В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в программном обеспечении для управления промышленными системами. Речь идет о продукте Multi-Stack Controller (MSC) от компании Nuvation Energy, который используется для централизованного управления системами накопления энергии (BESS). Уязвимость, получившая идентификатор BDU:2026-00781, классифицируется как критическая и позволяет удаленному злоумышленнику получить полный контроль над устройством.
Детали уязвимости
Уязвимость затрагивает версии микропрограммного кода MSC с 2.3.8 по 2.5.1. Технически она относится к классу CWE-78, известному как "внедрение в команду операционной системы" (OS Command Injection). Эта ошибка возникает, когда приложение некорректно обрабатывает пользовательский ввод, не нейтрализуя специальные символы. Следовательно, атакующий может встроить произвольные команды в системные вызовы, выполняемые ПО. В результате успешной эксплуатации злоумышленник способен выполнить на целевом контроллере любой вредоносный код.
Уровень угрозы подтверждается максимально высокими оценками по всем современным шкалам CVSS. Базовая оценка по CVSS 3.1 составляет 9.9 из 10, что соответствует критическому уровню опасности. Аналогично, оценка по актуальной CVSS 4.0 достигает 9.4. Высокие баллы обусловлены сочетанием нескольких факторов. Во-первых, для атаки не требуется физический доступ к устройству или взаимодействие с пользователем (UI:N). Во-вторых, уязвимость позволяет получить привилегии аутентифицированного пользователя (PR:L), что значительно упрощает начальный этап атаки. В-третьих, последствия носят катастрофический характер: возможен полный компрометация конфиденциальности, целостности и доступности самой системы (C:H/I:H/A:H), а также всех связанных с ней подсистем (S:C).
Подобные уязвимости в оборудовании для критической инфраструктуры, особенно в энергетическом секторе, представляют особую опасность. Контроллер MSC управляет аккумуляторными системами хранения энергии, которые играют ключевую роль в стабилизации современных сетей. Получение контроля над таким устройством открывает путь для целенаправленных атак, направленных на нарушение энергоснабжения, физическое повреждение дорогостоящего оборудования или создание долгосрочного скрытого доступа (persistence) в промышленную сеть для последующего шпионажа или диверсии.
Информация об уязвимости зарегистрирована в международной системе Common Vulnerabilities and Exposures под идентификатором CVE-2025-64120. Производитель Nuvation Energy выпустил обновление, устраняющее проблему. Таким образом, основным и единственным рекомендуемым способом устранения угрозы является немедленное обновление микропрограммного кода MSC до патченной версии. Актуальные рекомендации и детали опубликованы в бюллетене безопасности компании Dragos.
На текущий момент нет подтвержденных данных о существовании публичных эксплойтов. Однако критический характер уязвимости и относительная простота ее эксплуатации создают высокие риски. Обычно такая информация быстро привлекает внимание как исследователей безопасности, так и злоумышленников, включая группы, связанные с APT. Поэтому окно для безопасного обновления может быть крайне ограниченным.
Эксперты по кибербезопасности настоятельно рекомендуют операторам критической инфраструктуры, использующим продукты Nuvation Energy, предпринять срочные меры. Необходимо провести инвентаризацию всех развернутых систем Multi-Stack Controller и убедиться в применении последних обновлений безопасности. Кроме того, в качестве дополнительных мер защиты следует рассмотреть сегментацию сетей, размещение таких критичных устройств за межсетевыми экранами нового поколения (NGFW) и мониторинг сетевого трафика на предмет аномалий с помощью систем обнаружения вторжений (IDS).
Данный инцидент в очередной раз подчеркивает важность регулярного цикла управления уязвимостями в промышленных системах. Проактивный поиск угроз, своевременное применение патчей и строгое следование принципам "безопасности по проекту" становятся не просто рекомендацией, а обязательным условием для обеспечения устойчивости объектов критической инфраструктуры в современном цифровом мире.
Ссылки
- https://bdu.fstec.ru/vul/2026-00781
- https://www.cve.org/CVERecord?id=CVE-2025-64120
- https://www.dragos.com/community/advisories/CVE-2025-64119
