В Банке данных угроз (BDU) появилась новая критическая запись под идентификатором BDU:2026-00331. Эта запись описывает серьезную уязвимость в популярной платформе для создания систем домашней автоматизации Lares 4.0 от компании Ksenia Security S.p.A. Проблема связана с использованием жестко закодированных учетных данных, что является грубой архитектурной ошибкой безопасности.
Детали уязвимости
Уязвимость затрагивает версию программного обеспечения 1.6. Согласно классификации Common Weakness Enumeration, ошибка относится к категории CWE-798, что означает использование жестко заданных логинов и паролей в коде продукта. Это один из самых опасных классов уязвимостей, поскольку такие «учетные данные по умолчанию» часто известны злоумышленникам и легко находятся в открытом доступе.
Оценка по методологии CVSS во всех актуальных версиях подтверждает критический уровень угрозы. В частности, базовая оценка CVSS 3.1 достигает 9.8 баллов из 10 возможных. Такой высокий балл обусловлен тем, что для эксплуатации уязвимости не требуется ни аутентификация злоумышленника, ни взаимодействие с пользователем. Проще говоря, атакующий, действующий удаленно через сеть, может напрямую обратиться к системе.
Эксплуатация данной уязвимости открывает злоумышленникам путь к полному контролю над системой «Умный Дом». Злоумышленник может получить права администратора, что позволит ему не только следить за происходящим в доме, но и манипулировать подключенными устройствами. Например, он может отключить сигнализацию, открыть «умные» замки или вмешаться в работу климатических систем. Более того, возможна атака на отказ в обслуживании, которая полностью выведет систему из строя.
Важно отметить, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Это значительно повышает риски, так как инструмент для атаки может использовать даже не очень опытный злоумышленник. Уязвимость уже подтверждена производителем, Ksenia Security S.p.A., однако информация о доступном обновлении или точном способе устранения проблемы на данный момент уточняется.
Пока официальный патч не выпущен, эксперты по кибербезопасности рекомендуют владельцам систем Lares 4.0 принять срочные компенсирующие меры. Прежде всего, необходимо полностью ограничить доступ к системе управления «Умным Домом» из внешних сетей, включая интернет. Этого можно добиться с помощью настройки межсетевых экранов, которые должны блокировать любые входящие подключения к интерфейсу управления Lares извне локальной сети. Лучшей практикой является размещение таких критичных систем в изолированном сетевом сегменте.
Данный инцидент в очередной раз подчеркивает важность базовых принципов безопасности при разработке IoT-устройств и платформ. Жесткое кодирование учетных данных - это архаичная и крайне опасная практика. Между тем, уязвимости такого класса регулярно обнаруживаются в оборудовании для «умного дома», что превращает удобные гаджеты в потенциальные точки входа для киберпреступников. Пользователям следует тщательно исследовать репутацию производителя в вопросах безопасности перед покупкой и немедленно применять все обновления, как только они становятся доступны.
Компания Ksenia Security S.p.A. уже проинформирована об уязвимости, которой присвоен идентификатор CVE-2025-15111. Сообщество специалистов ожидает скорейшего выпуска исправления. Владельцам уязвимых систем настоятельно рекомендуется следить за официальным сайтом производителя на предмет выхода патча и, до его применения, строго следовать рекомендациям по ограничению сетевого доступа.
Ссылки
- https://bdu.fstec.ru/vul/2026-00331
- https://www.cve.org/CVERecord?id=CVE-2025-15111
- https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5927.php
- https://packetstorm.news/files/id/190180/
- https://www.vulncheck.com/advisories/ksenia-security-lares-home-automation-default-credentials-vulnerability
- https://www.kseniasecurity.com/
