В средствах защиты информационных систем обнаружена критическая уязвимость, затрагивающая программное обеспечение для управления контроллерами доступа. Речь идет о iSTAR Configuration Utility от Sensormatic Electronics, где выявлено переполнение буфера в стеке, позволяющее злоумышленникам выполнять произвольный код на уязвимых системах.
Детали уязвимости
Уязвимость, получившая идентификаторы BDU:2025-14502 и CVE-2025-26382, была подтверждена производителем 24 апреля 2025 года. Согласно данным базы уязвимостей, проблема затрагивает все версии программного обеспечения до 6.9.5 включительно. Эксперты по кибербезопасности присвоили ей критический уровень опасности, что подтверждается высочайшими оценками по всем версиям системы CVSS.
Особую тревогу вызывает тот факт, что для эксплуатации уязвимости не требуются специальные привилегии или взаимодействие с пользователем. Более того, атака может осуществляться удаленно через сеть. Такой сценарий значительно упрощает задачу для потенциальных злоумышленников, поскольку они могут массово сканировать сети на наличие уязвимых систем.
Переполнение буфера в стеке (CWE-121) относится к категории уязвимостей кода, возникающих когда программа записывает данные за пределами выделенной памяти. В результате злоумышленник может манипулировать структурами данных для выполнения произвольного кода. Это, в свою очередь, позволяет получить полный контроль над системой, включая возможность установки вредоносного программного обеспечения, кража конфиденциальной информации или создания точки постоянного доступа (persistence).
Оценки CVSS демонстрируют исключительную серьезность ситуации. В частности, CVSS 2.0 показывает максимальную оценку 10.0, тогда как CVSS 3.0 и 4.0 присваивают 9.8 и 9.3 балла соответственно. Столь высокие значения объясняются полным отсутствием требований к аутентификации, простоте эксплуатации и потенциальному воздействию на конфиденциальность, целостность и доступность систем.
Контекст применения уязвимого программного обеспечения добавляет дополнительные риски. iSTAR Configuration Utility используется для настройки и управления контроллерами систем физической безопасности. Следовательно, успешная атака может компрометировать не только ИТ-инфраструктуру, но и системы контроля доступа в охраняемых зонах.
Производитель уже выпустил обновление, устраняющее проблему. В официальном заявлении Johnson Controls, материнской компании Sensormatic Electronics, рекомендуется немедленно обновить программное обеспечение до версии, следующей за 6.9.5. Соответствующие рекомендации и патчи доступны через центр доверия компании по кибербезопасности.
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) опубликовало рекомендации по данному вопросу под идентификатором ICSA-25-114-05. В документе подчеркивается важность своевременного обновления, особенно для систем, связанных с промышленными системами управления.
Эксперты отмечают, что хотя информация о наличии готовых эксплойтов пока уточняется, высокая критичность уязвимости делает ее привлекательной целью для разработки средств эксплуатации. Следовательно, окно для безопасного обновления может быть ограниченным.
Временной фактор играет критическую роль в подобных ситуациях. Обычно с момента публикации информации об уязвимости до появления первых эксплойтов проходит от нескольких дней до нескольких недель. Однако учитывая критический характер данной проблемы, этот промежуток может сократиться.
Отраслевые специалисты рекомендуют организациям, использующим iSTAR Configuration Utility, не ограничиваться простым обновлением программного обеспечения. Дополнительно следует провести аудит систем на предмет возможных инцидентов безопасности, проанализировать логи на наличие подозрительной активности и обеспечить сегментацию сетей, содержащих системы физической безопасности.
Данный случай в очередной раз демонстрирует важность регулярного обновления программного обеспечения, особенно в критически важных инфраструктурах. Переполнения буфера остаются одной из наиболее опасных категорий уязвимостей, несмотря на десятилетия развития методов защищенного программирования.
Кроме того, инцидент подчеркивает растущее внимание злоумышленников к системам операционных технологий и физической безопасности. Традиционно такие системы считались менее уязвимыми due to их изолированности, однако современные тенденции показывают обратное.
В качестве дополнительных мер защиты эксперты советуют реализовать принцип наименьших привилегий, настроить системы обнаружения вторжений (IDS) и регулярно проводить оценку уязвимостей. Комплексный подход к безопасности позволяет минимизировать риски даже при наличии необнаруженных уязвимостей.
На текущий момент уязвимость устранена производителем, и пользователям остается лишь применить официальные исправления. Своевременные действия администраторов помогут предотвратить потенциально катастрофические последствия для систем безопасности организаций.
