На одной из предыдущих работ нужно было собрать свои достижения в области кибербеза. У меня были различные найденные уязвимости. Но, я даже не знал: были ли им присвоены CVE? Я этим не занимался. Занимались ли вендоры - не в курсе. Тогда я вспомнил ситуацию с выявлением мной уязвимости в антивирусе Agnitum и взгрустнул: CVE не был зарегистрирован. Год назад я вспомнил эту историю и задумался: а можно ли оформить CVE сейчас, спустя 12 лет после обнаружения уязвимости? Ситуация осложнялась тем, что вендора уже много лет как нет. И его сайта, конечно, тоже. Но, раз вы читаете этот текст - то мне это удалось (за этот кейс я попал в топ-10 Pentest award 2025 - номинация "Раз bypass, два bypass"). Но, путь занял почти год. И вот как это было (спойлер: помог сервис WayBack).
Вот такой сертификат выдают в Pentest award
30.12.2024, используя форму, я отправил запрос. У меня на руках было:
эксплоит из моей статьи "Обход проактивной защиты Agnitum Outpost Security Suite в 2 строчки";
видео на Youtube с демонстрацией эксплуатации уязвимости;
ссылка на бинарник с уязвимой версией (специально его искал - вдруг захотят проверить);
ссылки на WayBack со снапшотами страниц сайта производителя от 2013 года, где указано о фиксе уязвимостей (одна из ссылок на снапшот): "The vulnerability after reverting to non-GUI operation mode (Computer Lock)".
Cкриншот страницы из WayBack
Ещё есть комментарий под моей статьей, где вендор сообщает, что уязвимость исправлена. Но, я сильно сомневался, что для MITRE это будет аргументом.
Итоговый текст обращения в MITRE (учитывая название полей формы заявки)
[Suggested description]
An issue in Agnitum Outpost Antivirus Pro v.7.6, Outpost Security Suite
Pro 7.6 and Outpost Firewall Pro 7.6 allows a local attacker to execute
arbitrary code via the lock function[Additional Information]
Vendors site is not avalable (see why: https://en.wikipedia.org/wiki/Outpost_Firewall_Pro)
You can use Wayback Machine (https://en.wikipedia.org/wiki/Wayback_Machine) to see vendor's website with info about vulnerability. You can find text "The vulnerability after reverting to non-GUI operation mode (Computer Lock)" at next links:
Outpost Antivirus Pro (https://web.archive.org/web/20130119210250/http://www.agnitum.com/products/antivirus/history.php)
Outpost Security Suite Pro (https://web.archive.org/web/20130119205927/http://www.agnitum.com/products/security-suite/history.php)
Outpost Firewall Pro (https://web.archive.org/web/20121225120043/http://www.agnitum.com/products/outpost/history.php)You can find a vulnerable version of this software there: https://www.afterdawn.com/software/security/firewalls/agnitum_outpost_firewall_pro.cfm/v7_6__3984_639_1842_
Video with PoC: https://www.youtube.com/watch?v=fvgD884wCX8
[VulnerabilityType Other]
CWE-693: Protection Mechanism Failure[Vendor of Product]
Agnitum[Affected Product Code Base]
Outpost Antivirus Pro - 7.6 (3984.639.1842)
Outpost Security Suite Pro - 7.6 (3984.639.1842)
Outpost Firewall Pro - 7.6 (3984.639.1842)[Attack Type]
Local[Impact Code execution]
true[Attack Vectors]
to exploit vulnerability, someone must open malware file and call function to lock Windows Workstation. It can be done via bat file (consist 2 lines only):
start 1.exe ping 127.0.0.1 -n 10 -w 10000 > NULL & rundll32.exe user32.dll,LockWorkStation[Reference]
https://www.youtube.com/watch?v=fvgD884wCX8[Has vendor confirmed or acknowledged the vulnerability?]
true
Уже позже я понял, что толку от эксплоита и ссылки на бинарник с уязвимой версией недостаточно: для эксплуатации нужно было вызвать реакцию антивируса. Я ранее использовал бинарник, который пытается установить драйвер (что и приводило к нужному для эксплуатации поведению антивируса).
29.01.2025 мне пришёл лаконичный ответ: "Use CVE-2024-57695". Я уже обрадовался: по другой уязвимости мне приходил такой же ответ. Но, в этот раз всё было не так, как в прошлый. При переходе на страницу с уязвимостью отображался статус "RESERVED" - без деталей. Я подумал, что описание появится позже. Но, никаких писем насчёт CVE я не получал. 16 мая решил написать вопрос почему такой статус. 19 мая я получил ответ, из которого следовало, что видео с youtube они не рассматривают.
Тескт письма от MITRE
The CVE Team needs a publicly available reference URL that contains the minimum required information for the vulnerability covered by CVE-2024-57695. Please provide a reference that includes the affected product and version, as well as the vulnerability or problem type. Though not required, it is good to also include the CVE ID in the public reference. We do not currently accept youtube videos as the initial public reference.
A quick way to create a public reference is to post the original form-submission information containing the minimum data requirements to https://gist.github.com as a public gist. You can also use any other hosting resource (e.g., a blog or the http://seclists.org/fulldisclosure mailing-list archive or http://pastebin.com).
Честно говоря, это письмо я прочитал как-то криво. Из-за чего у меня сложилось впечатление, что мне предлагается выложить не только эксплоит, но и бинарник, устанавливающий драйвер. Выкладывать на онлайн сервис фактически малварь - желания не было (да и бинарь, устанавливающий драйвер, уже потерялся).
29 мая я направил ответ. Но, пришло сообщение, что запрос закрыт и нужно писать заново.
23 октября я написал повторный запрос. В этот раз я решил пойти другим путём и в запросе указал на ссылку с WayBack (по моему мнению, там содержались все детали). Но, 30 октября получил примерно тот же ответ. Ответил на него 4 ноября - и это снова оказалось поздно.
5 ноября я снова всё повторил. 6 ноября опять получил тот же ответ. И 6 ноября ответил:
Текст моего ответа от 06.11.2025
The link provided earlier (https://web.archive.org/web/20121225120043/http://www.agnitum.com/products/outpost/history.php ) contains the following information:
product name and version: "Agnitum Outpost Firewall Pro 8.0 (4164.652.1856)" information about the vulnerability fixed in this version: "The vulnerability after reverting to non-GUI operation mode (Computer Lock)". To confirm this, I am attaching a screenshot of the page where this information is circled in red. What is missing from the data on this link?
11.11.2025 пришёл ответ, который и стал финальной точкой этой истории
Текст ответа MITRE от 11.11.2025
Regarding your CVE service request, logged on 2025-11-05T10:03:35, we have the following question or update:
Thank you for your submission. Expect CVE-2024-57695 to be published on https://www.cve.org/ in the next few hours.
Как видно из страницы с CVE-2024-57695, там указаны ссылки и на youtube и на статью "Обход проактивной защиты Agnitum Outpost Security Suite в 2 строчки".
Заключение
Можно подумать, что мало практического смысла в регистрации CVE к уязвимости в продукте, который сейчас уже и не существует. Отчасти, это так. Но, можно посмотреть на эту историю и по-другому:
CVE, пусть и запоздалая - это то, что полезно для профайла кибербезопасника. В этом году в некоторых вакансиях HH встречал: "наличие нескольких зарегистрированных CVE будет преимуществом".
Далеко не всегда вендор присваивает уязвимостям CVE. Хорошо, что есть механизм самостоятельной регистрации.
Не стоит слишком затягивать с процессом самостоятельной регистрации: можно столкнуться с теми же проблемами, что я описал в этой статье
Это мой второй кейс регистрации CVE. В обоих случаях мне помогло то, что вендором был выпущен фикс: это упрощает регистрацию CVE. А также усложняет оспаривание CVE со стороны вендора (о чём я писал в статье Как я зарегистрировал CVE и разозлил вендора)