В сентябре 2025 года обнаружена критическая уязвимость в системе безопасности шлюзов Daikin Security Gateway. Эксперты присвоили ей идентификатор BDU:2025-14620 и CVE-2025-10127. Проблема связана с недостатками механизма восстановления пароля. Соответственно, злоумышленники могут получить полный контроль над системами климат-контроля.
Детали узвимости
Уязвимость затрагивает шлюзы безопасности Daikin Security Gateway версий App: 100 и Frm: 214. Производителем уязвимого оборудования является компания Daikin Europe NV. Согласно классификации CWE, проблема относится к категории слабых механизмов восстановления забытых паролей (CWE-640).
Оценка по различным версиям системы CVSS демонстрирует высокую опасность. В частности, базовая оценка CVSS 2.0 составляет максимальные 10 баллов. Версия CVSS 3.0 показывает 9.8 баллов. При этом оценка по CVSS 4.0 достигает 8.8 баллов. Все эти показатели подтверждают критический уровень угрозы.
Основной риск заключается в возможности удаленного несанкционированного доступа. Злоумышленник может обойти аутентификацию без специальных привилегий. Более того, атака не требует взаимодействия с пользователем. Следовательно, эксплуатация уязвимости может оставаться незамеченной продолжительное время.
Уязвимость относится к классу манипулирования сроками и состоянием. Это означает, что злоумышленники могут вмешиваться в процессы восстановления доступа. Например, они могут обходить временные ограничения или изменять параметры сессий. В результате появляется возможность сброса паролей администраторов.
Потенциальные последствия включают полную компрометацию систем климат-контроля. Успешная атака позволяет получить конфиденциальные данные. Кроме того, злоумышленники могут изменять настройки оборудования. В худшем случае возможен вывод систем из строя.
Эксперты рекомендуют немедленно принять компенсирующие меры. Во-первых, следует использовать межсетевые экраны уровня веб-приложений. Во-вторых, необходимо ограничить доступ из внешних сетей. В-третьих, рекомендуется организовать VPN-подключения для удаленного доступа.
Производитель пока не предоставил информацию о способах устранения уязвимости. Также отсутствуют данные о доступности обновлений. Статус разработки патча остается неопределенным. Однако важно отметить, что уязвимость уже зафиксирована в международных базах.
Американское агентство кибербезопасности CISA опубликовало предупреждение ICSA-25-254-10. Это свидетельствует о международном признании серьезности угрозы. Соответственно, владельцам оборудования Daikin следует проявить особую бдительность.
На текущий момент информация о наличии эксплойтов уточняется. Тем не менее, высокая сложность эксплуатации не должна вводить в заблуждение. Опытные злоумышленники могут разработать инструменты для атаки. Поэтому откладывать меры защиты крайне рискованно.
Системы климат-контроля часто интегрированы в общую IT-инфраструктуру. Следовательно, компрометация шлюза безопасности может создать угрозу для смежных систем. В частности, возможно распространение атаки на сети управления зданием.
Специалисты рекомендуют сегментировать сети с оборудованием Daikin. Дополнительно следует настроить мониторинг подозрительной активности. Особое внимание стоит уделить попыткам сброса паролей. Регулярный аудит журналов доступа поможет выявить аномалии.
Владельцам уязвимого оборудования следует следить за обновлениями от производителя. Как только патч станет доступен, его необходимо установить незамедлительно. До этого момента следует строго соблюдать компенсирующие меры.
Проблема безопасности механизмов восстановления пароля не нова. Однако ее обнаружение в промышленном оборудовании вызывает особую озабоченность. Системы климат-контроля критически важны для многих организаций. Поэтому их защита требует повышенного внимания.
Даже после устранения уязвимости рекомендуется пересмотреть политики паролей. Например, стоит внедрить многофакторную аутентификацию. Дополнительно полезно регулярно менять учетные данные администраторов.
Обнаружение уязвимости подчеркивает важность регулярного аудита безопасности. Проактивный подход позволяет выявлять угрозы до их эксплуатации. Следовательно, организациям следует инвестировать в тестирование на проникновение.
В целом, ситуация с уязвимостью в шлюзах Daikin демонстрирует растущие риски для IoT-устройств. Производителям необходимо усиливать меры безопасности на этапе разработки. Потребителям же следует тщательнее оценивать защищенность приобретаемого оборудования.
Ссылки
- https://bdu.fstec.ru/vul/2025-14620
- https://www.cve.org/CVERecord?id=CVE-2025-10127
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-10
- https://www.daikin.eu/en_us/customers/support.html
