Грешка в криптографската проверка може да позволи фалшиви сертификати
В библиотеката wolfSSL е открита критична уязвимост, която може да отслаби сигурността на криптографските връзки и да позволи използване на фалшиви сертификати за злонамерени сървъри.
Проблемът засяга начина, по който библиотеката валидира цифрови подписи, по-конкретно при Elliptic Curve Digital Signature Algorithm (ECDSA) и други алгоритми.
Какво представлява уязвимостта
Уязвимостта, проследявана като CVE-2026-5194, е резултат от неправилна проверка на:
- размера на хеш алгоритъма
- идентификатора на алгоритъма (OID)
- валидността на дигиталните подписи
Това позволява на атакуващ да подаде сертификат с по-слаб криптографски хеш, който системата погрешно приема за валиден.
Кои системи са засегнати
wolfSSL се използва широко в:
- IoT устройства
- индустриални контролни системи (ICS)
- рутери и мрежово оборудване
- автомобилни системи
- авиационни и военни технологии
Според публична информация библиотеката е интегрирана в над 5 милиарда устройства и приложения.
Как може да бъде експлоатирана
Ако уязвимостта бъде използвана успешно, атакуващ може да:
- създаде фалшиви сертификати
- подмени легитимни TLS/SSL връзки
- подведе устройства да се свързват със злонамерени сървъри
- прихваща или манипулира трафик
Това ефективно компрометира доверието в криптираната комуникация.
Кои алгоритми са засегнати
Проблемът засяга множество криптографски методи, включително:
- ECDSA / ECC
- DSA
- Ed25519
- Ed448
- ML-DSA
Това показва, че уязвимостта е в основния механизъм за проверка, а не в отделен алгоритъм.
Откриване и поправка
Уязвимостта е докладвана от Nicholas Carlini и е отстранена c версия wolfSSL 5.9.1, издадена на 8 април.
Според сигурностния бюлетин, проблемът позволява приемане на по-слаби хешове при проверка на ECDSA сертификати, което намалява криптографската устойчивост на системата.
Какво казват експертите
Анализатори като Лукаш Олейник предупреждават, че уязвимостта може да позволи:
- приемане на фалшива дигитална идентичност
- доверяване на злонамерени сървъри
- компрометиране на сигурни връзки без знанието на потребителя
Реален риск
Експлоатацията зависи от конкретната конфигурация и имплементация, но рискът е значителен за:
- вградени системи без редовни ъпдейти
- индустриални и критични среди
- устройства с дълъг жизнен цикъл
Някои дистрибуции, като корпоративни Linux среди, може да не са засегнати, ако използват алтернативни криптографски библиотеки.
Препоръки
Администраторите и производителите трябва:
- да обновят wolfSSL до версия 5.9.1 или по-нова
- да проверят зависимостите във firmware и SDK системи
- да валидират криптографските настройки
- да следят указанията на доставчиците
Уязвимостта CVE-2026-5194 подчертава критичен проблем в съвременната инфраструктура – дори малки грешки в криптографската валидация могат да компрометират милиарди устройства, включително такива в критични индустрии.
