В начале 2025 года создатели популярной глобальной BPM-платформы Camunda Platform 7 объявили о переводе ее коммерческой редакции в фазу технического сопровождения с получением лишь критических обновлений. С осени того же года была остановлена поддержка бесплатной Community Edition. Параллельно, обновление лицензионных условий для актуальной Camunda Platform 8 серьезно сузило возможности ее применения в России, несмотря на то, что, как и в других странах, сотни крупных корпораций из разных отраслей применяли ее для автоматизации бизнес-процессов. Среди них — несколько ведущих российских банков из первой десятки, которым удалось осуществить переход на восьмую версию. Однако, даже с учетом начавшихся процессов миграции, доля седьмой версии Camunda среди российских клиентов все еще достигает примерно 70%. Эти итоги за второй квартал 2025 года приводит Дмитрий Рейдман, возглавляющий бизнес-кластер «X.Технологии» в «Ростелекоме».
Как показал анализ компании «Фазум» (входит в «Ростелеком»), значительное присутствие Camunda 7 на рынке во многом объясняется тем, что до 35% проектов по автоматизации процессов были построены на ее базе. К примеру, в крупных банках и финансовых институтах уровень внедрения системы доходил до 40%; ее применяли для сложных задач: кредитного скоринга, риск-менеджмента, мониторинга транзакций на предмет противоправной деятельности, compliance-процедур и KYC, программ поощрения клиентов и других. В телекоммуникационной сфере проникновение составило 20–25%, система широко использовалась для цифровизации биллинга и автоматизации контакт-центров. В розничной торговле и промышленности она стала основой для автоматизации логистики, планирования и контроля оплат, управления цепочками поставок, маршрутизации, контроля производства и интеграции с IoT. В связи с этим, задача импортозамещения Camunda превратилась в важную отраслевую проблему, обсуждаемую на уровне ИТ-руководителей крупных банков и государственных структур. По мнению представителей банковского сектора, сложности с использованием Camunda Platform приобретают все большую остроту. Ситуацию усугубляет то, что переход на альтернативную BPMS-систему девальвирует накопленный экспертиз команды, а также влечет за собой новые внедренческие проекты со своими рисками и сложностями. При этом самостоятельная поддержка платформы не рассматривается банками как стратегическое направление.
«Гибкая архитектура Camunda способствует значительному снижению затрат на разработку и ускорению выхода продуктов на рынок, что делает данную платформу привлекательной для множества заказчиков. Однако в условиях санкционных ограничений российские организации лишаются доступа к новым версиям платформы, а прекращение технической поддержки Camunda 7 увеличивает риски информационной безопасности для компаний, продолжающих её эксплуатацию», — отметил Антон Прокофьев, руководитель отдела операционной поддержки Solar appScreener ГК «Солар».
Учитывая потенциальные угрозы для ИТ-отрасли, ГК «Солар» при участии компаний «Фазум» и «Хоулмонт» провела исследование уязвимостей в актуальной версии BPM-платформы Camunda 7. Специалисты обнаружили свыше 30 уязвимостей, причём для пяти из них в открытом доступе имеются сценарии атак и эксплойты. Размещение на GitHub эксплойтов для критических уязвимостей повышает вероятность их использования злоумышленниками не только против рабочих серверов, но и против процессов разработки. Анализ выполнялся с помощью сертифицированного ФСТЭК России продукта Solar appScreener.
Например, уязвимость в механизме десериализации библиотек Jython до версии 2.7.1rc1 (CVE-2016-4000) позволяет злоумышленнику выполнить произвольный код. Ряд обнаруженных уязвимостей имеет критический уровень и может служить вектором атак как на инфраструктуру, так и на контейнерные среды. Данную проблему, по мнению экспертов, крайне сложно исправить. Требуется обновить Jython до версии 2.7.1rc1 или новее. Если немедленное обновление невозможно, необходимо ограничить источники данных и сетевой доступ к сервисам десериализации, внедрить валидацию входных данных и отслеживание подозрительной активности. Однако реализовать это сторонними средствами практически невозможно, поэтому потребуется значительная доработка кода BPM-движка для обработки запросов скриптов на Python.
Специалисты также выявили уязвимость (CVE-2020-11979), связанную с инструментом Apache Ant, который является open-source решением для автоматизации сборки Java-приложений. Эта уязвимость позволяет локальному злоумышленнику изменять временные файлы, подменять исходные данные в процессах сборки, а после проникновения в инфраструктуру — повышать привилегии, выполнять произвольные команды и получать контроль над системой.
Ещё одна уязвимость (CVE-2023-2976) касается популярной библиотеки Google Guava с открытым исходным кодом для Java-разработки. Злоумышленники могут использовать её для подмены содержимого временных файлов, что создаёт риск утечки конфиденциальной информации и нарушения целостности данных. Эксперты рекомендуют применять контейнеризацию процессов сборки, строго контролировать доступ с повышенными привилегиями, а также использовать только доверенные репозитории Docker-образов.
Использование уязвимости CVE-2023-6378, которая связана с недочётами в компоненте receiver библиотеки logback, вызывает полный сбой в работе исполняющего сервера, приводя к его остановке и потере способности обрабатывать запросы. Для бизнеса это оборачивается заморозкой всех операционных процессов: приостановкой обработки заявок клиентов, согласования документов, продаж и логистических операций.
Схожие последствия может спровоцировать эксплуатация одной из серьёзных уязвимостей в веб-сервере и контейнере сервлетов Eclipse Jetty (CVE-2021-28165). Она приводит к сбоям при обработке значительных объёмов данных, передаваемых между клиентом и сервером после установления защищённого соединения. Злоумышленник способен отправить специально подготовленный фрейм, что вызовет стопроцентную загрузку процессора сервера и, как следствие, отказ в обслуживании (Denial of Service). Для нейтрализации этой угрозы специалисты советуют обновить Eclipse Jetty до версии 9.4.39 или выше, где проблема устранена, либо, если обновление недоступно, произвести дополнительную настройку межсетевого экрана.
Критическая уязвимость в библиотеке Compress (CVE-2021-35516), применяемой в Camunda 7, несёт основной риск в виде чрезмерного потребления памяти при разборе специально созданных архивов. Вредоносный архив способен вызвать ошибку нехватки памяти (out-of-memory), что приводит к отказу в обслуживании приложения или сервиса. Аналитики рекомендуют обновить библиотеку Compress до версии 1.21. Если обновление невозможно, следует отключить функцию восстановления повреждённых архивов и ограничить объём памяти, выделяемый для их обработки. Данная уязвимость может проявиться в ходе процедур развёртывания (деплоя), то есть при загрузке на сервер набора процессных артефактов для их последующего выполнения.
«Для клиентов важным показателем надёжности является гарантия вендора об отсутствии известных уязвимостей в решении, а также зафиксированное в SLA обязательство по исправлению вновь обнаруженных программных недостатков. Безопасность для нас — ключевой приоритет, поэтому мы уже включаем это условие в договоры и призываем других поставщиков принимать на себя аналогичные обязательства», — отметил Артем Косых, инженер команды развития продукта «Камунда.РФ», «Фазум».
«Подобная халатность зарубежных поставщиков в отношении open-source решений, которые активно применяются в стратегически важных сферах — финансах, промышленности, телекоммуникациях и на транспорте, не просто настораживает, но и вынуждает серьезно задуматься о поиске замены. Соблюдение стандартов создания защищенного ПО помогает минимизировать, однако не устраняет полностью киберриски, связанные с такими проектами. Отечественные аналоги в большей степени подчиняются российскому законодательству и соответствуют профильным требованиям информационной безопасности. Такой подход дает возможность оперативно обнаруживать угрозы и нейтрализовать их», — подчеркнул Игорь Клопотов, менеджер по продукту OpenBPM компании «Хоулмонт».
Специалисты ГК «Солар», «Фазум» и «Хоулмонт» советуют отечественным разработчикам в приоритетном порядке обеспечивать регулярное обновление программного обеспечения и применять веб-брандмауэры (WAF) для защиты приложений. Кроме того, эксперты настаивают на планомерном повышении компетенций в области ИБ для ИТ-отделов, а также на выполнении предписаний ФСТЭК по регулярному сканированию используемого ПО на наличие уязвимостей (SAST/DAST/OSA).
