Компания AMD оказалась в центре обсуждений в сфере информационной безопасности после того, как отказалась выплачивать вознаграждение специалисту, обнаружившему серьёзную уязвимость в её программном обеспечении. Несмотря на то что проблема была признана и впоследствии устранена, исследователь не получил обещанных многими bug bounty-программами выплат.

Инцидент вызвал вопросы не только из-за отказа в денежном вознаграждении, но и из-за сроков исправления ошибки. На устранение проблемы, которая потенциально позволяла проводить атаки типа «человек посередине» (Man-in-the-Middle) и выполнять вредоносный код на устройствах пользователей, AMD потребовалось 124 дня.

Как была обнаружена уязвимость

Исследователь в области кибербезопасности по имени Пол обнаружил проблему в системе автоматического обновления программного обеспечения AMD ещё в феврале. По его словам, недостаток безопасности позволял злоумышленнику вмешиваться в процесс загрузки файлов обновления и потенциально подменять их вредоносным содержимым.

После обнаружения ошибки специалист направил подробный технический отчёт через официальный портал AMD, предназначенный для сообщений об уязвимостях. Одновременно он подал заявку на получение вознаграждения в рамках программы поиска ошибок.

Однако ответ компании оказался неожиданным.

Почему AMD отказалась платить

AMD признала получение отчёта, но сразу уведомила исследователя, что выплата ему не положена. Причиной стало то, что обнаруженная проблема относилась к категории атак Man-in-the-Middle, которые, согласно действующим правилам программы вознаграждений компании, не подпадают под выплаты.

При этом компания попросила Пола временно удалить публикацию из его блога, где были описаны детали уязвимости. Взамен AMD пообещала зарегистрировать официальный идентификатор CVE, исправить обнаруженный недостаток и указать исследователя в качестве автора находки.

Несмотря на отсутствие финансового поощрения, специалист согласился сотрудничать и отложить публичное раскрытие информации.

Простое исправление и сложные сроки

Особое удивление у исследователя вызвали сроки устранения проблемы.

По его оценке, критический недостаток находился в механизме загрузки обновлений и мог быть устранён буквально одной правкой — заменой незащищённого протокола HTTP на HTTPS.

Поэтому у Пола возникли вполне логичные вопросы:

• почему исправление столь простой ошибки занимает месяцы;
• почему за обнаружение проблемы не предусмотрена награда;
• почему уязвимость не получила более высокий приоритет внутри компании.

Когда исследователь предложил стандартный для отрасли срок раскрытия информации в 90 дней, AMD предупредила, что ей может потребоваться больше времени. В компании пояснили, что аналогичная проблема потенциально затрагивает не только утилиту Ryzen Master, но и другие программные продукты, поэтому потребуется комплексное обновление сразу нескольких инструментов.

Исправление заняло 124 дня

После истечения первоначального периода ожидания Пол связался с AMD и запросил информацию о ходе работ. В ответ компания попросила дополнительное время.

По словам представителей AMD, обновления затрагивали несколько продуктов, а часть корпоративных клиентов запросила продление сроков внедрения исправлений после выпуска патчей.

В итоге обновлённая версия программного обеспечения была выпущена только 9 июня — спустя 124 дня после первоначального сообщения об уязвимости.

После проверки исследователь подтвердил, что механизм загрузки обновлений действительно был переработан. Теперь передача файлов осуществляется по защищённому каналу, что устраняет первоначальный сценарий атаки.

Остались вопросы к безопасности

Несмотря на устранение основной проблемы, Пол обратил внимание на ещё один спорный момент.

По его словам, проверка целостности загружаемых файлов по-прежнему использует алгоритм CRC32. Хотя этот метод подходит для обнаружения случайных ошибок передачи данных, он давно не считается надёжным криптографическим инструментом для защиты от целенаправленных атак.

Поэтому часть экспертов считает, что системе обновлений AMD всё ещё требуется дальнейшая модернизация с использованием современных механизмов проверки подлинности файлов.

Неожиданный поворот истории

Наиболее любопытная деталь появилась уже после публикации всей истории.

Один из пользователей Reddit заявил, что на практике воспользоваться найденной уязвимостью было бы крайне сложно. По его данным, участок кода, в котором находилась проблема, фактически не использовался системой в рабочем режиме.

Если эта информация соответствует действительности, возникает довольно парадоксальная ситуация: механизм автоматического обновления содержал потенциально опасную уязвимость, но сам механизм обновления при этом не выполнялся должным образом.

Иными словами, исправить систему автоматически было невозможно, поскольку модуль обновления сам не мог получить необходимые изменения. В результате пользователям приходилось устанавливать новые версии программного обеспечения вручную.

Что показал этот случай

История с AMD в очередной раз продемонстрировала неоднозначность современных программ по поиску уязвимостей. С одной стороны, компания признала проблему, устранила её и поблагодарила исследователя за сотрудничество. С другой — специалист не получил никакого финансового вознаграждения, несмотря на месяцы взаимодействия с разработчиком и помощь в устранении недостатка.

Кроме того, случай показал, насколько по-разному компании могут оценивать серьёзность обнаруженных проблем безопасности и насколько сложным порой оказывается процесс их исправления даже тогда, когда сама ошибка выглядит относительно простой.