В Банке данных угроз безопасности информации (BDU) появилась новая запись, обозначенная номером BDU:2026-00777. Она описывает критическую уязвимость в централизованной системе управления Multi-Stack Controller (MSC) от компании Nuvation Energy. Данное оборудование широко применяется для мониторинга и управления системами накопления энергии, включая промышленные и коммерческие объекты. Уязвимость связана с обходом аутентификации и представляет высокий риск для критически важных инфраструктур.
Детали уязвимости
Уязвимость затрагивает микропрограммный код контроллера MSC в версиях с 2.3.8 по 2.5.1 включительно. Она классифицируется как CWE-288, то есть обход аутентификации посредством использования альтернативного пути или канала. Проще говоря, злоумышленник может получить несанкционированный доступ к системе, минуя стандартные процедуры проверки подлинности. Это позволяет удаленно обойти существующие механизмы безопасности без необходимости знания учетных данных.
Оценка по методологии CVSS подчеркивает исключительную серьезность проблемы. Базовая оценка CVSS 2.0 составляет максимальные 10 баллов. Более современная версия, CVSS 3.1, присваивает уязвимости 9,8 балла. Наконец, по актуальной методологии CVSS 4.0 оценка также достигает высшего значения в 10 баллов. Все три оценки присваивают уязвимости критический уровень опасности. Такие высокие баллы обусловлены тем, что для эксплуатации уязвимости не требуется ни предварительных привилегий в системе, ни взаимодействия с пользователем, а последствия затрагивают все аспекты безопасности.
В частности, успешная атака может привести к полной компрометации контроллера. Злоумышленник потенциально получает возможность читать и изменять любые конфигурации, останавливать или перенастраивать работу систем накопления энергии. Более того, он может загрузить вредоносную полезную нагрузку для установки постоянного присутствия (persistence) в системе. Это открывает путь для проведения целенаправленных кибератак на объекты энергетики, включая саботаж и шпионаж. Учитывая роль систем накопления энергии в стабилизации современных сетей, последствия могут быть масштабными.
Производитель, Nuvation Energy, уже подтвердил наличие уязвимости и выпустил исправления. Соответствующая информация и рекомендации опубликованы на портале компании Dragos в консультативном бюллетене, связанном с идентификатором CVE-2025-64121. Основной и единственный рекомендуемый способ устранения риска - немедленное обновление микропрограммного обеспечения MSC до версии, в которой данная проблема исправлена. Производитель отмечает, что уязвимость уже устранена в актуальных релизах.
Тем временем, текущий статус относительно наличия активного эксплойта остается на уточнении. Однако столь высокие оценки CVSS традиционно привлекают внимание как исследователей безопасности, так и злоумышленников, в том числе групп продвинутых постоянных угроз (APT). Следовательно, окно для применения заплаток является критически важным для операторов.
Эксперты в области промышленной кибербезопасности подчеркивают, что подобные инциденты служат важным напоминанием. Во-первых, они демонстрируют растущий интерес злоумышленников к операционным технологиям и системам управления энергетикой. Во-вторых, они актуализируют необходимость сегментации сетей, мониторинга нестандартного трафика и своевременного применения обновлений для всего парка устройств, даже тех, что работают в, казалось бы, изолированных сегментах инфраструктуры.
Таким образом, обнаруженная уязвимость в контроллерах Nuvation Energy MSC представляет собой значительную угрозу. Ее критический уровень опасности требует безотлагательных действий от всех организаций, использующих данное оборудование. Операторам критической инфраструктуры необходимо срочно проверить версии своего программного обеспечения и применить исправления в соответствии с указаниями производителя. Это позволит минимизировать риски масштабных киберинцидентов, способных повлиять на надежность энергоснабжения.
Ссылки
- https://bdu.fstec.ru/vul/2026-00777
- https://www.cve.org/CVERecord?id=CVE-2025-64121
- https://www.dragos.com/community/advisories/CVE-2025-64119
