В сфере кибербезопасности промышленных систем управления (АСУ ТП) выявлена новая серьёзная угроза. Согласно недавно опубликованной записи в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-00491, в популярном программном обеспечении для онлайн-моделирования и оптимизации процессов AVEVA Process Optimization обнаружена критическая уязвимость. Эта уязвимость, получившая идентификатор CVE-2025-61937, оценивается по максимальному баллу во всех основных версиях системы оценки CVSS и позволяет злоумышленникам получить полный контроль над затронутыми системами.
Детали уязвимости
Уязвимость затрагивает службу TAO ImR и связана с некорректным управлением генерацией кода (CWE-94). Если говорить проще, ошибка в механизме создания и обработки кода позволяет удалённому атакующему внедрить и выполнить произвольные команды. Поскольку оценка CVSS 3.1 достигает 9.8 баллов из 10, а CVSS 4.0 - максимальных 10 баллов, эксперты единодушно присваивают ей критический уровень опасности. Соответственно, успешная эксплуатация может привести к полной компрометации системы, где злоумышленник получает возможность не только красть конфиденциальные данные, но и нарушать технологические процессы.
Затронутыми являются все версии программного обеспечения AVEVA Process Optimization вплоть до 2024.1 включительно. Это ПО широко используется на промышленных предприятиях для моделирования, анализа и повышения эффективности производственных циклов в таких отраслях, как нефтегазовая, химическая и энергетика. Следовательно, потенциальная атака представляет прямую угрозу для непрерывности критически важных процессов. В настоящий момент точные данные об операционных системах и аппаратных платформах уточняются, однако сам вектор атаки через сеть (AV:N) и отсутствие необходимости в аутентификации (PR:N) делают угрозу особенно масштабной.
Производитель, компания AVEVA Software, LLC, уже подтвердил наличие проблемы и выпустил официальный бюллетень безопасности. Согласно документу, уязвимость полностью устранена в обновлённых версиях программного обеспечения. Таким образом, основным и единственным рекомендованным способом защиты является немедленное обновление до версии, следующей за 2024.1. Вендор предоставил подробные инструкции по устранению рисков в своём бюллетене, ссылка на который указана в записи BDU.
На текущий момент общедоступные эксплойты, использующие данную уязвимость, не обнаружены, однако этот статус может измениться в любой момент. Обычно после публикации подробностей о критических уязвимостях в столь распространённом ПО активизируются не только исследователи безопасности, но и злоумышленники, в том числе группы, занимающиеся разработкой целевого вредоносного ПО. Специалисты по безопасности особенно подчёркивают риски, связанные с возможностью удалённого выполнения кода. Эта возможность часто используется для развёртывания второго этапа атаки (полезной нагрузки), которым может быть шпионское ПО, программы-вымогатели (ransomware) или инструменты для обеспечения устойчивости (persistence) в системе.
Руководителям и ИТ-специалистам промышленных предприятий настоятельно рекомендуется безотлагательно провести аудит своих активов на предмет использования уязвимых версий AVEVA Process Optimization. Далее необходимо спланировать и провести процедуру обновления в соответствии с рекомендациями вендора, учитывая возможные ограничения в промышленных средах. В качестве временной меры, пока обновление не может быть применено, следует рассмотреть возможность изоляции систем, работающих под управлением данного ПО, от непроверенных сетей, и усилить мониторинг сетевой активности с помощью систем обнаружения и предотвращения вторжений (IDS/IPS).
В заключение, обнаружение уязвимости CVE-2025-61937 служит очередным напоминанием о критической важности своевременного управления обновлениями в сегменте промышленной автоматизации. Постоянный мониторинг источников, таких как BDU и бюллетени вендоров, должен быть неотъемлемой частью стратегии кибербезопасности любого современного промышленного предприятия. Оперативное применение исправлений остаётся самым эффективным способом защиты от подобных угроз, которые потенциально могут привести не только к финансовым убыткам, но и к реальным физическим последствиям.
Ссылки
- https://bdu.fstec.ru/vul/2026-00491
- https://www.cve.org/CVERecord?id=CVE-2025-61937
- https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2026-001.pdf
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-01
- https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-015-01.json
