OpenSSL — один из ключевых компонентов современной интернет-безопасности, лежащий в основе защиты подавляющего большинства HTTPS-соединений. Однако, как выяснилось, даже столь критически важный проект может скрывать серьёзные проблемы годами. Команда по кибербезопасности компании Aisle сообщила об обнаружении 12 уязвимостей (CVE) в кодовой базе OpenSSL, причём некоторые из них, по утверждению исследователей, берут начало ещё в 1998 году.
Все уязвимости были выявлены исключительно с помощью ИИ-инструментов анализа кода, после чего для каждой из них были подготовлены исправления. В Aisle заявляют, что именно человек сегодня является «узким местом» в поиске подобных багов — слишком сложных, скрытых и глубоко укоренённых.
Уязвимости разной степени критичности
Обнаруженные CVE охватывают высокий, средний и низкий уровни опасности. Наиболее серьёзные из них потенциально позволяют злоумышленникам выполнять произвольный код или вызывать переполнение памяти.
Уязвимости высокой и средней степени опасности
-
CVE-2025-15467 (High) — переполнение буфера стека при разборе CMS AuthEnvelopedData. При определённых условиях может привести к удалённому выполнению кода.
-
CVE-2025-11187 (Moderate) — ошибка валидации параметров PBMAC1 в PKCS#12, способная вызвать stack-based buffer overflow.
Уязвимости низкой степени опасности
-
CVE-2025-15468 — аварийное завершение при обработке шифров QUIC
-
CVE-2025-15469 — «тихая» усечённая обработка постквантовых подписей (ML-DSA)
-
CVE-2025-66199 — истощение памяти через сжатие сертификатов TLS 1.3
-
CVE-2025-68160 — повреждение памяти в line-buffering (затрагивает код вплоть до OpenSSL 1.0.2)
-
CVE-2025-69418 — ошибка шифрования в режиме OCB при аппаратном ускорении
-
CVE-2025-69419 — повреждение памяти при обработке кодировок PKCS#12
-
CVE-2025-69420 — сбой при проверке TimeStamp Response
-
CVE-2025-69421 — сбой при расшифровке PKCS#12
-
CVE-2026-22795 — сбой при парсинге PKCS#12
-
CVE-2026-22796 — сбой при проверке подписей PKCS#7 (также затрагивает OpenSSL 1.0.2)
Большинство этих проблем приводит «лишь» к сбоям, повреждению памяти или утечке ресурсов, однако в контексте инфраструктурного ПО масштаба OpenSSL даже такие баги считаются крайне нежелательными.
Уязвимости, пережившие десятилетия
По словам Aisle, часть найденных проблем присутствовала в коде более 25 лет, оставаясь незамеченной несмотря на огромное количество аудиторов, исследователей и автоматических анализаторов, прошедших через проект за это время.
Это подчёркивает фундаментальную проблему ручного и полуавтоматического анализа безопасности:
человеческие ревью плохо масштабируются, особенно в проектах с:
-
миллионами строк кода;
-
историческим багажом;
-
сложными криптографическими допущениями.
Как помог искусственный интеллект
ИИ-платформа Aisle использует контекстно-осознанный анализ, способный:
-
понимать назначение и логику кода, а не просто сигнатуры;
-
выявлять нетипичные пути исполнения;
-
присваивать угрозам приоритеты, снижая количество ложных срабатываний.
По утверждению компании, именно такая комбинация позволила обнаружить баги, которые «десятилетиями ускользали от людей».
Тренд: ИИ против ИИ
ИИ-поддерживаемая кибербезопасность стремительно становится стандартом отрасли. Это во многом ответ на рост ИИ-ассистированных атак, где злоумышленники сами используют машинное обучение для:
-
поиска уязвимостей;
-
автоматизации эксплуатации;
-
масштабирования атак.
Ранее исследователи уже демонстрировали ИИ-системы, способные предсказывать криминальное поведение с точностью до 82,8%, и подобные подходы всё активнее внедряются в защитные решения.
Вывод
История с OpenSSL наглядно показывает, что:
-
даже самый проверенный и массово используемый код может скрывать критические дефекты десятилетиями;
-
традиционные методы аудита безопасности достигли предела эффективности;
-
ИИ перестаёт быть вспомогательным инструментом и становится необходимым элементом киберзащиты.
В эпоху, когда ИИ используют обе стороны — и защитники, и атакующие — отказ от таких инструментов может оказаться фатальным.
Подписывайтесь на наш телеграмм канал и читайте новости в удобном формате — https://t.me/occlub_ru.