В системе дорожных блоков связи RIS-9160 и RIS-9260 компании Kapsch TrafficCom AG обнаружена критическая уязвимость, позволяющая злоумышленникам удаленно выполнять произвольный код и повышать привилегии. Идентификатор уязвимости в базе данных уязвимостей (BDU) - 2025-14396, также ей присвоен идентификатор CVE-2025-25734.
Детали уязвимости
Уязвимость затрагивает микропрограммное обеспечение дорожных инфраструктурных станций (Roadside Unit, RSU), которые являются ключевым компонентом интеллектуальных транспортных систем. Проблема классифицируется как "аппаратные средства контроля безопасности с отсутствующей защитой от блокировки" согласно общепринятой классификацииweakness enumeration (CWE).
Особую опасность представляет отсутствие аутентификации для критически важной функции в устройствах Kapsch TrafficCom. Эксперты оценивают базовый вектор атаки как CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C с максимальным баллом 10.0, что соответствует критическому уровню опасности. По шкале CVSS 3.0 уязвимость получает оценку 9.8 баллов с вектором AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Под угрозой находятся несколько версий программного обеспечения. Конкретно, версии 3.2.0.829.23, 3.8.0.1119.42 и 4.6.0.1211.28 как для модели RIS-9160 RSU LEO, так и для RIS-9260 RSU LEO. Все эти устройства относятся к категории программно-аппаратных средств.
По данным исследователей, эксплойт для использования уязвимости уже существует в открытом доступе. Основной способ эксплуатации связан с несанкционированным сбором информации. При этом злоумышленники могут действовать удаленно без необходимости аутентификации.
Специалисты по кибербезопасности рекомендуют немедленно применить компенсирующие меры защиты. В первую очередь, необходимо использовать межсетевые экраны для ограничения удаленного доступа к устройствам. Также критически важно ограничить доступ из внешних сетей, включая интернет.
Дополнительные меры включают отключение или ограничение функции удаленного управления. В частности, эксперты советуют запретить использование незащищенных протоколов, таких как HTTP или Telnet. Эффективной мерой считается сегментирование сети для изоляции уязвимых устройств.
Для мониторинга потенциальных атак рекомендуется использовать системы класса SIEM (Security Information and Event Management). Эти системы позволяют включать в правила корреляции индикаторы компрометации (Indicators of Compromise, IOC).
Производитель Kapsch TrafficCom AG пока не предоставил информацию о способе устранения уязвимости. Статус разработки заплаток остается неясным. Однако учитывая критичность проблемы, владельцам затронутого оборудования следует ожидать скорейшего выпуска обновлений.
Дорожные блоки связи играют crucial роль в современных интеллектуальных транспортных системах. Они обеспечивают взаимодействие между транспортными средствами и дорожной инфраструктурой. Компрометация таких систем может привести к серьезным последствиям для безопасности дорожного движения.
Исследователи безопасности отмечают, что уязвимости в критической инфраструктуре требуют особого внимания. Распространение эксплойта в открытом доступе значительно увеличивает риски реальных атак. При этом злоумышленники могут использовать различные техники persistence для сохранения доступа к compromised системам.
Важно понимать, что успешная эксплуатация уязвимости позволяет выполнить произвольный код. Это дает атакующему практически полный контроль над устройством. В результате возможно нарушение работы всей системы интеллектуального транспорта.
Пока производитель работает над исправлением, организациям следует усилить мониторинг сетевой активности. Особое внимание нужно уделять трафику, направленному на дорожные блоки связи. Любые подозрительные соединения должны немедленно расследоваться.
Ситуация демонстрирует важность регулярных обновлений прошивок в критической инфраструктуре. Также необходимо проводить периодические аудиты безопасности всех подключенных устройств. Это особенно актуально для систем, которые изначально не предназначены для работы в враждебных средах.
Специалисты продолжают изучать дополнительные аспекты уязвимости. Возможно, будут обнаружены связанные векторы атаки или дополнительные уязвимые компоненты. На данный момент рекомендуется следовать всем предложенным компенсирующим мерам и ожидать официального исправления от производителя.
Ссылки
- https://bdu.fstec.ru/vul/2025-14396
- https://www.cve.org/CVERecord?id=CVE-2025-25734
- https://phrack.org/issues/72/16_md
- https://www.kapsch.net/_Resources/Persistent/3d251a8445e0bf50093903ad70b3dbed34dec7e7/KTC-CVS_RIS-9260_DataSheet.pdf
- https://www.kapsch.net/_Resources/Persistent/55fb8d0fb279262809eac88d457894db1b3efcd5/Kapsch_RIS-9160_Datasheet_EN.pdf
- https://www.kapsch.net/en/press/releases/ktc-20200813-pr-en
