В Банк данных угроз безопасности информации (BDU) была внесена новая критическая уязвимость в популярной криптографической библиотеке OpenSSL. Идентифицированная под номером BDU:2026-00890 и получившая идентификатор CVE-2025-15467, эта ошибка представляет серьёзную угрозу безопасности для множества систем по всему миру. Уязвимость связана с обработчиком сообщений CMS в библиотеке OpenSSL.
Детали уязвимости
Суть проблемы заключается в ошибке типа "запись за границами буфера" (CWE-787). Конкретно, уязвимость возникает при обработке вектора инициализации во время разбора криптографических сообщений в формате CMS. Злоумышленник, действующий удалённо, может отправить специально сформированный пакет, который вызовет запись данных за пределы выделенного буфера памяти. В результате успешной эксплуатации злоумышленник получает возможность выполнить произвольный код на атакуемой системе с правами пользователя, под которым работает уязвимое приложение.
Уровень опасности этой уязвимости оценён как критический. Базовая оценка по методологии CVSS 3.1 составляет 9.8 баллов из 10 возможных. Это максимально высокий показатель, который присваивается уязвимостям, не требующим специальных привилегий для эксплуатации и не нуждающимся во взаимодействии с пользователем. Более ранняя оценка по CVSS 2.0 и вовсе составляет максимальные 10.0 баллов. Такой высокий рейтинг обусловлен тем, что атака может быть проведена удалённо через сеть, без необходимости предварительной аутентификации, и потенциально позволяет получить полный контроль над системой.
Затронутыми являются несколько версий OpenSSL, начиная с ветки 3.4. Уязвимость присутствует во всех версиях OpenSSL 3.4.x до 3.4.4, всех версиях 3.5.x до 3.5.5, а также в версиях 3.6 и 3.6.1. Соответственно, под угрозой находятся тысячи серверов и приложений, использующих эти версии библиотеки для обработки криптографических сообщений, включая почтовые серверы, системы управления контентом и различные корпоративные приложения. Производитель, OpenSSL Software Foundation, уже подтвердил существование уязвимости и выпустил официальное уведомление о безопасности.
Способ эксплуатации классифицируется как манипулирование структурами данных. На текущий момент информация о наличии публичных эксплойтов уточняется. Однако учитывая критический характер уязвимости и широкую распространённость OpenSSL, эксперты по безопасности полагают, что активные попытки эксплуатации могут начаться в краткосрочной перспективе. Следовательно, системным администраторам и разработчикам необходимо действовать быстро.
Основным и самым надёжным способом устранения угрозы является немедленное обновление программного обеспечения. Разработчики OpenSSL уже выпустили патчи, устраняющие данную ошибку. В частности, пользователям рекомендуется обновиться до версий, где уязвимость исправлена. При этом в официальной рекомендации, размещённой по ссылке openssl-library.org, содержится важное примечание. В связи с международной обстановкой и санкционными ограничениями, российским организациям рекомендуется устанавливать обновления только после тщательной оценки всех сопутствующих рисков, включая возможные угрозы цепочке поставок программного обеспечения.
Если немедленное обновление по какой-либо причине невозможно, специалисты рекомендуют применять комплекс компенсирующих мер. Во-первых, следует ограничить возможность обработки сообщений CMS или S/MIME, полученных от недоверенных источников. Во-вторых, необходимо использовать средства межсетевого экранирования для строгого ограничения удалённого доступа к сервисам, использующим уязвимые версии OpenSSL. Кроме того, эффективной мерой может стать сегментирование сети, которое ограничит распространение потенциальной атаки в случае её успеха.
Дополнительный уровень защиты могут обеспечить системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы следует настроить на выявление аномальных шаблонов трафика, которые могут указывать на попытки эксплуатации данной уязвимости. Наконец, в качестве базовой меры предосторожности рекомендуется ограничить доступ к критически важным сервисам из внешних сетей, таких как интернет, насколько это позволяет бизнес-логика.
В целом, обнаружение BDU:2026-00890 (CVE-2025-15467) служит очередным напоминанием о критической важности своевременного обновления ключевых компонентов инфраструктуры. Учитывая центральную роль OpenSSL в обеспечении безопасного интернет-соединения, данная уязвимость требует безотлагательного внимания со стороны всех, кто отвечает за ИТ-безопасность. Эксперты призывают организации провести инвентаризацию используемого программного обеспечения и применить необходимые патчи или меры защиты в кратчайшие сроки.
Ссылки
- https://bdu.fstec.ru/vul/2026-00890
- https://www.cve.org/CVERecord?id=CVE-2025-15467
- https://openssl-library.org/news/secadv/20260127.txt
- https://github.com/openssl/openssl/commit/2c8f0e5fa9b6ee5508a0349e4572ddb74db5a703
- https://github.com/openssl/openssl/commit/d0071a0799f20cc8101730145349ed4487c268dc
- https://github.com/openssl/openssl/commit/6ced0fe6b10faa560e410e3ee8d6c82f06c65ea3
- https://github.com/openssl/openssl/commit/5f26d4202f5b89664c5c3f3c62086276026ba9a9
- https://github.com/openssl/openssl/commit/ce39170276daec87f55c39dad1f629b56344429e
