CISA пополнила перечень активно эксплуатируемых уязвимостей двумя критическими проблемами в протоколе KNX и Oracle E-Business Suite

Cybersecurity and Infrastructure Security Agency, CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило в свой каталог Known Exploited Vulnerabilities (KEV) две уязвимости, по которым имеются доказательства активной эксплуатации. Речь идёт о проблеме CVE-2023-4346 в системе авторизации подключений протокола KNX и уязвимости CVE-2026-46817 в компоненте Oracle Payments платформы Oracle E-Business Suite. Обе угрозы признаны критически опасными и требуют немедленного внимания со стороны организаций, использующих соответствующие продукты.

Детали уязвимостей

Первая уязвимость, CVE-2023-4346, затрагивает реализацию механизма авторизации подключений в устройствах, работающих по протоколу KNX. Этот протокол широко применяется в системах автоматизации зданий - управлении освещением, отоплением, вентиляцией и доступом. Как описывает CISA, проблема кроется в чрезмерно жёстком механизме блокировки учётной записи (CWE-645). Устройства, поддерживающие опцию 1 авторизации KNX, при определённых условиях оказываются заблокированными, а пользователь теряет возможность сбросить пароль без его предварительного ввода. Злоумышленник, имеющий доступ к сети, к которой подключено устройство, может просканировать установку, очистить все устройства без дополнительных опций безопасности и установить собственный ключ BCU (Bus Coupling Unit), тем самым полностью блокируя управление. Даже если оборудование не подключено к сети, атакующий с физическим доступом способен проделать то же самое. Базовая оценка CVSS 3.1 для этой уязвимости составляет 7,5 (высокий уровень опасности) из-за потенциального отказа в обслуживании (impact on availability: HIGH). Однако с учётом того, что CISA зафиксировала случаи реального применения, угроза выходит за рамки теоретической.

Вторая проблема, CVE-2026-46817, гораздо серьёзнее по степени риска. Она обнаружена в продукте Oracle Payments, входящем в состав Oracle E-Business Suite (поддерживаемые версии 12.2.3-12.2.15). Уязвимость связана с неправильным управлением привилегиями (improper privilege management). Она легко эксплуатируется неаутентифицированным злоумышленником удалённо по протоколу HTTP через сеть. В случае успешной атаки злоумышленник может полностью скомпрометировать компонент Oracle Payments, получив контроль над его конфиденциальностью, целостностью и доступностью. Базовая оценка CVSS 3.1 - максимальные 9,8 (критический уровень). Это означает, что для эксплуатации не требуется ни аутентификации, ни специальных привилегий, и последствия охватывают все три аспекта безопасности. Учитывая, что Oracle Payments обрабатывает финансовые транзакции, компрометация может привести к утечке платёжных данных, изменению реквизитов счетов или полной остановке обработки платежей.

Важно подчеркнуть, что обе уязвимости уже эксплуатируются в реальных атаках, поэтому включение в каталог KEV служит прямым сигналом для государственных учреждений США, а также для всех организаций по всему миру. CISA требует от федеральных агентств устранить эти проблемы в строго определённые сроки, но аналогичные меры настоятельно рекомендованы и частному бизнесу, особенно работающему с системами "умных" зданий и корпоративными платформами Oracle.

Для CVE-2023-4346 производитель KNX Association не предоставил готового обновления прошивки; уязвимость затрагивает протокол, а не конкретное оборудование, поэтому производители устройств должны внедрять исправления на уровне реализации. В качестве временной меры рекомендуется отключать опцию 1 авторизации подключений там, где это возможно, и ограничивать сетевой доступ к устройствам KNX отдельными VLAN или межсетевыми экранами. Для CVE-2026-46817 компания Oracle выпустила критический патч в рамках регулярного цикла обновлений Critical Patch Update (CPU). Администраторам следует незамедлительно установить последнюю версию Oracle E-Business Suite, доступную в поддерживаемых релизах, либо применить корректирующие заплаты, указанные в бюллетене Oracle за май 2026 года.

Ситуация с добавлением обеих уязвимостей в каталог KEV демонстрирует растущую тенденцию: злоумышленники всё чаще нацеливаются как на промышленные протоколы автоматизации, ранее считавшиеся изолированными, так и на корпоративные финансовые системы. В случае KNX реальные атаки могут парализовать работу целых объектов - от офисных зданий до производственных цехов. В случае Oracle атаки напрямую угрожают финансам компаний. Комбинированное включение двух столь разных по профилю угроз в один список указывает на то, что защита должна охватывать как традиционную ИТ-инфраструктуру, так и системы операционных технологий (OT). Организациям стоит пересмотреть политики управления исправлениями и усилить мониторинг сетевого трафика для раннего обнаружения попыток эксплуатации.

Ссылки

Комментарии: 0