Специалисты по кибербезопасности предупреждают о критической уязвимости в системе централизованного управления сетевыми устройствами Advantech iView. Проблема, получившая идентификаторы BDU:2025-14782 и CVE-2022-50592, связана с внедрением SQL (SQL injection) и отсутствием аутентификации для критичной функции. Уязвимость позволяет удаленному злоумышленнику без каких-либо учетных данных выполнить произвольный код на сервере управления. Программное обеспечение iView используется для мониторинга и управления сетевым оборудованием, включая коммутаторы и маршрутизаторы, что делает его привлекательной целью для атакующих.
Детали уязвимости
Эксперты установили, что уязвимость затрагивает версии Advantech iView вплоть до 5.7.04 build 6425. Проблема кроется в обработке параметра "getInventoryReportData". Система не принимает достаточных мер для защиты структуры SQL-запроса, что открывает путь для классических атак типа SQL-инъекции. При этом для доступа к уязвимой функции не требуется аутентификация. Следовательно, любой злоумышленник, способный отправить сетевой запрос к интерфейсу управления, может воспользоваться этой слабостью.
Уровень опасности уязвимости оценен как критический по всем основным метрикам. Базовый балл CVSS 2.0 достигает максимального значения 10.0. Более современные версии CVSS 3.x и 4.0 также показывают крайне высокие показатели - 9.8 и 9.3 соответственно. Это означает, что для эксплуатации не требуются специальные условия, а последствия успешной атаки могут быть катастрофическими. Злоумышленник может получить полный контроль над системой iView, что потенциально ведет к компрометации всей управляемой сетевой инфраструктуры, утечке конфиденциальных данных или установке вредоносного ПО (malware), такого как программы-вымогатели (ransomware).
Важно отметить, что уязвимость была выявлена исследователями еще 13 января 2022 года. Производитель, компания Advantech Co., Ltd., подтвердил проблему и выпустил обновление для ее устранения. В настоящий момент статус уязвимости определен как "устраненная". Специалисты настоятельно рекомендуют всем администраторам, использующим данное ПО, немедленно проверить версию своего продукта и обновить его до актуальной. Ссылка на рекомендации и исправления от производителя указана в базе данных уязвимостей. Отсутствие своевременного обновления оставляет сеть под угрозой.
Хотя публичных сведений о наличии готового эксплойта в открытом доступе на момент публикации новости нет, сам факт существования такой критической уязвимости привлекает внимание киберпреступников. Инструменты для автоматического сканирования сетей на наличие подобных слабостей могут появиться быстро. Уязвимости класса SQL-инъекции хорошо изучены и часто используются в реальных атаках. Сочетание этой инъекции с отсутствием проверки подлинности создает идеальные условия для автоматизированных атак.
Способом устранения является исключительно установка патча от производителя. Не следует полагаться на обходные пути или сетевое экранирование, так как атака может осуществляться из внутренней сети. Главная рекомендация для всех организаций - безотлагательное применение обновления. Постоянное поддержание программного обеспечения в актуальном состоянии остается краеугольным камнем эффективной стратегии кибербезопасности. Это особенно важно для таких критических компонентов, как системы централизованного управления, которые часто становятся первоначальной точкой входа для продвинутых угроз (APT).
Ссылки
- https://bdu.fstec.ru/vul/2025-14782
- https://www.cve.org/CVERecord?id=CVE-2022-50592
- https://www.advantech.tw/support/details/firmware?id=1-HIPU-183
- https://blog.exodusintel.com/2022/03/01/advantech-iview-getinventoryreportdata-parameter-sql-injection-information-disclosure/
- https://www.vulncheck.com/advisories/advantech-iview-getinventoryreportdata-parameter-sqli-rce
- https://www.tenable.com/cve/CVE-2022-50592
