В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая широко используемые программируемые логические контроллеры (ПЛК) компании Schneider Electric. Идентифицированная под номером BDU:2026-01897 и соответствующая идентификатору CVE-2026-0667, эта уязвимость представляет серьезную угрозу для конфиденциальности, целостности и доступности данных в системах автоматизированного управления технологическими процессами (АСУ ТП).
Детали уязвимости
Проблема кроется в микропрограммном обеспечении (firmware) семейства контроллеров SCADAPack. Эксперты классифицировали ее как "недостаточную проверку необычных или исключительных состояний" (CWE-754). Проще говоря, при определенных нестандартных условиях устройство может обработать данные некорректно, что открывает путь для атаки. Злоумышленник, действующий удаленно и не имеющий легитимных прав доступа, может воспользоваться этой ошибкой.
Уязвимость затрагивает следующие продукты Schneider Electric: контроллеры SCADAPack 47xi, SCADAPack 47x и SCADAPack 57x с микропрограммой версий ниже 9.12.2, а также программное обеспечение SCADAPack RemoteConnect версий ранее R3.4.2. Эти устройства часто применяются в критически важных отраслях, таких как энергетика, водоснабжение и транспорт, где их компрометация способна привести к серьезным операционным и физическим последствиям.
Уровень опасности уязвимости оценен как критический по всем основным версиям системы оценки CVSS. Например, базовая оценка по CVSS 3.1 достигает 9.8 баллов из 10. Такие высокие показатели обусловлены тем, что для эксплуатации уязвимости не требуются аутентификация или взаимодействие с пользователем, а ее последствия могут быть максимально тяжелыми. Удаленный злоумышленник теоретически может получить полный контроль над устройством, что включает чтение конфиденциальных данных, их модификацию и даже вывод оборудования из строя.
Основным способом атаки, согласно описанию, является "манипулирование сроками и состоянием". Этот метод предполагает отправку специально сконструированных запросов или создание условий, которые приводят контроллер в нештатный режим работы, обходящий встроенные механизмы защиты. В результате злоумышленник может выполнить произвольный вредоносный код или добиться устойчивости (persistence) в системе для долгосрочного шпионажа или диверсии.
Производитель, компания Schneider Electric, уже подтвердил наличие уязвимости и выпустил обновления безопасности, полностью ее устраняющие. Соответственно, текущий статус уязвимости в BDU - "устранена". Однако ее критический характер делает установку патчей задачей первостепенной важности для всех операторов. Информация о наличии публичных эксплойтов, позволяющих использовать эту уязвимость на практике, на данный момент уточняется, что не отменяет необходимости срочных мер.
Для устранения риска специалистам по кибербезопасности и инженерам АСУ ТП настоятельно рекомендуется немедленно обратиться к официальному уведомлению безопасности производителя (SEVD-2026-041-01). В этом документе содержатся детальные инструкции по обновлению микропрограммного обеспечения уязвимых контроллеров и сопутствующего программного обеспечения RemoteConnect. Обычно процесс устранения сводится к установке актуальных версий прошивок, которые закрывают выявленную логическую ошибку.
Данный инцидент в очередной раз подчеркивает важность регулярного обновления программного обеспечения даже на изолированных промышленных объектах. Промышленные системы, долгое время считавшиеся защищенными благодаря своей физической изоляции, все чаще становятся мишенью для сложных кибератак, в том числе со стороны групп продвинутой постоянной угрозы (APT). Регулярный мониторинг источников, таких как BDU и базы данных CVE, а также своевременное применение обновлений должны быть неотъемлемой частью жизненного цикла любого критического актива.
Эксперты в области промышленной кибербезопасности отмечают, что уязвимости, связанные с обработкой исключительных состояний, являются распространенным классом ошибок во встроенном программном обеспечении. Следовательно, организациям стоит рассмотреть дополнительные меры защиты, такие как сегментация сетей, развертывание систем обнаружения вторжений (IDS) для промышленных протоколов и строгий контроль удаленного доступа к контроллерам. В конечном счете, безопасность АСУ ТП требует комплексного подхода, сочетающего своевременное обновление ПО с грамотной архитектурной безопасностью и постоянным мониторингом угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-01897
- https://www.cve.org/CVERecord?id=CVE-2026-0667
- https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-041-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-041-01.pdf
