- Команда STRIKE Threat Intelligence выявила более 28 тысяч открытых установок OpenClaw с уязвимостями в 76 странах.
- Около 63% развёртываний OpenClaw оказались эксплуатируемыми из-за неправильных настроек и устаревших версий.
- Эксплуатация критических уязвимостей позволяет получить полный контроль над системами, что затрудняет обнаружение вредоносной активности.
Специалисты по информационной безопасности из команды STRIKE Threat Intelligence, входящей в SecurityScorecard, провели масштабное интернет-сканирование и обнаружили 28 663 уникальных IP-адреса, на которых открыты панели управления OpenClaw. Эти установки расположены в 76 странах и представляют значительную угрозу безопасности.
Только 12 812 из них оказались уязвимы к удалённому выполнению кода, при этом 63% всех зафиксированных развёртываний признаны эксплуатируемыми, что указывает на массовое наличие дыры в безопасности. Кроме того, 549 из обнаруженных систем совпадают с известной активностью взломов, что свидетельствует о фактах уже произошедших компрометаций. Количество публично доступных установок OpenClaw продолжает расти и превысило отметку в 40 тысяч.
Ключевой причиной уязвимостей являются небезопасные настройки по умолчанию. По умолчанию интерфейс управления OpenClaw доступен на всех сетевых интерфейсах, что делает его легко доступным из интернета, если администраторы не ограничивают доступ явно. Неправильная конфигурация, а также плохая культура безопасности при развёртывании способствовали широкому распространению уязвимостей.
Вдобавок значительная часть выявленных установок работает на устаревших версиях OpenClaw, несмотря на существование патчей для нескольких критических уязвимостей. Обновлённые версии используются лишь в небольшом числе случаев, что усугубляет ситуацию с безопасностью.
Особую опасность представляют три уязвимости с оценками по CVSS от 7.8 до 8.8, для которых существует публично доступный эксплуатирующий код. Злоумышленники, эксплуатирующие эти недостатки, могут получить полный контроль над заражёнными системами, включая доступ к API-ключам, OAuth-токенам, учётным данным SSH, сессиям браузера и аккаунтам мессенджеров. Значительная сложность обнаружения атаки связана с тем, что агенты OpenClaw легитимно обладают широкими полномочиями, поэтому вредоносные действия часто выглядят как обычная деятельность.
Географически установки OpenClaw концентрируются у крупных облачных и хостинг-провайдеров, что указывает на массовое применение небезопасных паттернов развёртывания. Это создаёт потенциально глобальную угрозу безопасности инфраструктур, которая требует немедленного внимания и корректировки настроек, а также своевременного обновления программного обеспечения.
