Старый Nexus стал риском для поставки кода

Sonatype предупреждает: устаревшие Nexus Repository могут стать точкой атаки на цепочку поставки ПО.

2026-05-27 GIGATAP Team #tools
#software-supply-chain#nexus-repository#vulnerability-management

Репозиторий артефактов стал границей доверия#

Старый репозиторий артефактов может без сбоев работать годами. Именно поэтому он опасен: его перестают замечать, хотя через него проходит путь от кода к релизу.

Sonatype предупредила о нескольких новых уязвимостях в устаревших версиях Nexus Repository. Две из них получили оценку выше CVSS 9. По словам компании, проблемы уже исправлены в новых выпусках Nexus Repository, а пользователям затронутых установок стоит как можно быстрее обновиться. Особое внимание — командам, которые до сих пор используют legacy-развертывания Nexus Repository OSS с архитектурой эпохи OrientDB.

Главная мысль проста: репозиторий — не пассивная полка с файлами. Он стоит между разработчиками, CI/CD, публичными реестрами и production-релизами. В нем часто хранятся учетные данные, токены, артефакты сборки, права на публикацию, секреты интеграций и доверенный маршрут, по которому код превращается в ПО для пользователей.

Поэтому такой узел становится ценной целью. Если атакующий захватит репозиторий, ему не обязательно напрямую атаковать production. Достаточно ударить по пути, которому production уже доверяет.

Что, по данным Sonatype, оказалось под угрозой#

В исходном материале описаны несколько недавно раскрытых проблем в старых версиях Nexus Repository. Две из них важнее остальных из-за высокой критичности.

Первая — authenticated RCE в старых развертываниях Nexus Repository. По данным Sonatype, атакующий с определенными правами мог злоупотребить компонентом управления задачами, обойти ограничения на выполнение административных скриптов и запустить произвольный код. Успешная эксплуатация могла привести к компрометации сервера Nexus Repository и его содержимого.

Условие «authenticated» важно, но не должно успокаивать. В репозиторных системах часто много сервисных учетных записей, пользователей для автоматизации, plugin-интеграций и CI/CD-идентичностей. Уязвимость, требующая некоторого уровня доступа, все равно может быть серьезной, если среда заполнена долгоживущими credential и машинными пользователями.

Вторая проблема высокой критичности связана с hardcoded credential во внутреннем database-компоненте. При затронутой конфигурации, как пишет Sonatype, unauthenticated-атакующий с сетевым доступом мог получить несанкционированный доступ к внутренней базе данных и выполнять команды на host-системе.

Это более резкий сценарий: если уязвимый компонент доступен по сети при нужных условиях, украденная учетная запись разработчика не требуется. Sonatype отдельно выделяет старые развертывания эпохи OrientDB, включая случаи, где включен OrientDB binary listener и используется legacy HA-C mode.

В блоге также упомянуты другие недавно раскрытые проблемы средней критичности. Практический вывод здесь накопительный: не у каждой ошибки один и тот же путь эксплуатации, но старые репозиторные стеки копят security debt именно там, где защитникам меньше всего нужна неопределенность.

Почему установки эпохи OrientDB требуют отдельной проверки#

Деталь про OrientDB — не просто техническая мелочь. Она указывает на более широкую проблему поддержки и архитектуры.

Sonatype пишет, что актуальные версии Nexus Repository ушли вперед и используют поддерживаемые варианты базы данных, например PostgreSQL, а поддержка OrientDB завершена. Значит, часть старых развертываний не просто отстала на один patch. Они могут опираться на database-слой, который больше не относится к будущей линии продукта.

Это меняет операционный риск. Команда может держать старый репозиторий, потому что миграция неприятна, сборки проходят, а разработчики получают пакеты. Но security fixes, операционные улучшения, новые возможности продукта и предположения поддержки движутся вместе с текущей продуктовой веткой, а не с legacy-стеком.

Поэтому проблему лучше рассматривать как модернизацию, а не только как срочное исправление. Если команда закроет одну критичную дыру, но останется на неподдерживаемой архитектуре, она снизит сегодняшний риск и сохранит почву для следующего.

Есть и практическое ограничение: репозитории сложно переносить «между делом». В них годами накапливаются артефакты, права, форматы, proxy-настройки, ожидания CI/CD и особенности сборок. Поэтому ожидание делает будущую миграцию тяжелее. Репозиторий становится все более центральным, а платформа под ним — все более устаревшей.

AI ускоряет атаки, но не стоит строить выводы на хайпе#

Sonatype связывает предупреждение с ускорением работы атакующих, включая AI-assisted поиск и эксплуатацию уязвимостей. Это правдоподобно, но сильный аргумент не нуждается в преувеличениях.

Безопасная формулировка такая: для многих классов software bugs окно между раскрытием и эксплуатацией сокращается. Публичные writeup, diffing, automated scanning и процессы разработки exploit уже давно подталкивают рынок в эту сторону. AI может дополнительно сжимать отдельные этапы — triage, понимание кода, адаптацию exploit к конкретной среде.

Но риск здесь не зависит от доказательства, что AI «изменил все». Он уже виден из роли самой системы. Уязвимый репозиторий хранит build artifacts и trust relationships. Он подключен к automation. Он может быть доступен из developer networks или CI-инфраструктуры. У него могут быть привилегированные service accounts. Этого достаточно.

AI — ускоритель. Роль репозитория — топливо.

Что проверить прямо сейчас#

Начинать стоит с инвентаризации, а не с предположений. Во многих организациях знают, что где-то работает «Nexus», но не знают точную edition, database backend, deployment mode и реальный профиль доступности.

Проверьте:

  • какая версия Nexus Repository развернута;
  • используется ли Nexus Repository OSS, CE или Pro;
  • остался ли в установке OrientDB;
  • включен ли какой-либо OrientDB binary listener;
  • присутствует ли legacy HA-C mode;
  • какие сети могут обращаться к репозиторию и database-related services;
  • какие пользователи и service accounts имеют права, связанные с task management или administrative workflows;
  • открыт ли instance в интернет, доступен ли он CI/CD runners или широким внутренним сетям.

Если версия попадает под затронутые, рекомендация Sonatype — обновиться как можно быстрее. Компания сообщает, что уязвимости из исходного материала исправлены в новых релизах Nexus Repository CE и Pro.

Для команд, которые все еще используют Nexus Repository OSS, вопрос шире, чем один upgrade. Sonatype указывает на актуальные поддерживаемые пути: Nexus Repository CE как бесплатный поддерживаемый вариант, Pro для организаций, которым нужны enterprise support и governance, а также managed options для команд, желающих меньше заниматься инфраструктурой.

Правильный выбор зависит от модели эксплуатации. Небольшой команде может подойти понятный self-hosted путь с поддержкой. Крупной организации важнее governance, масштабирование и операционные controls. Команда, уставшая обслуживать repository infrastructure, может предпочесть managed service и принять его компромиссы. Главное — перестать считать неподдерживаемый репозиторий нейтральным только потому, что сборки все еще проходят.

Чего не стоит утверждать без проверки#

Из исходного материала не следует, что каждый старый Nexus Repository автоматически доступен атакующим или уже скомпрометирован. Риск зависит от версии, конфигурации, сетевой доступности, включенных компонентов, прав пользователей и того, какие service accounts живут в среде.

Не стоит также сводить проблему к одному CVE или одному признаку вроде OrientDB. Практический смысл предупреждения шире: репозиторий артефактов — часть production trust path. Если он устарел, неподдерживаем или плохо изолирован, он превращается в supply-chain risk даже тогда, когда разработчики не видят ошибок, а pipeline продолжает собирать релизы.

Минимальный разумный шаг — быстро понять, что именно у вас развернуто, какие компоненты доступны по сети и есть ли поддерживаемый путь обновления. После этого нужно не только закрыть конкретные уязвимости, но и убрать устаревшую архитектуру из критического маршрута поставки ПО.