Отечественная фирма Fastwel, занимающаяся разработкой и выпуском аппаратных решений для автоматизированных систем управления технологическими процессами, встроенных и бортовых комплексов, выразила признательность специалистам Positive Technologies Максиму Грузину, Илье Бублию, Константину Максимову, Ивану Тараканову и Илье Рогачеву за обнаружение нескольких уязвимостей в программируемых логических контроллерах (ПЛК) CPM723-01 и CPM810-03. В соответствии с принципами ответственного раскрытия информации производитель получил уведомление о потенциальной опасности и выпустил программные обновления, ликвидирующие пробелы в защите обоих типов ПЛК. Об этом представитель Positive Technologies проинформировал издание CNews.
Дефектам PT-2025-40257–PT-2025-40265 (BDU:2025-11164–BDU:2025-11172) присвоены оценки от 8,3 до 9,4 баллов по 10-балльной шкале CVSS 4.0. Теоретически их использование могло привести к серьезным нарушениям в работе управляемого промышленного оборудования. Организациям, использующим уязвимые устройства, рекомендуется безотлагательно обновить CPM723-01 до версии 3.4.9.5, а CPM810-03 — до версии 3.4.5.1.
Модели ПЛК CPM810-03 и CPM723-01-C1 включены в реестр отечественной промышленной продукции. Данные контроллеры применяются в нефтегазовом секторе и железнодорожной отрасли, электроэнергетике, кораблестроении, металлургии, горнодобывающей промышленности и сфере ЖКХ.
Наиболее критичные из устраненных уязвимостей PT-2025-40257–PT-2025-40260 предоставляли возможность выполнения произвольного кода в операционной системе контроллера.
Недостатки защиты PT-2025-40261–PT-2025-40265 могли стать начальным этапом для компрометации устройств. К примеру, используя PT-2025-40261–PT-2025-40264, злоумышленник мог получить административные права в веб-конфигураторе и других доступных службах контроллера либо похитить учетные данные пользователей. Это открывало возможность изменения конфигурации ПЛК и получения над ним полного управления.
До исправления ошибок их эксплуатация была возможна как внутренними, так и внешними нарушителями, имевшими доступ к оборудованию через сеть.
«Снижению вероятности атак с использованием подобных уязвимостей и сокращению площади воздействия способствуют сегментирование корпоративной сети и ограничение доступа к локальной вычислительной сети АСУ ТП, — отметил эксперт группы анализа АСУ ТП Максим Грузин. — Рекомендуется также деактивировать веб-конфигуратор контроллера и неиспользуемые сетевые службы, заменить стандартные пароли на сложные. Ключевым является обеспечение доступа к ПЛК исключительно для сотрудников, которым это функционально необходимо».
Специалисты Positive Technologies уже не впервые способствуют устранению уязвимостей в программируемых логических контроллерах. В начале 2024 года ведущий эксперт по безопасности встроенного ПО из отдела анализа приложений Антон Дорфман обнаружил в контроллерах Mitsubishi Electric пять критических уязвимостей, позволяющих осуществлять удаленное выполнение команд: CVE-2024-0802, CVE-2024-0803, CVE-2024-1915, CVE-2024-1916 и CVE-2024-1917. Годом ранее аналитик того же подразделения Георгий Кигурадзе содействовал исправлению уязвимости CVE-2023-22357 в ПЛК OMRON. Её использование открывало возможность несанкционированного чтения и модификации произвольных областей памяти контроллера, что создавало риски перепрошивки оборудования, отказа в обслуживании или выполнения произвольного кода.
Оперативное выявление угроз и целевых атак обеспечивается внедрением систем киберустойчивости промышленных объектов, включая PT ISIM. Современные решения категорий NTA/NDR, такие как PT Network Attack Discovery (PT NAD), фиксируют попытки использования обнаруженных уязвимостей, тогда как продукты класса NGFW, в частности PT NGFW, дополнительно предотвращают такие атаки.
