Разработчики Wireshark выпустили версию 4.6.5 своего популярного анализатора сетевого трафика. Этот релиз стал экстренным: он закрывает сразу более сорока уязвимостей, в том числе четыре критические, которые позволяют злоумышленнику выполнить произвольный код на устройстве жертвы. Столь массовое обновление стало возможным благодаря новой волне сообщений об уязвимостях, найденных с помощью искусственного интеллекта.
Wireshark - это инструмент, без которого не обходится расследование инцидентов, мониторинг сетей и работа центров реагирования на киберугрозы (SOC). Если в нём обнаруживаются бреши, под ударом оказываются тысячи специалистов по информационной безопасности по всему миру. Нынешняя версия затрагивает все платформы, на которых работает анализатор. Поэтому обновление рекомендуют установить немедленно.
Четыре главных вектора атаки
Среди множества исправленных дефектов выделяются четыре уязвимости, получившие идентификаторы CVE-2026-5402, CVE-2026-5403, CVE-2026-5405 и CVE-2026-5656. Все они могут привести к выполнению произвольного кода. Поясним кратко, что это значит: злоумышленник способен запустить на компьютере аналитика любую вредоносную программу, не требуя дополнительных разрешений. Подобные инциденты часто становятся началом цепочки атак в корпоративных сетях.
Первая уязвимость (CVE-2026-5402) связана с переполнением кучи - разновидностью повреждения памяти - в модуле разбора протокола TLS (протокол защиты транспортного уровня). Это важнейший протокол, используемый для шифрования HTTPS-соединений, электронной почты и VPN. Если Wireshark получает специально сформированный TLS-пакет, модуль обработки может выйти за границы выделенной памяти и записать данные туда, куда не следует. В результате возможен запуск вредоносного кода.
Вторая критическая проблема (CVE-2026-5403) затрагивает декодер аудиокодека SBC - технологии, применяемой в Bluetooth-гарнитурах и потоковом аудио. Третья (CVE-2026-5405) находится в модуле анализа протокола удалённого рабочего стола RDP, который активно используется для администрирования Windows-систем. Четвёртая (CVE-2026-5656) - в механизме импорта профилей пользовательских настроек. Во всех случаях причиной становится обработка повреждённых данных: злоумышленник deliberately создаёт некорректный сетевой пакет или файл захвата трафика (pcap-файл) с искажёнными полями, которые модули Wireshark не умеют безопасно обрабатывать.
Как могут атаковать аналитика?
Существуют два основных сценария эксплуатации этих уязвимостей. Первый - атакующий передаёт по сети вредоносный трафик, который Wireshark перехватывает в реальном времени. Если аналитик запускает захват пакетов на интерфейсе, куда приходят такие пакеты, программа предпримет попытку их разобрать, что спровоцирует повреждение памяти и выполнение кода злоумышленника. Второй сценарий - социальная инженерия: в SOC приходит письмо с прикреплённым файлом "аварийного дампа трафика", который нужно срочно проанализировать. Как только файл открывается в Wireshark, срабатывает та же цепочка.
Важно отметить, что эксплуатация не требует высокой квалификации. Готовые инструменты для генерации вредоносных пакетов уже существуют. Хотя команда Wireshark заявляет, что не зафиксировала активного использования этих уязвимостей в реальных атаках, публикация деталей делает их привлекательной целью для киберпреступников.
Десятки DoS-уязвимостей тоже опасны
Помимо критических дефектов, версия 4.6.5 исправляет порядка трёх десятков проблем, которые приводят к отказу в обслуживании (DoS). Среди них - бесконечные циклы и фатальные сбои в модулях разбора таких распространённых протоколов, как SMB2 (файловые ресурсы Windows), HTTP, ICMPv6, MySQL и многих других. Кроме того, уязвимости обнаружены в механизмах декомпрессии zlib и LZ77 - они также могут вызвать аварийную остановку Wireshark.
На первый взгляд DoS-проблемы выглядят менее серьёзными, но для SOC, где Wireshark работает круглосуточно, любой сбой означает простои и задержки в реагировании на настоящие угрозы. Злоумышленник может отправить всего один специальный пакет, чтобы вывести анализатор из строя на минуты, а то и часы.
Почему так много уязвимостей сразу?
Разработчики указывают, что резкий рост числа найденных дефектов связан с использованием инструментов на базе искусственного интеллекта. Системы машинного обучения всё активнее применяются для анализа исходного кода и фаззинг-тестирования (автоматизированной подачи случайных данных на вход). Они способны перебирать варианты с огромной скоростью и находить граничные случаи, которые годами ускользали от человеческого глаза. Новая волна AI-отчётов по уязвимостям - тренд, который мы будем наблюдать всё чаще.
Что делать специалистам?
Ответ прост - немедленно обновить Wireshark до версии 4.6.5 на всех рабочих станциях, где используется этот инструмент. Загрузить дистрибутив можно с официального сайта The Wireshark Foundation. Если ваш SOC использует автоматизированное обновление через менеджеры пакетов (например, apt, yum, Chocolatey), стоит принудительно запустить установку, не дожидаясь планового окна.
Также рекомендуется временно усилить мониторинг подозрительных сетевых потоков, особенно если аналитики получают файлы захвата из внешних источников. В идеале стоит изолировать среду, где открываются непроверенные pcap-файлы, либо использовать для этого отдельные виртуальные машины. Однако главная защита сейчас - свежая версия Wireshark.
Этот инцидент напоминает, что даже зрелые и широко используемые проекты с открытым исходным кодом могут содержать серьёзные уязвимости. Искусственный интеллект становится мощным инструментом для поиска "иголок в стоге сена", и нам, специалистам по информационной безопасности, нужно быть готовыми к лавинообразному потоку подобных предупреждений в будущем. А пока - установка обновления занимает пять минут, а последствия пропущенной атаки могут стоить компании месяцы расследований и миллионы рублей ущерба.
