Группа экспертов по информационной безопасности выявила критическую уязвимость в системе «Великий китайский файрвол», позволившую получить беспрецедентный доступ к данным о его внутренней работе. Уязвимость, названная Wallbleed, была обнаружена в 2021 году и использовалась исследователями на протяжении почти трех лет для детального изучения механизмов китайской системы интернет-фильтрации.
Механизм работы уязвимости
Wallbleed затрагивает подсистему DNS-инъекций файрвола, отвечающую за блокировку доступа к запрещенным ресурсам. При определенных условиях парсер DNS-запросов допускал утечку до 125 байт данных из памяти устройств, осуществляющих фильтрацию. Исследователи смогли использовать эту особенность для получения информации о внутренней архитектуре системы, включая данные о процессорах (x86_64) и времени хранения информации в памяти.
Масштаб и значимость находки
Анализ полученных данных показал, что уязвимые устройства обрабатывают трафик с сотен миллионов китайских IP-адресов, подтверждая централизованный характер системы фильтрации. Эксперты Great Firewall Report отмечают, что до обнаружения Wallbleed информация о внутреннем устройстве файрвола была крайне ограничена.
Эволюция уязвимости и попытки её устранения
В ходе исследования были зафиксированы две версии уязвимости: Wallbleed v1 (до осени 2023 года) и Wallbleed v2, существовавшая до марта 2024 года. Специалисты наблюдали две попытки устранения проблемы: в сентябре-октябре 2023 года и окончательный патч в марте 2024 года.
Технические особенности «Великого китайского файрвола»
Система, созданная в конце 90-х годов, использует комплексный подход к фильтрации контента, включая как минимум три одновременно работающие системы DNS-инъекций. Даже при успешном обходе DNS-блокировки дополнительные механизмы защиты обеспечивают эффективное ограничение доступа к запрещенным ресурсам.
Обнаружение и исследование уязвимости Wallbleed представляет собой значительный прорыв в понимании работы крупнейшей в мире системы интернет-фильтрации. Полученные данные могут быть использованы для дальнейшего изучения механизмов работы подобных систем и разработки более эффективных методов обеспечения кибербезопасности.
