В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость. Она затрагивает программируемый логический контроллер (ПЛК) NLcon-CE-485-C от компании «НИЛ АП». Проблема связана с недостатками процедуры авторизации в сервисе Codesys v2, который является ключевой средой исполнения для этого оборудования. Согласно данным BDU, эксплуатация этой уязвимости может позволить злоумышленнику, действующему удаленно, получить полный контроль над устройством без необходимости прохождения проверки подлинности.
Детали уязвимости
Уязвимость получила идентификатор BDU:2025-16428. Её тип классифицирован как «неправильная авторизация» (CWE-863), что указывает на фундаментальные ошибки в механизмах проверки прав доступа. Оценка по методологии CVSS присваивает проблеме максимально высокие баллы. Например, базовая оценка CVSS 2.0 составляет 10.0, а по версии CVSS 3.1 - 9.8. Оба показателя соответствуют критическому уровню опасности. Векторы атаки (AV:N/AC:L/Au:N для CVSS 2.0 и AV:N/AC:L/PR:N/UI:N/S:U для CVSS 3.1) подчёркивают, что для успешной атаки не требуется ни сложных условий, ни предварительной аутентификации злоумышленника.
Основным объектом атаки является сервис Codesys v2 версии 2.3, работающий на контроллере. Этот сервис использует для сетевого взаимодействия порт 1200/TCP. Следовательно, любой злоумышленник, способный отправить специально сформированный вредоносный (malicious) запрос на этот порт, потенциально может обойти механизмы авторизации. В результате он получает возможность выполнять произвольные команды в среде исполнения. Это открывает путь для полного перехвата управления устройством, модификации логики работы, кражи данных или дестабилизации всего технологического процесса, к которому подключён ПЛК.
Производитель, ООО «НИЛ АП», уже подтвердил наличие уязвимости. Однако, согласно опубликованной информации, способ устранения относится к категории организационных мер. Это означает, что на данный момент не выпущено патча или обновления прошивки, напрямую исправляющего ошибку в коде. Вместо этого компания рекомендует перейти на другие модели контроллеров - серии NLScon-RSB или NLScon-A40. Данное обстоятельство может создать серьёзные сложности для эксплуатантов, особенно если замена парка оборудования связана с длительными сроками и высокими затратами.
Эксперты по кибербезопасности рекомендуют немедленно принять комплекс защитных мер. Прежде всего, необходимо обеспечить строгую сетевую сегментацию и полностью исключить доступ к порту 1200/TCP контроллеров NLcon-CE-485-C из внешних сетей, включая интернет. Кроме того, критически важно настроить правила межсетевых экранов для ограничения входящих подключений к этому порту даже из внутренней корпоративной сети, следуя принципу минимально необходимых привилегий. Также рекомендуется усилить мониторинг сетевой активности, обращая особое внимание на попытки неавторизованных подключений к промышленным активам.
В настоящее время данные о наличии публичных эксплойтов, реальных инцидентах или дополнительных ссылках на источники уточняются. Тем не менее, высокая степень опасности и простота эксплуатации делают эту уязвимость привлекательной мишенью для злоумышленников. Особенно актуальна угроза для групп, специализирующихся на атаках на промышленные объекты (APT, Advanced Persistent Threat). Они могут использовать эту уязвимость для получения первоначального доступа к сети предприятия с целью последующего продвижения вглубь и достижения устойчивости (persistence) в системе.
Таким образом, уязвимость в ПЛК NLcon-CE-485-C представляет собой значительный риск для объектов критической инфраструктуры и промышленных предприятий. Отсутствие программного исправления перекладывает основную нагрузку по защите на администраторов и специалистов по ИБ. Им необходимо оперативно оценить наличие уязвимых устройств в своих сетях и принять все возможные компенсирующие меры. В противном случае оставшиеся без защиты системы могут стать лёгкой добычей для киберпреступников, что потенциально способно привести к серьёзным производственным и финансовым потерям.
