В Банк данных угроз безопасности информации (BDU) были внесены записи о двух критических уязвимостях в платформе машинного обучения H2O. Эта система широко применяется для создания и развёртывания моделей искусственного интеллекта в различных отраслях - от финансового сектора до промышленности. Обе уязвимости получили максимальные оценки опасности по шкале CVSS: 10 баллов по версии 2.0 и 9,8 по версии 3.1. Такие показатели автоматически относят их к категории критических.
Детали уязвимостей
Суть проблем кроется в недостатках механизма десериализации. Десериализация - это процесс восстановления объекта (структуры данных) из двоичного или текстового формата. Если этот механизм реализован небезопасно, нарушитель может подменить данные таким образом, чтобы при их обработке система выполнила вредоносный код. В случае с H2O злоумышленник может отправить специально сформированные данные, которые обходят штатные ограничения безопасности.
Первая уязвимость, обозначенная в BDU как BDU:2026-06553 (CVE-2025-6507), затрагивает ядро платформы - саму среду выполнения модели. Эксплуатация позволяет не только выполнить произвольный код удалённо, но и раскрыть защищаемую информацию, хранящуюся в системе. Нарушителю даже не требуется предварительная аутентификация. Достаточно получить доступ к сетевому интерфейсу, через который H2O принимает данные для обучения или анализа.
Вторая уязвимость, BDU:2026-06554 (CVE-2025-5662), локализована в интерфейсе REST API (программном интерфейсе для обмена данными через прикладной протокол передачи гипертекста). Это означает, что брешь находится на уровне, через который разработчики и пользователи управляют платформой. Через REST API можно отправлять команды, загружать данные, настраивать параметры. Если этот интерфейс уязвим, злоумышленник может взять под контроль всю систему машинного обучения. В данном случае эффект тот же - удалённое выполнение кода без необходимости входить в систему.
Примечательно, что обе проблемы относятся к одному классу ошибок - CWE-502 (восстановление в памяти недостоверных данных). Более того, они затрагивают смежные версии платформы. Первая уязвимость присутствует в H2O до версии 3.46.0.8 включительно, вторая - до версии 3.46.0.7. Разработчик, компания H2O.ai, уже подтвердил существование брешей и выпустил исправление в одном коммите. Это значит, что пользователям достаточно обновиться до актуальной версии, чтобы устранить обе угрозы одновременно.
Однако есть тревожный нюанс. По данным BDU, для обеих уязвимостей уже существуют эксплойты в открытом доступе. Это означает, что любой желающий может скачать готовый инструмент для атаки. Отсутствие необходимости в аутентификации, высокий уровень привилегий, получаемый при успешной эксплуатации, и широкое распространение платформы делают ситуацию крайне опасной.
Любой организации, использующей H2O для построения моделей машинного обучения, особенно если платформа развёрнута на серверах, доступных из внешних сетей. Если система обслуживает критичные процессы - например, анализирует транзакции в реальном времени, управляет рекомендательными алгоритмами, обрабатывает персональные данные пользователей, - последствия компрометации могут быть катастрофическими. Злоумышленник, получивший контроль над платформой, сможет не только украсть данные, но и модифицировать сами модели машинного обучения. А это уже прямой путь к подмене результатов работы ИИ - от ложных прогнозов до манипуляции банковскими решениями.
Специалистам по информационной безопасности следует действовать незамедлительно. Во-первых, необходимо проверить версию установленной платформы H2O. Если она ниже 3.46.0.8 - требуется срочное обновление. Во-вторых, поскольку обновление доступно в виде коммита к исходному коду, стоит убедиться, что сборка выполнена из исправленного репозитория. В-третьих, рекомендуется временно ограничить доступ к REST API и сетевым интерфейсам платформы только доверенными сегментами сети, пока обновление не будет установлено на все системы.
Важно понимать, что H2O - это не единственная платформа машинного обучения с подобными проблемами. Уязвимости класса десериализации являются классическими для многих языков и сред программирования. Они возникают тогда, когда разработчики доверяют данным, приходящим из внешнего источника, не проверяя их целостность и безопасность. В случае с H2O проблема усугубляется тем, что платформа изначально создавалась для аналитиков данных, а не для специалистов по безопасности. Многие пользователи разворачивают её с настройками по умолчанию, не задумываясь о защите периметра.
Подводя итог: мы имеем дело с двумя критическими уязвимостями, которые позволяют удалённо выполнить произвольный код на платформе H2O без аутентификации. Исправление уже выпущено, но время работает против тех, кто медлит с обновлением. Организациям, использующим H2O в продуктовой среде, стоит воспринимать эту новость как сигнал к немедленным действиям.
Ссылки
- https://bdu.fstec.ru/vul/2026-06553
- https://bdu.fstec.ru/vul/2026-06554
- https://www.cve.org/CVERecord?id=CVE-2025-6507
- https://www.cve.org/CVERecord?id=CVE-2025-5662
- https://huntr.com/bounties/0a9d527a-2d39-4bc0-bf01-1e717587f077
- https://github.com/h2oai/h2o-3/commit/f714edd6b8429c7a7211b779b6ec108a95b7382d
- https://huntr.com/bounties/057a743b-b2ec-4312-8262-ce0ff8bc161c
