В декабре 2025 и январе 2026 годов были обнародованы критические уязвимости в популярной библиотеке urllib3, предназначенной для выполнения HTTP-запросов в Python. Эти недостатки, получившие идентификаторы CVE-2025-66418, CVE-2025-66471 и CVE-2026-21441, напрямую затрагивают безопасность корпоративных продуктов. В частности, компания IBM подтвердила, что плагин SOAR для её флагманской платформы SIEM QRadar версий до 5.6.4 уязвим к атакам на отказ в обслуживании из-за использования проблемных версий urllib3. Данный инцидент демонстрирует, как уязвимость в цепочке поставок программного обеспечения может поставить под угрозу критически важные инфраструктурные компоненты, ответственные за мониторинг и реагирование на кибератаки.
Детали уязвимостей
Суть обнаруженных проблем кроется в механизмах обработки сжатых данных. Библиотека urllib3, будучи ключевым компонентом для сетевого взаимодействия, неправильно ограничивала ресурсы при декомпрессии информации, полученной от HTTP-сервера. Уязвимость CVE-2025-66418, связанная с неограниченным количеством звеньев в цепочке сжатия, и CVE-2025-66471, затрагивающая обработку высокосжатых данных в потоковом API, позволяют злоумышленнику, контролирующему сервер, отправить специально сформированный ответ. В результате на стороне клиента, использующего устаревшую версию urllib3, запускается процесс декомпрессии, требующий чрезмерного количества оперативной памяти и процессорного времени. Наиболее коварной является уязвимость CVE-2026-21441, которая обходит защиту от так называемых "бомб декомпрессии" при обработке HTTP-перенаправлений в потоковом режиме. Это означает, что даже если приложение установило лимиты на чтение данных, при следовании по перенаправлению от вредоносного сервера эти ограничения игнорировались, и происходила полная распаковка опасного контента.
Для систем класса QRadar SOAR, которые автоматически взаимодействуют с внешними источниками данных, системами тикетов (ticketing systems) и другими платформами для сбора контекста по инцидентам, подобные уязвимости представляют прямую угрозу доступности. Вредоносный сервер, на который направлен запрос в рамках автоматизированного сценария реагирования (playbook), может инициировать атаку на отказ в обслуживании, исчерпав ресурсы самого QRadar. В свою очередь, это приведёт к остановке автоматизированных процессов, потере оперативности при расследовании инцидентов и, как следствие, к увеличению окна уязвимости для реальных атакующих. Важно отметить, что оценка степени серьёзности (CVSS) для всех трёх уязвимости составляет 8.9 баллов из 10, что классифицирует их как высокие. При этом вектор атаки предполагает взаимодействие по сети без необходимости аутентификации или участия пользователя, что значительно упрощает эксплуатацию.
Эксперты в области информационной безопасности подчёркивают, что данный случай является наглядным примером рисков, связанных с зависимостями в открытом исходном коде. Критически важный коммерческий продукт, такой как IBM QRadar, оказался заложником уязвимости в сторонней библиотеке, которая входит в сотни тысяч проектов по всему миру. Разработчики библиотеки urllib3 оперативно отреагировали, выпустив исправленные версии 2.6.0 и 2.6.3, в которых были устранены проблемы с выделением ресурсов и обработкой перенаправлений. Компания IBM, в свою очередь, выпустила обновление для плагина SOAR QRadar до версии 5.6.4, где используется безопасная версия библиотеки. Между тем, для многочисленных других продуктов и внутренних разработок, которые зависят от urllib3, остаётся актуальной задача по скорейшему аудиту и обновлению.
Что могут сделать специалисты для защиты своих систем? В первую очередь, необходимо провести инвентаризацию всех приложений и скриптов на Python, которые используют библиотеку urllib3 для взаимодействия с внешними, особенно ненадёжными, источниками. Ключевой рекомендацией является немедленное обновление urllib3 до версии 2.6.3 или новее. Если быстрое обновление по каким-либо причинам невозможно, в качестве временной меры можно рассмотреть отключение автоматического следования по перенаправлениям (установка параметра "redirect=False" в коде) для запросов к непроверенным целям. Однако это лишь частичное решение, не закрывающее все векторы атак. Для комплексной защиты инфраструктурных решений, подобных QRadar, критически важно соблюдать регулярный цикл обновлений и применять патчи безопасности сразу после их выпуска вендором, не дожидаясь, пока уязвимости в зависимостях будут использованы в целевых атаках.
Ссылки
- https://www.ibm.com/support/pages/node/7269734
- https://www.ibm.com/support/pages/node/7269736
- https://www.cve.org/CVERecord?id=CVE-2025-66418
- https://www.cve.org/CVERecord?id=CVE-2025-66471
- https://www.cve.org/CVERecord?id=CVE-2026-21441
