В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая широкий спектр систем кондиционирования воздуха компании Mitsubishi Electric. Идентификатор уязвимости - BDU:2026-00131, также ей присвоен идентификатор CVE-2025-3699. Проблема связана с полным отсутствием аутентификации для критически важной функции в микропрограммном коде устройств. Как следствие, злоумышленник, действующий удалённо через сеть, может получить полный контроль над климатической системой.
Детали уязвимости
Уязвимость классифицируется как "Отсутствие аутентификации для критичной функции" (CWE-306). Её опасность подтверждается максимально высокими оценками по шкале CVSS. Базовый балл CVSS 2.0 составляет 10.0, а оценка по CVSS 3.1 достигает 9.8. Оба значения соответствуют критическому уровню угрозы. Вектор атаки оценивается как сетевой (AV:N), что не требует от злоумышленника ни специальных условий, ни привилегий, ни взаимодействия с пользователем.
Под угрозой находятся многочисленные модели контроллеров и интерфейсов для кондиционеров Mitsubishi Electric. В частности, уязвимыми являются микропрограммы серий G-150AD, AG-150A, GB-50AD версий до 3.21 включительно. Кроме того, под удар попадают устройства линеек G-50, GB-50, GB-24A, EB-50GU, AE-200, AE-50, EW-50, TE-200, TE-50, TW-50 и интерфейс CMS-RMD-J, использующие прошивки до указанных в бюллетене версий. Полный список включает десятки моделей, что указывает на масштабность проблемы.
Эксплуатация данной уязвимости предоставляет злоумышленнику возможность несанкционированного управления работой кондиционера. Теоретически, атакующий может изменять заданную температуру, произвольно включать и выключать систему, а также манипулировать другими функциями. Подобное вмешательство может привести к нарушению комфортной среды в жилых помещениях, офисах или на промышленных объектах. В более серьёзных сценариях, особенно на чувствительных производствах или в дата-центрах, такой контроль может спровоцировать перегрев оборудования, выход его из строя и, как результат, значительные финансовые потери.
На данный момент информация о наличии публичного эксплойта и официальных исправлениях от производителя уточняется. Однако компания Mitsubishi Electric уже опубликовала уведомление о безопасности, а подробности также содержатся в бюллетене ICS-CERT. Специалисты рекомендуют организациям немедленно принять компенсирующие меры для снижения рисков.
Прежде всего, критически важно изолировать системы управления кондиционированием от прямого доступа из интернета. Эти устройства должны находиться в сегментированной сети с строгим контролем входящего и исходящего трафика. Дополнительно, следует обеспечить физическую защиту контроллеров от несанкционированного доступа. Мониторинг сетевой активности с помощью систем обнаружения вторжений (IDS) может помочь в выявлении подозрительных попыток связи с оборудованием.
Эта ситуация служит очередным напоминанием о растущих рисках в сфере интернета вещей (IoT) и промышленных систем. Оборудование, которое традиционно не рассматривалось как ИТ-актив, часто не обладает должным уровнем встроенной безопасности. Поэтому интеграция таких устройств в корпоративные сети требует тщательной оценки и применения принципа нулевого доверия (Zero Trust). Регулярное обновление микропрограмм и своевременный аудит безопасности становятся обязательными практиками.
Пока производитель работает над выпуском патчей, администраторам и владельцам затронутого оборудования следует ориентироваться на рекомендации регуляторов. Необходимо следить за обновлениями на официальном портале Mitsubishi Electric PSIRT, где будет опубликована информация об исправлениях. Осведомлённость и оперативные действия являются ключом к предотвращению потенциальных инцидентов, связанных с этой критической уязвимостью.
Ссылки
- https://bdu.fstec.ru/vul/2026-00131
- https://www.cve.org/CVERecord?id=CVE-2025-3699
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-177-01
- https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-004_en.pdf
