Найти в Дзене
Secure Defence - Ваша кибербезопасность
11 подписчиков

Уязвимость в Livewire Filemanager: как не стать жертвой атаки в России 2026

13 мин
Если честно, я уже думал, что про все эти классические «файло-загрузочные» уязвимости можно забыть. Ан нет. На днях разгребали последствия на одном довольно крупном портале — кричали утром в понедельник, что сайт «пал». А корень зла оказался в, казалось бы, безобидном компоненте для удобной работы с файлами — Livewire Filemanager. Знаете, такая штука, чтобы через админку картинки заливать. Так вот, дыра в нем (CVE-2025-14894, если по-паспорту) — это не просто баг, это прямая дорога к полному контролю над вашим сервером. И самое противное — атаку может провести даже школьник, нашедший инструкцию в телеге. Прямо сейчас расскажу, как эта гадость работает, что ломает и — самое главное — как от нее отгородиться так, чтобы даже мысли не возникало. Давайте по-простому. Представьте, что вы поставили на дверь своего склада (это ваш сервер) классный электронный замок с карточкой (это авторизация в админке). Но рядом, в слепом углу, оставили старый лаз — маленькое окошко для кошки. Вы про него за
Оглавление
Уязвимость в популярном файловом менеджере
Уязвимость в популярном файловом менеджере

Всё из-за крошечного файлового менеджера

Если честно, я уже думал, что про все эти классические «файло-загрузочные» уязвимости можно забыть. Ан нет. На днях разгребали последствия на одном довольно крупном портале — кричали утром в понедельник, что сайт «пал». А корень зла оказался в, казалось бы, безобидном компоненте для удобной работы с файлами — Livewire Filemanager. Знаете, такая штука, чтобы через админку картинки заливать. Так вот, дыра в нем (CVE-2025-14894, если по-паспорту) — это не просто баг, это прямая дорога к полному контролю над вашим сервером. И самое противное — атаку может провести даже школьник, нашедший инструкцию в телеге. Прямо сейчас расскажу, как эта гадость работает, что ломает и — самое главное — как от нее отгородиться так, чтобы даже мысли не возникало.

Почему ваш «удобный» файловый менеджер — это готовый бэкдор на сервере?

Давайте по-простому. Представьте, что вы поставили на дверь своего склада (это ваш сервер) классный электронный замок с карточкой (это авторизация в админке). Но рядом, в слепом углу, оставили старый лаз — маленькое окошко для кошки. Вы про него забыли, а злоумышленник — нет. Livewire Filemanager в некоторых конфигурациях — это и есть то самое окошко.

Техническая суть уязвимости до смешного проста, и именно это пугает.

Компонент LivewireFilemanagerComponent.php не проверяет толком, что вы загружаете. Ему главное — что файл пришел. А злоумышленнику достаточно подсунуть ему файл с расширением .php и немного магии в запросе, обойдя все проверки. Дальше — дело техники: обращаешься к этому файлу через браузер, и код исполняется. Весь. С правами того пользователя, под которым крутится ваш веб-сервер.

На практике это выглядит так: атакующий загружает скрипт-бэкдор.

Потом заходит на него, как на обычную страничку. И всё — у него в руках удаленное выполнение кода (RCE). Он может читать любые файлы на сервере (включая базу данных), может ставить дополнительные «закладки», может использовать ваш сервер как трамплин для прыжка внутрь корпоративной сети. Знаю один случай в ритейле — через такую дыру вытащили всю клиентскую базу с чеками. И обнаружили это только спустя три месяца, когда данные всплыли на форуме.

И вот что бесит больше всего: часто разработчики считают, что раз доступ к самому компоненту имеют только авторизованные админы, то и валидировать файлы не обязательно. Мол, «админ сам не станет гадость заливать». Это фатальная ошибка. Во-первых, учетку админа могут увести. Во-вторых, сама логика компонента может быть скомпрометирована. В общем, надежда на «авось» в 2026 году — это профессиональное самоубийство.

Тихий ужас: что на самом деле может сделать злоумышленник с вашим сервером

Давайте отбросим абстракции. Если эта уязвимость в Livewire Filemanager сработала на вашем проекте, готовьтесь к одному или нескольким сценариям из списка ниже. Я их не с учебника списал, а видел в отчетах по инцидентам.

Полный доступ к файловой системе. Веб-сервер обычно имеет права на чтение конфигов, логов, а иногда и временных файлов. Этого более чем достаточно, чтобы найти учетные данные к базе данных. Одна строка в config/database.php — и миллионы записей утекают в ночь.

Установка веб-шелла или бэкдора. Первое, что делает хакер после получения RCE — кладет файлик, который дает ему постоянный доступ через удобный веб-интерфейс. Это как оставить свою потайную дверь рядом с вашим парадным входом. Удалили зловредный upload.php? Он загрузит его снова. И снова.

Эксфильтрация данных. Это не обязательно про базы. Это про все: исходный код (чтобы искать уязвимости в других местах), письма, резервные копии, приватные ключи SSH. Представьте, что с вашего сервера, который крутит сайт-визитку, начинают уплывать VPN-ключи к бухгалтерской 1С. Страшно? Еще бы.

Ваш скомпрометированный веб-сервер становится плацдармом.

С него атакуют другие сервера в той же сети. Ищут базы данных, файловые хранилища, системы управления. В одной из финансовых компаний через корпоративный портал вышли на главный файловый сервер с договорами. Цепная реакция.

Использование в качестве C2-сервера или прокси. Самый коварный вариант. Ваш сервер, с хорошим IP-адресом и репутацией, начинает использоваться для управления другими зараженными системами или для атак на третьи стороны. Вы узнаете об этом последним — когда к вам придет письмо от хостинг-провайдера о блокировке за рассылку спама или участие в DDoS.

Знаете, что самое печальное? Часто бизнес узнает о проблеме не из логов своего SOC, а от клиентов, которые нашли на сайте странные файлы, или от CERT, который присылает оповещение о компрометации. Репутационные потери исчисляются миллионами, а восстановление — месяцами.

Техническое спасение: не просто «залатать», а пересобрать подход

Ладно, хватит страшилок. Давайте о том, что делать. Первый импульс — найти и применить патч. Но, если честно, для этой конкретной уязвимости в Livewire Filemanager волшебной заплатки может и не быть, потому что проблема в логике. Значит, действуем системно, слоями.

Мгновенная реакция (если боитесь, что уже заражены):


Первым делом — отключаем веб-доступ к директории storage/app/public. Тот самый симлинк (ссылку), который создается командой php artisan storage:link, нужно удалить. Да, загруженные картинки перестанут показываться на сайте. Но это лучше, чем показывать всему миру ваши бэкдоры. Это как экстренное отключение электричества при замыкании.
Берем и анализируем логи веб-сервера (access.log, error.log) за последние 30-90 дней. Ищем странные запросы к файлам с расширением .php в public/storage. Ищем POST-запросы с загрузкой файлов на подозрительные эндпоинты. Нашли? Время для глубокого аудита.


Если команда уже есть и позволяет — поднимаем моментальный дамп файловой системы и памяти, потом изолируем сервер от сети для форензики. Но на практике чаще просто начинают откатываться на чистые бэкапы, что, в общем-то, тоже вариант.

Стратегическое лечение (чтобы забыть об этой проблеме навсегда):


Внедряем серверную валидацию.

Надеяться на проверки в JavaScript на стороне браузера — всё равно что верить замку из фольги. Нужна жесткая валидация на бэкенде. В Laravel это делается через Rules: проверяем MIME-тип, расширение, содержимое файла (magic bytes). И не просто запрещаем .php — составляем белый список разрешенных типов: .jpg, .png, .pdf. Всё, чего нет в списке, — отклоняется. Без разговоров.


Пересматриваем архитектуру хранения.

Загруженные пользователями файлы не должны исполняться. Никогда. Используем отдельные storage-диски, которые отдают файлы только через специальный контроллер, который проверяет права и отдает файл как статику, а не как скрипт. Или вовсе уносим загрузки на отдельные сервисы вроде S3 с прямой линковкой.


Контейнеризация и изоляция.

Это золотой стандарт. Запускаем веб-приложение в контейнере (Docker) с минимальными правами, без доступа к чувствительным частям хостовой системы. Даже если злоумышленник сломает приложение, он останется в песочнице. Chroot-окружения — тоже неплохой костыль, если с контейнерами не сложилось.


Мониторинг. Настраиваем алерты на любую попытку загрузки файла с расширением .php, .phtml, .htaccess и другим исполняемым кодом. Системы вроде Wazuh или даже простые скрипты на awk/grep могут стать вашими лучшими друзьями.

Организационные костыли, которые на самом деле — стальные балки безопасности

Техника — это лишь инструмент. Без правильных процессов она бесполезна. Вот несколько простых, но убийственно эффективных правил, которые мы внедрили после пары серьезных инцидентов.

Правило №1:

Аудит сторонних компонентов — не раз в год, а при каждом обновлении. Заведите табличку, где будете отмечать все используемые пакеты (включая такие, как Livewire Filemanager), их версии, критичность и наличие известных уязвимостей. Оповещения из GitHub Dependabot или от Snyk должны приходить не только разработчику, но и в чат Security-отдела. Это не паранойя, это норма.

Правило №2:

Забудьте про продакшен без staging. Любое обновление, любой новый компонент сначала крутится на стенде, который максимально близок к боевому. И на этом стенде обязательно запускается автоматическое сканирование на уязвимости (например, тем же Nuclei с шаблоном для CVE-2025-14894) и проверка безопасной конфигурации. Видели, как падают тесты? Вот и security-тесты должны падать с таким же треском, если что-то не так.

Правило №3:

Принцип наименьших привилегий — это не красивые слова. Права веб-сервера (пользователь www-data или nginx) должны быть урезаны до абсолютного минимума. Никакого чтение конфигов за пределами своей директории, никакого исполнения команд через shell. В идеале — свой пользователь для каждого приложения. Это как раздать команде мастер-ключи от разных комнат, а не один на все здание.

WAF, логи и регуляторы: ваш страховочный пояс от падения в штрафы

Давайте на чистоту: одной профилактикой не обойтись. Нужен и план «Б» на случай, если атака всё-таки произошла. И здесь на помощь приходят два основных союзника: технологии автоматической защиты и… государственные требования.

Web Application Firewall (WAF) — это не панацея, но отличный фильтр. Настроенный правильный WAF (например, ModSecurity с OWASP Core Rule Set) отсечет большинство попыток загрузить исполняемый код, даже если в приложении есть дыра. Он увидит подозрительные payload-ы в теле запроса и просто оборвет соединение. Главное — не ограничиваться дефолтными настройками и кастомизировать правила под свое приложение. И да, WAF должен стоять не «где-то там в облаке», а максимально близко к приложению.

Централизованный сбор и анализ логов. Ваши логи с веб-сервера, из приложения и системные не должны пропадать в небытии. Их нужно сливать в SIEM (например, в Elastic Stack или платное решение) и настраивать корреляции. Пример простого, но эффективного правила: «Если событие «загрузка файла» + «расширение .php» + «ответ 200 ОК» → срочный алерт SOC». Такие мелочи спасают от месяцев тихой компрометации.

А теперь про нашу российскую специфику.

Если вы работаете с персональными данными (152-ФЗ) или в КИИ (187-ФЗ), то безопасность загрузки файлов — это не просто рекомендация. Это обязательное требование. Регуляторы (ФСТЭК, Роскомнадзор) в своих проверках всё чаще смотрят не только на криптографию, но и на защиту веб-приложений. Отсутствие контроля за загрузкой файлов может быть расценено как недостаток организационных мер защиты. А это — предписания и штрафы.

К слову, отраслевые стандарты, такие как ПКЗ ФСТЭК или требования Банка России, прямо или косвенно предписывают внедрение контроля целостности, разграничение доступа и анализ атак. И ваша система с невалидируемым файловым менеджером просто не пройдет аудит. Вы готовы объяснять проверяющему, почему в публичной директории лежит скрипт shell.php?

10 правил обеспечения кибербезопасности на 2026 год (чтобы спать спокойно)

Эти правила — не с потолка. Это выжимка из десятков расследований инцидентов, в которых фигурировали уязвимости, подобные CVE-2025-14894.

Запомните их, повесьте на стену, обсудите на планерке.

  1. Белый список, а не черный. Запрещайте всё, что не разрешено явно. Для загрузки файлов — только jpg, png, pdf. Никаких «кроме php». Список разрешенных MIME-типов должен быть жестким.
  2. Валидация на стороне сервера — это закон. Клиентская проверка в JS — для удобства пользователя, не для безопасности. Любой файл, пришедший на бэкенд, должен быть провалидирован по типу, размеру и содержимому.
  3. Файлам не место в корне веб-сервера. Храните загруженный контент вне публичной директории (public_html, www). Отдавайте файлы через скрипт-прокси, который проверяет аутентификацию и права.
  4. Права, права и еще раз права. Пользователь веб-сервера должен быть в клетке. Минимальные привилегии на чтение/запись только в своей рабочей директории. Никакого доступа к /etc, /home, системным логам.
  5. Мониторинг — это ваши глаза и уши. Настройте алертирование на любую попытку загрузки или обращения к исполняемым файлам (.php, .sh, .exe) в неположенных местах. Просматривайте логи не тогда, когда грянул гром.
  6. Обновляйте. Всё. Ядро ОС, веб-сервер, PHP, фреймворки, библиотеки. У каждой старой версии рано или поздно найдутся критические дыры. Автоматизируйте процесс по возможности.
  7. Сторонние компоненты — это минное поле. Перед внедрением любого пакета (как тот же Livewire Filemanager) проверяйте его репутацию, историю уязвимостей, активность разработки. Не доверяйте слепо.
  8. Сегментируйте сети. Веб-сервер не должен иметь прямого доступа к базам данных или внутренним системам управления. Пусть общается через строго определенные порты и правила межсетевого экранирования.
  9. План на случай инцидента должен быть. Не «как-нибудь разберемся», а письменный документ: кто что делает, кого оповещать, как изолировать, куда сохранять доказательства. Регулярно тренируйтесь по нему.
  10. Безопасность — это процесс, а не продукт. Нельзя купить «волшебную коробку» и забыть. Это постоянная работа: анализ угроз, оценка рисков, доработка мер защиты. Вкладывайтесь в знания своей команды.

Если вы дочитали до этого места, значит, тема для вас важна. И это уже половина успеха. Осознание проблемы — первый шаг к ее решению.

Поэтому мой вам совет, как коллеге: не ждите звонка. Потратьте пару дней сейчас, чтобы провести ревизию. Найдите в своих проектах этот самый Livewire Filemanager или его аналоги. Проверьте конфигурацию. Прогоните сканер уязвимостей. Пересмотрите права. Это дешевле, чем потом платить выкуп хакерам, штрафы регуляторам и репутационным конторам.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

FAQ: 10 вопросов, которые мне чаще всего задают про такие уязвимости

  1. Мы используем Livewire Filemanager, но у нас старая версия. Мы в опасности?
    В опасности, еще какой. Уязвимость CVE-2025-14894 — не в какой-то одной версии, а в логике компонента. Если у вас нет жесткой серверной валидации и изоляции storage, вы в зоне риска независимо от версии.
  2. У нас стоит CloudFlare. Он нас защитит?
    CloudFlare WAF может блокировать     известные сигнатуры атак. Но если атакующий немного модифицирует payload, он может пройти. Не полагайтесь только на облачный WAF. Защита должна быть многослойной.
  3. Как быстро можно проверить, не скомпрометированы ли мы?
    Проверьте логи веб-сервера (access.log) на наличие запросов к .php файлам в папках загрузок (типа /storage/app/public/). Запустите сканер уязвимостей, например, Nuclei с шаблоном для этого CVE, на ваш staging или тестовый стенд.
  4. Мы удалили симлинк storage. Теперь картинки на сайте не грузятся. Что делать?
    Это временная мера. Правильное решение — настроить отдачу файлов через специальный роут/контроллер в Laravel, который будет проверять авторизацию и безопасно читать файл из защищенной директории, отдавая его как статику.
  5. Обязательно ли использовать контейнеры? Это сложно.
    Не обязательно, но очень желательно. Контейнеры — самый эффективный способ изоляции. Если сложно, начните с простого: строгое разграничение прав пользователя ОС и настройка chroot-окружения.
  6. Наш WAF блокирует легитимные загрузки файлов от клиентов. Как быть?
    Значит, правила WAF настроены слишком жестко или неправильно. Не отключайте защиту! Займитесь тонкой настройкой (кастомизацией) правил под логику вашего конкретного приложения, создавая исключения для безопасных сценариев.
  7. Мы небольшая компания, у нас нет SOC. Кто должен мониторить логи?
    На первых порах — разработчики или сисадмины. Настройте хотя бы простые алерты в Telegram или почту на основе cron-задач, которые парсят логи раз в час. Или используйте недорогие облачные SIEM-решения с готовыми шаблонами.
  8. Попадаем ли мы под 152-ФЗ, если на сайте есть форма обратной связи с загрузкой резюме?
    Да, если в том резюме есть персональные данные (ФИО, телефон). Вы становитесь оператором ПДн и обязаны выполнять требования по защите, включая безопасную обработку загружаемых файлов.
  9. Что конкретно должно быть в «дорожной карте» по устранению этой уязвимости?
    Поэтапный план: 1) Экстренные меры (изоляция, аудит логов). 2) Поиск и инвентаризация всех мест, где используется загрузка файлов. 3) Внедрение технических мер (валидация, изоляция хранения, WAF). 4) Обновление регламентов и проведение обучения для разработчиков.
  10. Стоит ли нам вообще отказываться от Livewire Filemanager?
    Не обязательно отказываться совсем. Но нужно     правильно его настроить и обернуть в кучу защитных механизмов. Если нет времени и экспертизы, возможно, проще найти альтернативное, более безопасное решение или написать свой простой загрузчик с нуля, соблюдая все стандарты безопасности.

И помните, в мире кибербезопасности паранойя — это не диагноз, а профессиональная деформация. И она спасает бизнес.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]