Компания AVEVA раскрыла информацию о семи критических и высокоуровневых уязвимостях в своём программном обеспечении для оптимизации процессов (ранее известном как ROMeo). Эксплуатация этих уязвимостей может позволить злоумышленникам выполнять произвольный код с правами системного аккаунта SYSTEM, что ведёт к полному компрометированию промышленных систем управления. Соответствующий бюллетень безопасности был опубликован 13 января 2026 года.
Детали уязвимостей
Проблемы затрагивают AVEVA Process Optimization версии 2024.1 и все более ранние релизы. Наиболее опасная уязвимость, получившая идентификатор CVE-2025-61937, оценена по шкале CVSS версии 4.0 на максимальные 10.0 баллов. Она представляет собой ошибку, позволяющую выполнить удалённый код без аутентификации через API (интерфейс прикладного программирования) программного обеспечения. Для эксплуатации не требуется взаимодействие с пользователем. В результате атаки злоумышленник может получить привилегии уровня SYSTEM в службе «taoimr», что потенциально ведёт к полному завладению сервером приложений модели.
В рамках одного бюллетеня описаны три дополнительные критические уязвимости с оценкой 9.3 балла по CVSS. CVE-2025-64691 позволяет аутентифицированным злоумышленникам со стандартными правами пользователя операционной системы внедрить вредоносный код путём подмены скриптов TCL Macro и повысить свои привилегии до уровня SYSTEM. Уязвимость CVE-2025-61943 связана с внедрением SQL-кода в компоненте Captive Historian. Это позволяет выполнить код с правами администратора SQL Server. CVE-2025-65118 эксплуатирует уязвимости, связанные с подменой библиотек DLL (динамически подключаемая библиотека), что разрешает повышение привилегий за счёт загрузки произвольного кода в службы Process Optimization.
Также объявлены о трёх уязвимостях высокой степени опасности. CVE-2025-64729 с оценкой 8.6 балла позволяет повысить привилегии через подмену файлов проектов из-за отсутствующих списков контроля доступа. CVE-2025-65117 (8.5 балла) даёт возможность аутентифицированным пользователям с ролью дизайнера внедрять вредоносные OLE-объекты в графики для последующего повышения прав. Уязвимость CVE-2025-64769 (7.6 балла) связана с передачей конфиденциальной информации в незашифрованном виде, что создаёт возможности для атак типа «человек посередине».
AVEVA настоятельно рекомендует немедленно обновить ПО до версии AVEVA Process Optimization 2025 или новее для устранения всех выявленных проблем. Организациям, которые не могут применить обновления сразу, следует внедрить временные защитные меры. В частности, необходимо настроить правила межсетевого экрана, ограничивающие доступ к службе «taoimr» только с доверенных источников на портах 8888 и 8889. Также требуется установить списки контроля доступа, ограничивающие право записи в каталоги установки, и поддерживать строгие протоколы контроля цепочки поставок для файлов проектов.
Уязвимости были обнаружены исследователем безопасности Кристофером У (Christopher Wu) из компании Veracode в рамках спонсируемого AVEVA тестирования на проникновение. Координацию публикации рекомендаций и назначение идентификаторов CVE обеспечило Агентство по кибербезопасности и безопасности инфраструктуры США (CISA). Данный инцидент в очередной раз подчёркивает критическую важность своевременного обновления программного обеспечения, особенно в контуре промышленных систем, где последствия успешной атаки могут быть наиболее разрушительными.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-61937
- https://www.cve.org/CVERecord?id=CVE-2025-64691
- https://www.cve.org/CVERecord?id=CVE-2025-61943
- https://www.cve.org/CVERecord?id=CVE-2025-65118
- https://www.cve.org/CVERecord?id=CVE-2025-64729
- https://www.cve.org/CVERecord?id=CVE-2025-65117
- https://www.cve.org/CVERecord?id=CVE-2025-64769
- https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2026-001.pdf
