может вызвать отказ в обслуживании при обработке специально сформированных архивов вовремя деплоя — развёртывания приложения в производственной среде.
Эксперты рекомендуют организациям, продолжающим использовать Camunda 7, уделить особое внимание своевременному обновлению компонентов, использованию межсетевых экранов для защиты веб-приложений (WAF), а также следовать рекомендациям ФСТЭК по периодической проверке ПО на уязвимости.
