Критическая уязвимость в библиотеке aiomysql угрожает безопасности систем на базе РЕД ОС

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярную асинхронную библиотеку для работы с базами данных aiomysql и российскую операционную систему РЕД ОС. Идентифицированная под номером BDU:2025-15607, уязвимость получила высший уровень опасности согласно общепринятым метрикам CVSS. Эксперты предупреждают, что успешная эксплуатация может привести к полному компрометированию целевой системы.

Детали уязвимости

Уязвимость относится к классу CWE-73, что означает внешний контроль имени или пути к файлу. Проще говоря, она существует в библиотеке aiomysql, которая используется разработчиками для асинхронного взаимодействия Python-приложений с серверами MySQL. Ошибка в коде позволяет удаленному злоумышленнику, не имеющему никаких привилегий, передать специально сформированные данные. В результате атакующий может манипулировать файлами на сервере, что в конечном счете приводит к отказу в обслуживании или, что гораздо опаснее, к выполнению произвольного кода. Следовательно, злоумышленник потенциально получает возможность читать, изменять или удалять любые данные, а также устанавливать вредоносное ПО для сохранения доступа.

Особую значимость этой уязвимости придает тот факт, что она напрямую затрагивает отечественную операционную систему РЕД ОС 7.3, включенную в единый реестр российских программ. Данная ОС широко применяется в государственных учреждениях и организациях с повышенными требованиями к информационной безопасности. Поскольку библиотека aiomysql может использоваться в серверных приложениях, развернутых на этой платформе, риск масштабного инцидента становится существенным. Важно отметить, что проблема находится не в самой операционной системе, а в уязвимом компоненте, который может быть установлен поверх нее.

Базовые показатели оценки уязвимости подтверждают ее исключительную опасность. Согласно методологии CVSS 2.0, уязвимость получила максимально возможную оценку 10.0. Более современная версия CVSS 3.1 присваивает ей 9.8 баллов из 10. Оценка указывает на то, что для атаки не требуются ни аутентификация, ни взаимодействие с пользователем, а потенциальный ущерб затрагивает конфиденциальность, целостность и доступность системы.

К счастью, уязвимость уже подтверждена и устранена производителями. Сообщество разработчиков aiomysql выпустило исправление в версии 0.3.0 и позднее. Соответственно, все приложения, использующие эту библиотеку, необходимо срочно обновить до актуальной версии. Компания «Ред Софт», в свою очередь, оперативно отреагировала на угрозу. Для пользователей РЕД ОС 7.3 исправленные пакеты уже доступны в официальном репозитории обновлений. Системным администраторам настоятельно рекомендуется немедленно установить все предоставленные патчи.

Хотя информация о наличии активных эксплойтов пока уточняется, промедление с обновлением крайне рискованно. Киберпреступники, особенно представители APT (продвинутые постоянные угрозы), активно мониторят такие уязвимости. Они стремятся быстро разработать и применить вредоносные нагрузки для атаки на еще не исправленные системы. Стандартной мерой защиты является своевременное обновление программного обеспечения. Кроме того, для мониторинга подозрительной активности следует использовать системы обнаружения и предотвращения вторжений.

Таким образом, уязвимость BDU:2025-15607 служит серьезным напоминанием о важности управления зависимостями в современной разработке. Даже один уязвимый сторонний компонент может поставить под угрозу безопасность всей информационной системы. Организациям, особенно использующим российское ПО в критической инфраструктуре, необходимо наладить строгий процесс контроля и оперативного применения исправлений безопасности. Только комплексный подход, включающий регулярное обновление и постоянный мониторинг, может эффективно противостоять подобным угрозам в условиях быстро меняющегося ландшафта кибербезопасности.

Детали уязвимости

Ссылки