В марте 2025 года выявлена серьезная уязвимость в компоненте TZ Secure OS микропрограммного обеспечения Qualcomm, получившая идентификатор BDU:2025-13957. Проблема затрагивает более 90 моделей процессоров и встраиваемых плат этого производителя, включая популярные мобильные платформы Snapdragon и решения для интернета вещей.
Детали уязвимости
Уязвимость относится к классу CWE-131 и связана с некорректными вычислениями размера выделяемого буфера в защищенной среде TrustZone. Эксплуатация данной уязвимости может позволить злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации. Особую озабоченность вызывает тот факт, что уязвимость находится в самом сердце системы безопасности - компоненте TZ Secure OS, который обеспечивает изоляцию критически важных операций.
Список затронутых продуктов впечатляет своим масштабом. В него вошли процессоры для мобильных устройств Snapdragon 429, Snapdragon Wear 4100+, а также более ранние платформы Snapdragon 820 и 821. Кроме того, уязвимость обнаружена в сетевых процессорах серий IPQ807x, IPQ5010, IPQ5028 и других, которые широко используются в маршрутизаторах и точках доступа. Также проблеме подвержены чипы для интернета вещей QCA4024 и различные беспроводные модули.
Оценка серьезности уязвимости демонстрирует расхождение между разными версиями системы CVSS (Common Vulnerability Scoring System). Согласно CVSS 2.0, уязвимость имеет средний уровень опасности с базовой оценкой 6.8. Однако по более современной методологии CVSS 3.1 оценка достигает 8.8 баллов, что соответствует высокому уровню опасности. Такое расхождение подчеркивает эволюцию в понимании потенциального воздействия уязвимостей низкоуровневого программного обеспечения.
Базовый вектор атаки предполагает локальный доступ (AV:L), низкую сложность эксплуатации (AC:L) и требуемые привилегии пользователя (PR:L). Критически важно, что уязвимость позволяет воздействовать на все три ключевых аспекта информационной безопасности - конфиденциальность, целостность и доступность. Более того, согласно оценке CVSS 3.1, успешная эксплуатация может привести к полному компрометированию системы.
Производитель уже подтвердил наличие уязвимости и присвоил ей идентификатор CVE-2025-27074. Qualcomm Technologies Inc. выпустила необходимые исправления, информация о которых доступна в бюллетене безопасности за апрель 2025 года. Компания рекомендует всем производителям устройств и интеграторам обновить микропрограммное обеспечение до защищенных версий.
Способ эксплуатации уязвимости связан с манипулированием структурами данных, что может привести к переполнению буфера. В результате злоумышленник потенциально может выполнить произвольный код в контексте защищенной среды TrustZone. Это, в свою очередь, открывает возможности для обхода механизмов безопасности, кражи криптографических ключей и установки зловредного ПО (malicious software) с высокой степенью устойчивости (persistence).
Отсутствие информации о наличии работающих эксплойтов в дикой природе является временным утешением. Обычно такие уязвимости привлекают внимание сложные субъекты угроз, которые могут разрабатывать целевые атаки. Учитывая распространенность платформ Qualcomm в мобильных устройствах, сетевой инфраструктуре и системах интернета вещей, потенциальная область воздействия огромна.
Своевременное обновление микропрограммного обеспечения становится критически важной мерой защиты. Производителям устройств необходимо интегрировать исправления от Qualcomm и выпускать обновления для конечных пользователей. Для корпоративных потребителей рекомендуется внедрить процессы регулярного обновления прошивок сетевого оборудования и мобильных устройств.
Данный случай подчеркивает возрастающую важность безопасности микропрограммного обеспечения и доверенных сред выполнения. Производители должны уделять больше внимания аудиту кода компонентов безопасности, особенно тех, которые работают с выделением памяти и обработкой буферов. Регулярные security assessment и тестирование на проникновение могут помочь выявить подобные проблемы на ранних стадиях.
В заключение стоит отметить, что уязвимость в TZ Secure OS представляет значительный риск для широкого спектра устройств. Однако своевременное реагирование производителя и доступность исправлений позволяют минимизировать потенциальный ущерб. Соблюдение рекомендаций по обновлению программного обеспечения остается наиболее эффективным способом защиты от потенциальных атак, использующих эту уязвимость.
Ссылки
- https://bdu.fstec.ru/vul/2025-13957
- https://www.cve.org/CVERecord?id=CVE-2025-27074
- https://nvd.nist.gov/vuln/detail/CVE-2025-27074
- https://docs.qualcomm.com/product/publicresources/securitybulletin/april-2025-bulletin.html
- https://docs.qualcomm.com/product/publicresources/securitybulletin/november-2025-bulletin.html
