Инфраструктурный ресерч в России выходит на новый уровень. На фоне импортозамещения и растущего внимания к безопасности Linux-систем появляются уязвимости, сопоставимые по эффекту с теми, что раньше связывали исключительно с Windows-доменами. Михаил Сухов, двукратный победитель номинации «Пробив инфраструктуры» на Pentest Award, в интервью для Cyber Media рассказал, как ему удалось обнаружить CVE-2025-4404 в FreeIPA и какие направления будут определять повестку ресечеров в ближайшие годы.
Cyber Media: Второй год подряд вы побеждаете в номинации «Пробив инфраструктуры». Что для вас ценнее — сама победа или то, что именно ваш ресерч признали ключевым? И как изменилась ваша работа за это время?
Михаил Сухов: Пожалуй, для меня важнее всего сам процесс успешного ресерча и его результат. Мне приятно осознавать, что мой вклад помогает повысить безопасность продукта, которым пользуются многие компании. Конечно, признание комьюнити и сама победа тоже радуют, но самое ценное в Pentest Award — то, что благодаря ему многие интересные исследования и кейсы, которые могли остаться незамеченными, становятся публичными.
За этот год в моей работе тоже многое изменилось: я ушел с руководящей должности и полностью сосредоточился на исследовательской деятельности, занимаясь безопасностью различных инфраструктур. Это серьезное изменение, и, на мой взгляд, напрямую сравнивать эти две роли непросто.
Благодаря премии многие интересные исследования и кейсы, которые могли остаться незамеченными, становятся публичными
Cyber Media: Ваш кейс связан с FreeIPA и атакой DCSync, приведшей к CVE-2025-4404. Как появилась идея проверить именно эту связку и что стало для вас самым неожиданным результатом?
Михаил Сухов: Изначально у меня стояла задача реализовать технику, аналогичную DCSync, для FreeIPA. Когда исследование и утилита были готовы, возник вопрос: «А какие права на самом деле нужны для такой техники?» Это подтолкнуло меня глубже разобраться, как устроено разграничение прав в 389-ds — LDAP-сервере, на котором работает FreeIPA. Именно это исследование в итоге и привело меня к реализации CVE-2025-4404.
Отдельно отмечу, что важную роль сыграла история с ныне отозванной CVE-2020-10747 (она мне очень понравилась). Исправление той уязвимости как раз и открыло дорогу к новой.
Cyber Media: Можете простыми словами объяснить суть найденной уязвимости? Чем она принципиально отличается от типичных проблем в инфраструктурных сервисах?
Михаил Сухов: Суть уязвимости в том, что злоумышленник, получив контроль над учетной записью компьютера, может создать для этого компьютера сервис с «основным» именем admin@REALM. Обычно это невозможно — такое имя уже занято. Однако в процессе исправления CVE-2020-10747 администратору было присвоено дополнительное имя root@REALM, а основное имя убрали совсем. Благодаря этому при новом имени злоумышленник может выдать себя за администратора и скомпрометировать домен. По эффекту уязвимость очень похожа на nopac в Microsoft AD.
Что важно: обычно существуют защитные механизмы, которые не позволяли бы так действовать, например, PAC в Kerberos-билете. В FreeIPA же их можно просто не использовать по запросу, и это дает путь для обхода защиты.
Cyber Media: Какие подходы или исследовательские привычки помогли вам обнаружить эту уязвимость? Что бы вы посоветовали тем, кто хочет заниматься инфраструктурным ресерчем?
Михаил Сухов: Девиз в нашей профессии — try harder. Пожалуй, это лучшее пожелание: именно оно помогает справляться со многими трудностями и служит напоминанием самому себе. Еще совет — расширяйте кругозор и изучайте смежные области.
Разумеется, не все идеи приводят к новым уязвимостям. Важно уметь переключаться, отдыхать и возвращаться к работе с новыми силами. Меня не раз выручала жена — она помогала избежать выгорания и не бросить начатое. Кстати, именно благодаря ей я и подал заявку на прошлый Pentest Award.
В современном мире Linux-инфраструктур все больше параметров, атрибутов и событий необходимо учитывать и мониторить
Cyber Media: FreeIPA применяют в специфических инфраструктурах. Насколько, по вашим оценкам, широк реальный риск для компаний, использующих это решение?
Михаил Сухов: В России все чаще встает вопрос импортозамещения, и FreeIPA здесь является одним из основных вариантов, например, ALDpro тоже основан на FreeIPA. Поэтому, думаю, мы будем все чаще встречать это решение в реальных инфраструктурах.
Cyber Media: DCSync традиционно связывают с Windows-доменами. Ваш ресерч показал, что аналогичные сценарии возможны и в Linux-средах. Можно ли теперь говорить, что инструменты, привычные для Windows-атак, все чаще работают и против Linux-систем? Насколько это должно повлиять на стратегию защиты компаний?
Михаил Сухов: Если быть честным, DCSync в моем исследовании и DCSync в MS AD — это разные вещи, так что схожесть названий не должна вводить в заблуждение. В случае FreeIPA требуется больше условий, сама техника сложнее, и используются совершенно другие инструменты, хотя базовые концепции во многом схожи.
Стратегия защиты, безусловно, должна адаптироваться с появлением новых исследований: в современном мире Linux-инфраструктур все больше параметров, атрибутов и событий необходимо учитывать и мониторить.
Cyber Media: Вы связаны с МИФИ. Как университетская среда влияет на ваш ресерч? И что из академического опыта оказалось реально полезным на практике?
Михаил Сухов: На самом деле моя прошлогодняя CVE стала частью дипломной работы в МИФИ. Что касается применимости академического опыта, то здесь важно отметить систематический подход к решению сложных задач, привычку вести подробные заметки в процессе исследования и умение не бояться трудностей.
Cyber Media: Если заглянуть на 2–3 года вперед, какие новые направления или техники в пробиве инфраструктуры будут, на ваш взгляд, определять повестку ресерчеров?
Михаил Сухов: Важно понимать, что именно реалии инфраструктуры задают направления исследований и техники злоумышленников. Сейчас мы видим явный тренд на импортозамещение, внедрение тировых моделей и отказ от NTLM в пользу Kerberos (возможно, даже Kerberos FAST). Поэтому можно предположить, что и ресерч будет развиваться в этих направлениях. Например, уже сейчас заметен всплеск интереса к исследованиям по Kerberos Relay.
5 декабря прошли финальные очные этапы Кубка CTF России — одного из крупнейших российских турниров по кибербезопасности для школьников и студентов.
Когда компании все чаще сталкиваются с внутренними инцидентами, утечками данных и давлением со стороны регуляторов, эффективность защиты бизнеса все больше зависит от того, насколько слаженно работают службы безопасности и информационной безопасности.
Транспортные и логистические компании подвержены высоким киберрискам.
В октябре 2025 года на ИнфоТеКС ТехноФест «Перспективный мониторинг» впервые представил новый продукт AML Web Protection для защиты веб-ресурсов от кибератак.
Автомобиль сначала перестал быть роскошью, а сегодня и эволюционирует из средств передвижения.
Руководитель L1 SOC UserGate Иван Костыря — один из докладчиков первого дня SOC Forum, где он рассказывает о том, как построить команду в SOC при дефиците кадров.
Ирина Левова — директор по стратегическим проектам Ассоциации больших данных (АБД).
Современные киберугрозы и хакерские атаки всё чаще направлены не на кражу данных, а на их полное уничтожение.
Отечественная отрасль микроэлектроники переживает подъем – уже сейчас доля отечественных производителей составляет более 25%, а к 2030 году они могут занять почти половину рынка.
Максим Казенков — DevOps-специалист по информационной безопасности VK.
