В ходе инцидента, причины которого пока не ясны, «Великий китайский файрвол» (Great Firewall of China, GFW) заблокировал весь трафик через один из ключевых портов для зашифрованного соединения. Сбой в работе системы интернет-цензуры привёл к массовому разрыву HTTPS-соединений с сайтами.

Итоги 2025 года: почему память стала роскошью и что будет дальше

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Источник изображения: Scott Rodgerson/Unsplash

20 августа система интернет-цензуры КНР продемонстрировала аномальное поведение. Как сообщает Tom's Hardware со ссылкой на специализированный ресурс мониторинга GFW Report, в течение приблизительно 74 минут система внедряла поддельные TCP RST+ACK пакеты, нарушая все соединения на TCP-порту 443, после чего вернулась к обычному режиму фильтрации

TCP-порт 443 традиционно используется для HTTPS — безопасной версии протокола HTTP, которая шифрует соединение между устройствами. Важно отметить, что, согласно данным GFW Report, блокировки были ограничены портом 443 и не затронули другие распространённые порты, такие как 22 (SSH), 80 (HTTP) или 8443 (альтернативный для HTTPS). Это отличает инцидент от ранее применявшихся методов фильтрации, которые были направлены на блокировку самих протоколов шифрования, таких как TLS 1.3, на всех портах без исключения.

Как отмечает GFW Report, «Великий китайский файрвол» не является единой монолитной системой, а представляет собой комплекс сетевых устройств, выполняющих цензурирование и используя различные методы сбоя трафика. На данный момент неизвестно, было ли событие 20 августа запланированным или же оно стало результатом технического сбоя.

Группа из восьмерых учёных и специалистов в области кибербезопасности обнаружила уязвимость Wallbleed в системе «Золотой щит», также известной как «Великий китайский файрвол». С 2021 года они постоянно эксплуатировали её в стремлении изучить механизмы работы системы, информация о которой практически отсутствует.

Итоги 2025 года: почему память стала роскошью и что будет дальше

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор телевизора Sber SDX-43U4169

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Источник изображения: Ricardo / unsplash.com

Своё название Wallbleed уязвимость получила по образцу Heartbleed в OpenSSL, обнаруженной более десяти лет назад. Ошибка связана с утечкой памяти и чтением данных за пределами разрешённого диапазона, но авторам исследования удалось заставить китайское оборудование раскрывать данные порциями всего по 125 байтов. Система «Золотой щит» предназначена для блокирования запрещённой в Китае информации и замедления иностранного трафика. Она начала работу ещё в девяностые годы и с течением лет становилась всё более сложной. Для мониторинга онлайн-активности пользователей и фильтрации информации используются различные методы.

Wallbleed была обнаружена в подсистеме DNS-инъекций, которая отвечает за генерацию поддельных ответов DNS. Когда китайский пользователь пытается зайти на заблокированный сайт, его компьютер запрашивает через DNS IP-адрес, соответствующий домену сайта, чтобы можно было установить с ним соединение. «Золотой щит» обнаруживает и перехватывает этот запрос и отправляет ответ с поддельным IP-адресом, ведущим в никуда. С точки зрения пользователя доступ, таким образом, блокируется.

Источник изображения: aay / unsplash.com

При определённых условиях система возвращала пользователю не только поддельный IP-адрес, но и 125 байтов дополнительных данных. Утечка происходила с любой машины, которая проверяет запрос и в зависимости от его содержания блокирует его. Тщательно подготовив такой запрос, можно было захватить 125 байтов из памяти машины в системе. Для каждого пользователя в системе «Золотой щит» одновременно работают не менее трёх машин с DNS-инъекциями; но существуют и другие подсистемы, которые срабатывают, если пользователь каким-то образом получает правильный IP-адрес.

Wallbleed — не первая уязвимость, обнаруженная в китайской системе блокировки ресурсов. В 2010 году некий аккаунт в Twitter (сейчас X) опубликовал однострочный скрипт, который из-за уязвимости в DNS позволял получать 122 байта дополнительных данных из памяти машин. Открывшие Wallbleed непрерывно эксплуатировали уязвимость с октября 2021 по март 2024 года. До сентября-октября 2023 года это была уязвимость Wallbleed v1, которую китайские эксперты уcтранили, но вскоре была обнаружена Wallbleed v2 — её в марте 2024 года закрыли уже окончательно.

Исследователи эксплуатировали уязвимость, чтобы получить некоторую информацию об оборудовании в системе «Золотой щит», о котором неизвестно практически ничего. В частности, они выяснили, что данные оставались в памяти оборудования от нуля до пяти секунд, а его центральные процессоры имели архитектуру x86_64. Они также установили, что уязвимые промежуточные узлы обрабатывали трафик с сотен миллионов китайских IP-адресов, то есть практически со всей страны.