В мире кибербезопасности и криптографии алгоритмы, обеспечивающие сильную защиту данных, играют ключевую роль. PBKDF2 — один из наиболее широко используемых методов для генерации ключей на основе паролей. Он основывается на применении функции хеширования с множественным повторением, что делает его стойким к атакам грубой силы и другим попыткам восстановления пароля. Однако недавно была обнаружена критическая уязвимость, затрагивающая различные версии библиотеки pbkdf2, которая заставляет задуматься о надежности защитных мер, основанных на этом алгоритме, особенно если он применяется в браузерных и полифильных средах. Уязвимость заключается в том, что при использовании неподдерживаемых или неправильно нормализованных алгоритмов хеширования, таких как sha3-256, sha3-512, sha512-256 и множеством вариаций популярных алгоритмов sha256, sha512, sha1, а также алгоритмов, поддерживаемых в Node.
js, но не в полифиле pbkdf2, возвращаемые значения становятся полностью предсказуемыми. В средах Node.js с полифилем pbkdf2 или в средах Bun возвращается не инициализированная память, что связано с использованием метода Buffer.allocUnsafe. В браузерах же возвращаются просто нулевые буферы, что является огромной проблемой с точки зрения безопасности.
Возникает ситуация, когда функция derivation ключей, которая в нормальных условиях должна генерировать крепкие и случайные значениями, возвращает либо нули, либо повторяющуюся, предсказуемую память. Это существенно подрывает весь механизм защиты, особенно если эта функция применяется для создания секретных ключей, токенов или других критичных элементов системы аутентификации и шифрования. Особенно опасна эта проблема в тех случаях, когда разработчики, привыкшие к корректной работе pbkdf2 в Node.js, используют полифилы crypto-browserify, node-libs-browser, vite-plugin-node-polyfills и другие библиотеки, подменяющие криптографические функции при сборке проектов для веба или не нативных сред. В этих случаях их приложение может невольно работать с абсолютно ненадежной криптографией, что создает скрытые точки уязвимости.
Проблема затрагивает версии pbkdf2 в диапазоне от 3.0.10 до 3.1.2.
После выявления уязвимости была выпущена версия 3.1.3, в которой проблема решена. Однако простой апдейт не всегда решает ситуацию, особенно если в проекте уже были сгенерированы ключи или пароли с использованием уязвимой версии. В таких случаях необходимо тщательно проверить все места, где мог применяться PBKDF2 с неподдерживаемым алгоритмом, и переиздать ключи, хоть это и сложно в практическом плане.
Стоит особо отметить, что поражаемый список алгоритмов не ограничивается странными или устаревшими вариантами. Проблема возникает даже с вариациями написания поддерживаемых алгоритмов — например, «Sha256» вместо «sha256», «SHA-1» или «sha-512», а также с популярными алгоритмами хеширования, недоступными полифилю, такими как blake2b512. На фоне распространения и поддержки этих вариантов в Node.js ситуация приобретает глобальный характер. С технической точки зрения причина уязвимости кроется в недостаточной нормализации и проверке входных параметров функции pbkdf2 в полифиле.
При передаче неподдерживаемого алгоритма или неправильного наименования код не генерирует ошибку и не останавливает выполнение, а возвращает заранее выделенную память, которая либо не инициализирована и содержит мусор памяти, либо заполнена нулями, что делает результат предсказуемым. Эксплуатация такой уязвимости легко реализуема в условиях сетевых атак, где злоумышленник может получить доступ к сгенерированным ключам, которые фактически не обеспечивают никакой стойкости. Даже если злоумышленник не может напрямую наблюдать ключи, возможность предсказания их значений серьезно снижает криптографическую силу всей системы, позволяя восстанавливать пароли, обходить аутентификацию и реализовывать атаки повторного воспроизведения. Для разработчиков и инженеров информационной безопасности эти сведения несут важнейшее значение. Необходимо, прежде всего, избегать использования pbkdf2 в полифильной форме, если принято решение использовать алгоритмы, которые поддерживаются нативно в Node.
js, но не в его полифиле. Оптимальной рекомендацией станет переход на современные криптографические API, такие как Web Crypto API (crypto.subtle), которые предоставляют нативные, проверенные и более безопасные методы хеширования и генерации ключей. Также, при обязательном использовании pbkdf2, следует строго придерживаться списка поддерживаемых и корректно нормализованных алгоритмов: md5, sha1, sha224, sha256, sha384, sha512, rmd160, ripemd160. Все остальные варианты требуют особой осторожности и доскональной проверки.
Не менее важно регулярно отслеживать обновления библиотек и зависимостей, использовать автоматические системы анализа безопасности и мониторинга уязвимостей (например, Dependabot) для своевременного выявления и устранения проблем с безопасностью. Если подозревается, что pbkdf2 использовался с неподходящими алгоритмами, необходимо провести аудит и, по возможности, сменить затронутые ключи. Среди современных угроз ситуация с PBKDF2 демонстрирует, как важна тщательная реализация криптографических библиотек, особенно в средах, где полномасштабные криптографические примитивы заменяются полифилами для обеспечения кросс-платформенности. Криптография, будучи базисом системной безопасности, не терпит халатности и непредусмотренности в реализации. На практике успешное устранение этой проблемы требует комплексного подхода и осознания фундаментального принципа — доверять только проверенным и активно поддерживаемым библиотекам, а также периодически пересматривать архитектуру безопасности своих проектов с учётом новых угроз, уязвимостей и технических возможностей.
Наконец, ситуация с предсказуемой памятью, возвращаемой PBKDF2, стала серьёзным предупреждением для разработчиков, включая тех, кто полагается на криптографию в браузерах, серверной части и гибридных приложениях. Безопасность паролей и ключей — один из важнейших аспектов современного ПО, и ошибки, подобные описанной, могут привести к катастрофическим последствиям, включая утечки данных, взломы аккаунтов и нарушение конфиденциальности пользователей. В итоге, для обеспечения высокого уровня безопасности и минимизации рисков эксплойтов, связанных с криптографическими функциями, крайне рекомендуется использовать нативные, проверенные временем решения и внимательно отнестись к используемым алгоритмам и библиотекам. В случае применения pbkdf2 обязательно использовать версии выше 3.1.
3, внимательно нормализовать и проверять входные параметры и не полагаться на полифилы в тех случаях, когда важна безопасность и устойчивость к современным атакам.
