В сфере облачных технологий обнаружена новая серьезная угроза, затрагивающая фундаментальные механизмы защиты данных. Компания Amazon выпустила экстренный бюллетень безопасности (2026-005-AWS), в котором описаны три уязвимости высокой степени опасности в AWS-LC - собственной криптографической библиотеке с открытым исходным кодом. Эти недостатки, обнаруженные в рамках скоординированного процесса раскрытия информации совместно с AISLE Research Team, создают значительные риски для облачной инфраструктуры. Поскольку AWS-LC широко используется разработчиками как универсальная библиотека для защиты цифровых коммуникаций, обнаруженные проблемы могут позволить неавторизованным злоумышленникам обходить критически важные проверки сертификатов и использовать временные аномалии в работе систем для компрометации зашифрованных данных.
Детали уязвимостей
Исследователи информационной безопасности выявили три различные проблемы, влияющие на то, как AWS-LC обрабатывает криптографические операции. Наиболее тревожные из них связаны с функцией "PKCS7_verify()", которая отвечает за проверку цифровых сертификатов и подписей. Первая уязвимость, получившая идентификатор CVE-2026-3336, представляет собой обход проверки цепочки сертификатов при обработке объектов PKCS7 с несколькими подписантами. Неавторизованный пользователь может воспользоваться некорректной валидацией, чтобы обойти проверку цепочки для всех подписантов, кроме последнего в последовательности. Это напрямую подрывает доверие к системе аутентификации.
Вторая проблема, CVE-2026-3337, внесена в базу данных уязвимостей Common Vulnerabilities and Exposures (CVE) как канал утечки информации через анализ времени. Она создает наблюдаемый временной канал утечки данных при расшифровке AES-CCM. Анализируя микроскопические задержки во времени обработки, злоумышленник может потенциально определить, является ли аутентификационный тег корректным, что ставит под угрозу целостность всего процесса шифрования. Подобные атаки, хотя и требуют высокой точности измерений, становятся все более реалистичными в контролируемых средах, таких как облачные виртуальные машины.
Третья уязвимость, CVE-2026-3338, аналогична первой по своей природе. Она также связана с некорректной проверкой подписи в функции "PKCS7_verify()". Эта ошибка позволяет неавторизованным пользователям полностью обходить проверку подписи при обработке объектов PKCS7, которые содержат аутентифицированные атрибуты (Authenticated Attributes). Совокупно эти две уязвимости обхода проверок делают механизм цифровых подписей в затронутых версиях библиотеки крайне ненадежным.
Сфера воздействия этих проблем обширна. Уязвимости, связанные с PKCS7, затрагивают версии AWS-LC от v1.41.0 до v1.69.0, а также пакеты aws-lc-sys от версии v0.24.0 до v0.38.0. Временной канал утечки данных имеет еще более широкий охват, влияя на AWS-LC, начиная с версии v1.21.0, и включая FIPS-совместимые версии, такие как AWS-LC-FIPS 3.0.0 через 3.2.0. Это означает, что под угрозой оказывается огромное количество облачных приложений и сервисов, полагающихся на эту библиотеку для обеспечения конфиденциальности и аутентичности данных.
Amazon настоятельно рекомендует всем клиентам как можно скорее обновить библиотеки до последних основных версий. Компания уже устранила уязвимости обхода проверок PKCS7 в AWS-LC v1.69.0 и aws-lc-sys v0.38.0. Проблема временного канала утечки данных была исправлена в AWS-LC v1.69.0, AWS-LC-FIPS-3.2.0, aws-lc-sys v0.38.0 и aws-lc-sys-fips v0.13.12. К сожалению, для уязвимостей обхода проверки сертификатов и подписей не существует известных обходных решений, что делает немедленное применение патча единственным способом защиты систем.
Однако для временного канала утечки данных у администраторов есть вариант смягчения последствий. Если в системе используется AES-CCM со специфическими параметрами, такими как (M=4,L=2), (M=8,L=2) или (M=16,L=2), шифрование можно перенаправить через интерфейс EVP AEAD API. Реализация конкретных конфигураций, например "EVP_aead_aes_128_ccm_bluetooth" или "EVP_aead_aes_128_ccm_matter", может позволить командам безопасности защитить свои операции до момента развертывания официальных исправлений. Этот шаг требует глубоких технических знаний и должен рассматриваться как временная мера.
Данный инцидент служит суровым напоминанием о критической важности зависимостей с открытым исходным кодом в современной ИТ-инфраструктуре. Библиотека, выполняющая фундаментальные криптографические функции, становится единой точкой отказа для тысяч приложений. Для компаний, использующих AWS-LC, первоочередной задачей должен стать аудит всех систем на предмет уязвимых версий и планирование немедленного обновления. Кроме того, этот случай подчеркивает необходимость внедрения практик безопасной разработки (Secure SDLC), включающих регулярный аудит зависимостей и активное участие в программах ответственного раскрытия уязвимостей, подобных той, что позволила выявить эти проблемы. В долгосрочной перспективе устойчивость цифровой экосистемы зависит от прозрачности, оперативного реагирования и коллективных усилий по обеспечению безопасности ее базовых компонентов.
Ссылки
- https://aws.amazon.com/security/security-bulletins/rss/2026-005-aws/
- https://www.cve.org/CVERecord?id=CVE-2026-3336
- https://www.cve.org/CVERecord?id=CVE-2026-3337
- https://www.cve.org/CVERecord?id=CVE-2026-3338
