В Банке данных угроз безопасности информации (BDU) появилась запись о новой критической уязвимости, затрагивающей популярный язык программирования Go (Golang) и ряд значимых российских программных продуктов. Уязвимость, получившая идентификатор BDU:2026-03408 и международный номер CVE-2025-68121, связана с фундаментальной ошибкой процедуры проверки подлинности цифровых сертификатов. Эксперты оценивают её как критическую, поскольку успешная эксплуатация позволяет злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации.
Детали уязвимости
Проблема кроется в ядре самого языка программирования Go. Конкретно, речь идёт об ошибке типа CWE-295 (неправильное подтверждение подлинности сертификата), которая является архитектурной. Эта ошибка позволяет обмануть механизмы криптографической проверки. Следовательно, злоумышленник может скомпрометировать защищённые каналы связи, выдав свой сертификат за доверенный. Например, это открывает путь к атакам "человек посередине" (Man-in-the-Middle), перехвату и модификации передаваемых данных.
Уровень опасности подтверждается максимально высокими оценками по шкалам CVSS. Базовый балл CVSS 2.0 составляет 10.0, а CVSS 3.1 также достигает критического значения 10.0. Вектор атаки оценивается как сетевой, не требующий специальных привилегий или взаимодействия с пользователем, что делает уязвимость особенно опасной для серверных приложений и сетевых сервисов.
Под угрозой оказались продукты, использующие уязвимые версии Go. В перечень затронутого программного обеспечения входят значимые российские разработки. Во-первых, это операционная система РЕД ОС 8.0 от компании "Ред Софт". Во-вторых, под удар попала платформа управления "Аврора Центр" (версии до 5.4.3 включительно) от "Открытой мобильной платформы". По сути, любое прикладное программное обеспечение, написанное на Go версий ниже 1.25.7, потенциально уязвимо. Разработчики языка уже выпустили исправление в версии Go 1.25.7, и всем пользователям настоятельно рекомендуется немедленно обновиться.
Производители российского ПО оперативно отреагировали на угрозу. Компания "Ред Софт" опубликовала на своём портале рекомендации по устранению уязвимости в дистрибутиве РЕД ОС, сославшись на официальные патчи от The Go Project. Разработчики "Аврора Центр" выпустили обновление до версии 5.5.0, в котором проблема устранена. В случае невозможности немедленного обновления для "Аврора Центр" рекомендуется временно ограничить взаимодействие с внешними интегрированными системами для минимизации рисков.
Сообщество информационной безопасности активно обсуждает данную уязвимость. Соответствующие обсуждения и технические детали были опубликованы в официальном списке рассылки Golang Announce. Кроме того, информация внесена в американскую Национальную базу данных уязвимостей (NVD) и в реестр уязвимостей самого Go. На текущий момент наличие работающего эксплойта уточняется. Однако высокая степень опасности и доступность описания ошибки повышают вероятность появления таких инструментов в ближайшее время.
Таким образом, ситуация требует безотлагательных действий от системных администраторов и разработчиков. Необходимо провести инвентаризацию программного обеспечения, работающего на Go, и обеспечить его обновление до безопасных версий. Особое внимание следует уделить системам, использующим криптографию для защиты данных, таким как веб-серверы, микросервисы, инструменты для DevOps и сетевое оборудование с программным обеспечением на Go. Своевременная установка патчей остаётся самым эффективным способом защиты от потенциальных атак, использующих эту критическую уязвимость.
Ссылки
- https://bdu.fstec.ru/vul/2026-03408
- https://www.cve.org/CVERecord?id=CVE-2025-68121
- https://go.dev/cl/737700
- https://go.dev/issue/77217
- https://groups.google.com/g/golang-announce/c/K09ubi9FQFk
- https://nvd.nist.gov/vuln/detail/CVE-2025-68121
- https://pkg.go.dev/vuln/GO-2026-4337
- https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-golang-cve-2025-68121-7.3/?sphrase_id=1456310
