🔎 Пользователь найден — User Enumeration в DIRECTUM Исследователь СайберОК обнаружил уязвимость в системе электронного документооборота DIRECTUM. 📡 На радарах СКИПА мы наблюдаем более 400 сервисов с данным ПО, из которых около 8% уязвимы. Пользователи СКИПА PentOps были уведомлены об уязвимости 18 сентября 2025 года. 🆔 Об уязвимости • СОК-2025-08-04 / BDU:2025-11477 🔸 CVSS 3.1: 5.3 — средний уровень опасности AV:N / AC:L / PR:N / UI:N / S:U / C:L / I:N / A:N Уязвимость позволяет удалённому злоумышленнику, не обладающему учётными данными, установить факт наличия пользователя в системе. Уязвимая версия: 5.7.3.9006 🎯 Риски • Сбор списка «живых» пользователей. • Рост эффективности brute-force и credential stuffing. • Использование как разведывательного этапа перед целенаправленными атаками. 🛡 Компенсирующие меры • Ограничить доступ путем внедрения механизма «белых» списков. • Закрыть доступ из внешних сетей (Интернет). • Разрешить вход только через SSO (предаутентификация). • Отключить веб-интерфейс DIRECTUM.