В Банке данных угроз (BDU) была зарегистрирована новая критическая уязвимость в широко используемом программном обеспечении для шифрования и создания электронно-цифровых подписей GnuPG. Уязвимость, получившая идентификаторы BDU:2025-16426 и CVE-2025-68973, связана с целочисленным переполнением в функции "armor_filter()" и оценивается экспертами как чрезвычайно опасная. По данным разработчиков, уязвимости подвержены все версии GnuPG вплоть до 2.4.8 включительно.
Детали уязвимости
Суть проблемы заключается в ошибке типа CWE-190 (целочисленное переполнение или циклический сдвиг). Эта уязвимость кода возникает при обработке специально сформированных PGP-сообщений. Атакующий, действуя удаленно, может отправить такое сообщение и вызвать переполнение буфера, что в итоге позволит ему выполнить произвольный код на целевой системе. Фактически, злоумышленник получает возможность захватить контроль над приложением, использующим уязвимую библиотеку, для последующей установки вредоносного ПО, кражи данных или обеспечения устойчивости (persistence) в системе.
Уровень угрозы подтверждается максимальными оценками по шкале CVSS. Базовая оценка CVSS 2.0 составляет 10.0, а CVSS 3.1 - 9.6, что соответствует критическому уровню опасности. Особенно тревожным фактором является наличие эксплуатационного кода (эксплойта) в открытом доступе, что значительно упрощает проведение атак. Уже сейчас можно ожидать попыток эксплуатации этой уязвимости как со стороны киберпреступников, так и со стороны продвинутых угроз (APT). В частности, данная уязвимость может быть использована для таргетированных атак на организации, активно применяющие шифрование для защиты переписки или документооборота.
Разработчики GnuPG из Сообщества свободного программного обеспечения оперативно отреагировали на угрозу. Уязвимость была подтверждена и устранена. Исправление внесено в исходный код проекта, о чём свидетельствует коммит в публичном репозитории на GitHub. Следовательно, основным способом устранения риска является немедленное обновление GnuPG до версии, выпущенной после 2.4.8. Пользователям и системным администраторам настоятельно рекомендуется установить патч из доверенных источников.
Тем не менее, в официальной записи BDU содержится важная оговорка, связанная с текущей геополитической обстановкой. В связи с санкциями против Российской Федерации рекомендуется устанавливать обновления только после тщательной оценки всех сопутствующих рисков. Данный пункт подчеркивает необходимость взвешенного подхода к обновлению критической инфраструктуры.
Помимо основного патча, эксперты рекомендуют ряд компенсирующих мер для организаций, которые не могут немедленно обновить ПО. Во-первых, следует ограничить удаленный доступ к системам, обрабатывающим PGP-сообщения, с помощью межсетевых экранов. Во-вторых, эффективной мерой является сегментация сети и ограничение доступа к уязвимому ПО по принципу «белого списка». Кроме того, мониторинг событий безопасности с помощью SIEM-систем (Security Information and Event Management) может помочь в обнаружении подозрительных попыток обработки PGP-данных. Организация защищенных каналов связи через виртуальные частные сети (VPN) также добавляет дополнительный уровень безопасности.
Обнаружение подобной уязвимости в столь фундаментальном инструменте, как GnuPG, служит серьезным напоминанием для всего сообщества информационной безопасности. Даже проверенное временем и повсеместно используемое криптографическое программное обеспечение не является неуязвимым. Инцидент демонстрирует важность непрерывного аудита кода, даже в проектах с открытым исходным кодом. Сообществам разработчиков и исследователям безопасности необходимо постоянно тестировать и перепроверять критические компоненты инфраструктуры.
В заключение, уязвимость CVE-2025-68973 представляет собой реальную и актуальную угрозу. Её критический статус и наличие работающего эксплойта требуют безотлагательных действий от системных администраторов и ответственных за информационную безопасность. Своевременное обновление, наряду с реализацией компенсирующих мер контроля, позволит существенно снизить риск успешной кибератаки и защитить конфиденциальные данные от несанкционированного доступа.
Ссылки
- https://bdu.fstec.ru/vul/2025-16426
- https://www.cve.org/CVERecord?id=CVE-2025-68973
- https://gpg.fail/memcpy
- https://github.com/gpg/gnupg/blob/ff30683418695f5d2cc9e6cf8c9418e09378ebe4/g10/armor.c#L1305-L1306
- https://github.com/gpg/gnupg/commit/115d138ba599328005c5321c0ef9f00355838ca9
- https://github.com/gpg/gnupg/compare/gnupg-2.2.50...gnupg-2.2.51
