Специалисты по кибербезопасности предупреждают о критической уязвимости, обнаруженной в популярных программируемых логических контроллерах (ПЛК) WAGO серии 750. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00822, связана с некорректной обработкой cookie-файлов веб-интерфейса устройства. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику повысить свои привилегии в системе, что потенциально ведет к полному контролю над оборудованием.
Детали уязвимости
Уязвимость затрагивает конкретную модель ПЛК - WAGO 750-8212 с версией прошивки 03.05.10(17). Проблема классифицирована как CWE-565, что означает зависимость от cookie-файлов без должной проверки их достоверности и целостности. Иными словами, встроенный веб-сервер контроллера, используемый для настройки и мониторинга, слепо доверяет данным из этих файлов. В результате злоумышленник может сформировать специально созданный вредоносный cookie, чтобы обойти аутентификацию и получить права администратора.
Особую тревогу вызывает высокий уровень опасности уязвимости, подтвержденный оценками по системе CVSS. Баллы достигают максимальных значений: 10.0 по CVSS 2.0 и 9.8 по CVSS 3.x. Такие показатели присваиваются редко и указывают на чрезвычайную серьезность угрозы. Высокие оценки обусловлены тем, что для атаки не требуются предварительные привилегии или действия пользователя, а эксплуатация возможна удаленно через сеть. Успешная атака позволяет нарушителю читать конфиденциальные данные, вносить произвольные изменения и нарушать работоспособность контроллера, что в промышленной среде может привести к остановке технологических процессов или физическому ущербу.
Наличие деталей эксплуатации в открытом доступе усугубляет ситуацию. Информация об уязвимости, также известной как CVE-2022-50926, и примеры кода (exploit) опубликованы на ресурсах Exploit-DB и Vulncheck. Следовательно, даже начинающие хакеры могут воспользоваться этой слабостью для проведения атак. Киберпреступные группировки, особенно те, что специализируются на атаках на промышленные объекты, несомненно, добавят этот вектор в свой арсенал.
На данный момент производитель, WAGO Kontakttechnik GmbH & Co. KG, не предоставил официального исправления. Статус уязвимости и способ ее устранения в источниках указаны как уточняемые. Однако эксперты уже предлагают ряд компенсирующих мер, которые могут существенно снизить риск эксплуатации. В первую очередь, необходимо строго ограничить сетевой доступ к веб-интерфейсам ПЛК. Контроллеры не должны быть напрямую доступны из интернета. Доступ к ним следует организовывать только через защищенные сегменты сети, используя межсетевые экраны и виртуальные частные сети (VPN). Эти меры, хотя и не устраняют саму уязвимость, серьезно затрудняют удаленную атаку.
Данный инцидент ярко иллюстрирует растущие риски в сфере операционных технологий. Промышленное оборудование, которое десятилетиями работало в изолированных сетях, теперь все чаще интегрируется с корпоративными IT-системами. Это расширяет поверхность для атак. Уязвимости в таких критически важных компонентах, как ПЛК, становятся лакомой целью для злоумышленников. Поэтому инженерам и специалистам по кибербезопасности на промышленных предприятиях крайне важно регулярно мониторить источники, такие как BDU и базы данных CVE, на предмет новых угроз для используемого оборудования.
В ожидании официального патча от WAGO операторам систем, использующих уязвимые контроллеры 750-8212, рекомендуется немедленно применить все доступные компенсирующие меры. Необходимо проверить настройки сетевой безопасности, убедиться в корректной работе средств защиты периметра и по возможности сегментировать сеть, изолировав оборудование управления технологическими процессами. Кроме того, следует рассмотреть возможность обновления микропрограммного обеспечения до актуальных версий, как только производитель выпустит обновления. В конечном счете, безопасность промышленных объектов зависит от своевременного реагирования на подобные угрозы и реализации комплексного подхода, сочетающего как технические средства защиты, так и грамотные политики управления доступом.
Ссылки
- https://bdu.fstec.ru/vul/2026-00822
- https://www.cve.org/CVERecord?id=CVE-2022-50926
- https://www.exploit-db.com/exploits/50793
- https://www.vulncheck.com/advisories/wago-pfc-g-eth-rs-privilege-escalation
