В системах управления геопространственными данными обнаружена критическая уязвимость, связанная с недостатками механизма аутентификации. Речь идет о платформе GE Vernova Smallworld, используемой в автоматизированных системах управления технологическими процессами (АСУ ТП). Идентификатор уязвимости в базе данных уязвимостей (BDU) - 2025-14066, также ей присвоен идентификатор CVE-2025-3222.
Детали уязвимости
Уязвимость затрагивает все версии Smallworld от 3.0.0 до 5.3.4, а также версии до 5.3.5. При этом эксплуатация уязвимости позволяет злоумышленнику удаленно обойти механизмы безопасности и выполнить произвольный код на целевой системе. Классификация ошибки соответствует CWE-287 - неправильная аутентификация.
Оценка по методологии CVSS демонстрирует крайне высокий уровень опасности. В частности, базовая оценка CVSS 2.0 составляет максимальные 10 баллов, а по CVSS 3.1 - 9.8 баллов. Согласно вектору CVSS 3.x, для эксплуатации не требуются никакие привилегии (PR:N) или действия пользователя (UI:N). Более того, атака возможна через сеть (AV:N) с низкой сложностью реализации (AC:L). Последствия успешной атаки включают полный компрометацию конфиденциальности, целостности и доступности системы.
Производитель GE Vernova подтвердил наличие уязвимости и выпустил соответствующее обновление безопасности. В официальном документе компания рекомендует пользователям установить актуальные версии программного обеспечения. Однако в текущих условиях важно учитывать дополнительные риски, связанные с установкой обновлений из-за санкционных ограничений.
В качестве компенсирующих мер специалисты по кибербезопасности предлагают несколько решений. Во-первых, целесообразно использовать межсетевые экраны для ограничения удаленного доступа к уязвимому программному обеспечению. Во-вторых, рекомендуется ограничить доступ из внешних сетей, включая интернет. Дополнительно эффективной мерой считается сегментирование сети для изоляции систем, использующих Smallworld. Также специалисты советуют применять виртуальные частные сети (VPN) для организации безопасного удаленного доступа.
Особую озабоченность вызывает тот факт, что уязвимость относится к классу архитектурных. Это означает, что проблема связана с фундаментальными недостатками проектирования системы безопасности. Следовательно, простое исправление кода может оказаться недостаточным для полного устранения всех потенциальных векторов атаки.
На данный момент информация о наличии эксплойтов уточняется. Тем не менее, учитывая критический характер уязвимости и относительную простоту эксплуатации, можно ожидать появления работающих эксплойтов в ближайшее время. Поэтому организациям, использующим уязвимые версии Smallworld, рекомендуется предпринять меры немедленно.
Геопространственные платформы типа Smallworld часто используются в критически важной инфраструктуре, включая энергетику и транспортные системы. Соответственно, успешная атака может привести к серьезным последствиям, включая нарушение работы важных объектов. Особенно опасной представляется возможность удаленного выполнения кода, которая фактически дает злоумышленнику полный контроль над системой.
В заключение стоит отметить, что уязвимости в системах АСУ ТП требуют особого внимания из-за их потенциального воздействия на физические процессы. Регулярное обновление программного обеспечения и реализация дополнительных мер безопасности должны стать стандартной практикой для всех организаций, использующих подобные системы. При этом важно соблюдать баланс между необходимостью закрыть уязвимости и рисками, связанными с установкой обновлений в текущих геополитических условиях.
Ссылки
- https://bdu.fstec.ru/vul/2025-14066
- https://www.cve.org/CVERecord?id=CVE-2025-3222
- https://nvd.nist.gov/vuln/detail/CVE-2025-3222
- https://www.gevernova.com/content/dam/cyber_security/global/en_US/pdfs/SecurityAdvisory_ImproperAuthentication_SWMFS.pdf
