Як програма для захисту Mac може стати загрозою: розбираємо вразливість Kandji та реалії кібербезпеки в Україні
Коли компанія встановлює корпоративний софт для управління пристроями, очікується, що він стане надійним бар’єром від загроз. Але що відбувається, коли саме цей бар’єр перетворюється на ідеальні двері для атаки?
Нещодавно дослідники виявили критичну вразливість (CVE-2026-39118) у Kandji Agent – популярному інструменті для адміністрування та захисту парку техніки на macOS. Через помилку в архітектурі звичайний локальний користувач міг «обманути» агента, отримати найвищі привілеї та повністю вимкнути endpoint-захист комп’ютера.
Для українського бізнесу сьогодні такі новини мають зовсім іншу вагу. Ми працюємо в умовах повномасштабної війни, де кіберпростір – це повноцінне поле бою, а ворог зацікавлений у системному виснаженні нашої економіки. Існує небезпечна ілюзія, ніби хакерські угруповання полюють виключно на виробників мілітарної продукції або гігантські корпорації-платники мільярдних податків.
Реальність інакша: під удар потрапляють усі. Локальне виробництво реклами, мережа кав’ярень, пекарня, що робить круасани, чи невеликий логістичний хаб – зупинка чи компрометація будь-якого бізнесу б’є по економіці та стабільності. Для атакуючих не має значення ваш бренд; їм потрібна точка входу. І вразливість у програмі, яка від самого початку має найвищі права доступу до системи (як-от MDM-агент) – це найкоротший шлях, щоб непомітно закріпитися в мережі підприємства.
Щоб зрозуміти рівень загрози та захистити свою інфраструктуру, далі ми розберемо саму механіку цього багу. Я розкажу як саме працювала атака на Kandji, чому від подібних архітектурних прогалин не застраховане жодне MDM-рішення, та які дії адміністраторам бажано виконати просто зараз, щоб закрити проблему.
Суть проблеми: чому слабкою ланкою стала не система, а її охоронець
Сучасна macOS — доволі міцна та закрита екосистема. Apple роками вибудовувала захист так, щоб звичайна програма (і тим більше шкідливий код) не могла легко дістатися до “серця” системи — її ядра. Саме тому для централізованого управління комп’ютерами такі рішення, як Kandji(тепер Iru), встановлюють власного агента. Він легітимно працює в системі з найвищими привілеями (root), щоб мати змогу оновлювати софт, змінювати налаштування мережі та контролювати політики безпеки.
Тобто агент — це такий собі довірений охоронець із ключами від усіх дверей. І дослідники виявили, що проблема виникла не в зламі самої macOS, а в тому, як цей охоронець перевіряв перепустки.
Технічною мовою ця вразливість описується як client validation gap (прогалина у перевірці клієнта). Коли якийсь процес на комп’ютері звертається до Kandji Agent із вимогою виконати певну дію, агент зобов’язаний жорстко верифікувати ініціатора. Чи це адміністратор? Чи це легітимна системна команда? У випадку з CVE-2026-39118 механізм авторизації виявився з прогалинами. Агент недостатньо ретельно перевіряв, чи має ініціатор запиту право на виконання привілейованої операції, і відкривав доступ до функцій, які мали б бути ізольованими.
Як виглядала атака на практиці
Щоб скористатися цією дірою, атакувальнику не потрібен був складний інструментарій для віддаленого зламу чи вкрадені паролі адміністратора. Усе, що вимагалося – це базовий локальний доступ до Mac із встановленим вразливим Kandji Agent. Це міг бути скрипт, який випадково запустив працівник через фішинговий лист, або шкідливий застосунок, завантажений з інтернету під виглядом корисної утиліти.
Опинившись у системі з правами звичайного користувача, шкідливий код починав взаємодіяти з локальним інтерфейсом агента. Він формував специфічні запити таким чином, щоб прослизнути крізь слабку перевірку прав.
Оскільки агент “вірив” отриманій команді, він слухняно її виконував, використовуючи свої максимальні привілеї. Це класичний приклад локального підвищення привілеїв (Local Privilege Escalation). Хакерам більше не потрібно шукати надскладні вразливості нульового дня (zero-day) у ядрі macOS. Навіщо ламати броньовані двері операційної системи, якщо можна просто передати записку легітимному агенту безпеки, і він сам зробить усе, що потрібно зловмиснику – включно з відключенням захисних механізмів.
Чому ця вразливість небезпечна: злам довіри та ідеальний плацдарм для атаки
На перший погляд, локальне підвищення привілеїв може здатися не такою вже й критичною проблемою. Зрештою, зловмиснику спочатку потрібно якимось чином потрапити на комп’ютер. Але в реальній практиці кібербезпеки такі баги оцінюються як вкрай небезпечні, адже вони руйнують саму основу захисту інфраструктури.
Злам базової моделі довіри
Головна проблема полягає не просто в тому, що хтось отримав додаткові права на комп’ютері. Проблема в тому, що компрометується сам захисний інструмент. Коли MDM або EDR-агент працює коректно, він є останньою лінією оборони та головним джерелом правди про стан системи для адміністратора. Якщо ж цей інструмент можна «засліпити» або вимкнути, система втрачає здатність розрізняти легітимні дії та шкідливу активність. Комп’ютер перестає бути контрольованим.
Зниження «вартості» атаки
Зазвичай, щоб непомітно вимкнути сучасний endpoint-захист на macOS, зловмисникам потрібен так званий kernel exploit – надзвичайно складний, дорогий і рідкісний інструмент, який атакує безпосередньо ядро операційної системи. Вразливість CVE-2026-39118 дозволяла обійтися без цього. Зловмисникам не треба було ламати ядро; достатньо було просто «попросити» агента через його ж локальний інтерфейс вимкнути захист, і він це робив. Це кардинально спрощує завдання для хакерів і робить атаку можливою навіть для менш кваліфікованих угруповань.
Важливо розуміти логіку сучасних кіберзлочинців: подібні баги ніколи не є фінальною метою. Це лише зручний проміжний етап у ланцюжку атаки. Як тільки агент відключався, комп’ютер залишався беззахисним. Це створювало ідеальні умови для непомітного встановлення вірусів-вимагачів, створення механізмів закріплення в системі та подальшого просування корпоративною мережею. Для бізнесу це означає сувору реальність: єдина помилка працівника, який випадково запустив сумнівний файл, перетворюється на загрозу зупинки всієї організації.
Архітектурна пастка: чому це стосується не лише Kandji
Тут варто зробити важливу ремарку. Ми не є представниками компанії Kandji, і ця стаття не має на меті розкритикувати конкретний продукт. Навпаки, інцидент із CVE-2026-39118 – це ідеальний показовий приклад глобальної проблеми, з якою стикається вся індустрія.
Подібні вразливості можуть з’явитися – і регулярно з’являються у будь-якій MDM-системі чи EDR-рішенні від будь-якого вендора. Причина криється в самій архітектурі таких інструментів. Щоб ефективно керувати парком техніки, встановлювати оновлення та блокувати загрози, програма просто зобов’язана мати найглибший рівень доступу до операційної системи. Вона стає своєрідним “суперкористувачем”, який має більше прав, ніж людина за клавіатурою.
Щойно розробник створює такий потужний інструмент, він автоматично створює нову мішень. Зловмисники чудово розуміють: замість того, щоб боротися із вбудованим захистом macOS, часто простіше знайти помилку в коді тієї програми, яка цей захист забезпечує. Абсолютно безпечного софту не існує, і жодна компанія не застрахована від помилок у логіці валідації запитів. Різниця полягає лише в тому, наскільки оперативно розробники випускають виправлення, і наскільки швидко бізнес ці виправлення впроваджує.
Цю діру вже закрито: що робити і як діяти системно
На щастя, цю конкретну загрозу вже нейтралізовано. Розробники закрили проблему у версії Kandji Agent 4.7.5(5374). Для ІТ-відділів та системних адміністраторів головна і найочевидніша дія – переконатися, що всі корпоративні Mac-пристрої вже отримали цей патч. Проте технічна робота на цьому не закінчується. Адміністраторам варто ретельно переглянути системні журнали за попередні місяці. Якщо в логах є незрозумілі сліди відключення агента, зниження рівня захисту чи підозрілі зміни привілеїв, це може бути сигналом, що вразливістю вже намагалися скористатися.
Але як бути власникам невеликого бізнесу – тієї самої пекарні чи креативної агенції, де немає власного штатного системного адміністратора чи відділу безпеки?
Перш за все, необхідно змінити корпоративну культуру ставлення до оновлень. У невеликих командах працівники часто ігнорують системні сповіщення, відкладаючи перезавантаження комп’ютера тижнями. Керівнику достатньо запровадити одне жорстке правило: будь-які оновлення операційної системи та захисного софту мають встановлюватися в день їхнього виходу. Якщо ж налаштуванням техніки у вашій компанії займається зовнішній підрядник чи ІТ-аутсорс, зараз ідеальний момент написати їм одне просте повідомлення: «Чи оновлені наші агенти безпеки та чи закриті останні вразливості?». Контроль підрядників – це пряма відповідальність власника.
Ця історія повертає нас до того, з чого ми почали. В умовах затяжної війни кібербезпека перестала бути виключно технічною рутиною – сьогодні це питання виживання і безперервності бізнесу. Ворожі хакери постійно сканують український інтернет-простір у пошуках відомих, але ще не закритих вразливостей. Для них немає принципової різниці, чий саме комп’ютер зробити частиною ботнету або зашифрувати вірусом: чи це ноутбук фінансового директора великого заводу, чи комп’ютер менеджера з логістики малого підприємства. Будь-який успішний злам, будь-яка зупинена компанія – це удар по економіці країни, який працює на користь ворога.
Надійний захист – це не монолітна стіна, яку можна побудувати раз і назавжди. Навіть найкращі, найдорожчі та найдовіреніші інструменти іноді містять помилки. Але елементарна кібергігієна, своєчасне встановлення патчів та розуміння власних ризиків здатні звести цю небезпеку до мінімуму. У цифровій війні тил починається з безпеки кожного робочого місця.
