В Банке данных угроз (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая инструменты для работы с доверенным платформенным модулем. Речь идет об ошибке под идентификатором BDU:2025-16174, которая также известна как CVE-2024-29039. Данная проблема обнаружена в компоненте "tpm2 checkquote" популярного набора утилит с открытым исходным кодом tpm2-tools. Эксперты предупреждают, что успешная эксплуатация может позволить злоумышленнику получить несанкционированный доступ к защищаемой информации.
Детали уязвимости
Уязвимость классифицируется как ошибка обработки входных данных. Если точнее, компонент "tpm2 checkquote", предназначенный для проверки цитат (quote) TPM, некорректно обрабатывает специально сформированный файл PCR. Злоумышленник может изменить структуру "TPML_PCR_SELECTION" в таком файле, что в результате обманет механизм проверки подлинности. Следовательно, это может привести к принятию системы ложных данных о состоянии её целостности. Подобная атака подрывает фундаментальный принцип доверия к измерениям TPM.
Уровень опасности этой уязвимости оценён как высокий по методологии CVSS 2.0 с базовым баллом 7.6. Однако по более современной версии CVSS 3.1 её критичность возрастает до максимального уровня с баллом 9.0. Высокий балл обусловлен тем, что для атаки не требуются привилегии или взаимодействие с пользователем, а её последствия являются катастрофическими. Уязвимость позволяет нарушителю, действующему удалённо, не только читать конфиденциальные данные, но и влиять на целостность системы и её доступность.
Особое внимание в контексте данной уязвимости привлекает отечественная операционная система «МСВСфера» версии 9.5, разрабатываемая компанией ООО «НЦПР». Эта ОС входит в перечень уязвимого программного обеспечения, поскольку включает в себя поражённые версии библиотек tpm2-tools. Таким образом, проблема выходит за рамки исключительно open-source сообщества и затрагивает критическую ИТ-инфраструктуру, где требуется использование доверенной загрузки на основе TPM.
Сообщество разработчиков tpm2-tools оперативно отреагировало на обнаруженную проблему. Уязвимость была устранена в версиях 5.7 и 5.2-4. Соответственно, основная и рекомендуемая мера защиты для всех пользователей этих инструментов - немедленное обновление до актуальных исправленных сборок. Производитель ОС «МСВСфера» также опубликовал бюллетень безопасности с рекомендациями для пользователей своей платформы.
Важно отметить, что на текущий момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Тем не менее, учитывая её критический характер и относительную простоту эксплуатации, появление таких инструментов в ближайшее время весьма вероятно. Следовательно, администраторам и специалистам по информационной безопасности нельзя откладывать установку патчей. Промедление создаёт серьёзный риск для систем, где TPM используется для защиты ключей шифрования, контроля целостности или обеспечения доверенной среды выполнения.
Данный случай наглядно демонстрирует классические риски, связанные с зависимостью от сторонних открытых компонентов даже в специализированном и защищённом программном обеспечении. Ошибка в фундаментальной библиотеке для работы с аппаратным модулем безопасности может иметь далеко идущие последствия. Регулярный мониторинг источников об уязвимостях, таких как BDU или база CVE, и своевременное обновление остаются краеугольным камнем стратегии кибербезопасности для организаций любого уровня.
Ссылки
- https://bdu.fstec.ru/vul/2025-16174
- https://www.cve.org/CVERecord?id=CVE-2024-29039
- https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9424?lang=ru
- https://github.com/tpm2-software/tpm2-tools/security/advisories/GHSA-8rjm-5f5f-h4q6
- https://github.com/tpm2-software/tpm2-tools/releases/tag/5.7
