Dыявлена новая критическая уязвимость, затрагивающая популярную платформу для управления видео и данными. Речь идет о системе Acropolis от компании Airship AI. Уязвимость, получившая идентификаторы BDU:2025-14815 и CVE-2025-35042, классифицируется как использование учетных данных по умолчанию (CWE-1392). Это означает, что в некоторых версиях программного обеспечения могли оставаться стандартные логины и пароли, известные злоумышленникам.
Детали уязвимости
Суть проблемы заключается в архитектурной ошибке. Если система развернута с настройками по умолчанию, удаленный злоумышленник может использовать известные учетные данные для входа в систему с правами администратора. Следовательно, это предоставляет ему полный контроль над платформой Acropolis. Под угрозой находятся версии программного обеспечения до 10.2.35, 11.0.21 и 11.1.9. Эксплуатация данной уязвимости не требует от атакующего специальных условий или прав доступа, что значительно упрощает атаку.
Уровень опасности этой уязвимости оценивается как критический по всем основным метрикам. Базовый балл CVSS 2.0 достигает максимального значения 10.0. Более современные оценки CVSS 3.1 и 4.0 также указывают на высокий риск, присваивая баллы 9.8 и 9.3 соответственно. Такие высокие оценки обусловлены полным воздействием на конфиденциальность, целостность и доступность системы. Другими словами, злоумышленник может не только просматривать все данные, но и изменять их, а также останавливать работу платформы.
Производитель, компания Airship AI, уже подтвердил наличие уязвимости и выпустил исправления. Для устранения риска необходимо обновить программное обеспечение до актуальных версий: 10.2.35, 11.0.21, 11.1.9 или выше. Соответствующие патчи и рекомендации опубликованы в официальном бюллетене. Специалисты настоятельно рекомендуют администраторам немедленно проверить используемые версии Acropolis и применить обновления. Кроме того, обязательной практикой должно стать изменение всех паролей по умолчанию при первичной настройке любых корпоративных систем.
На текущий момент информация о наличии активных эксплойтов (готовых программ для эксплуатации уязвимости) уточняется. Однако, учитывая простоту потенциальной атаки через злоупотребление функционалом входа, можно предположить, что такие инструменты могут быстро появиться. Поэтому задержка с установкой обновлений недопустима. Особенно это касается организаций, использующих Acropolis для работы с конфиденциальными видеоданными, например, в системах физической безопасности или умных городах.
Использование стандартных учетных данных остается одной из самых распространенных и опасных ошибок. Между тем, подобные уязвимости часто становятся первоначальной точкой входа для сложных цепочек атак, включая установку вредоносного ПО или программ-вымогателей. Регулярное обновление ПО и строгая политика управления учетными записями являются фундаментальной защитой от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2025-14815
- https://www.cve.org/CVERecord?id=CVE-2025-35042
- https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-25-265-01.json
