Компания Eaton, мировой лидер в области управления электроэнергией, выпустила срочное предупреждение о безопасности. В нем говорится о двух новых уязвимостях высокой и средней степени опасности в программном обеспечении UPS Companion. Эти недостатки позволяют злоумышленникам выполнять произвольный код на скомпрометированных системах, что ставит под угрозу критически важную инфраструктуру бесперебойного электропитания во многих организациях.
Детали уязвимости
Согласно бюллетеню безопасности под идентификатором ETN-VA-2025-1026, обнаруженные уязвимости затрагивают все версии ПО UPS Companion до 3.0. Компания уже выпустила исправления в обновлении до версии 3.0 и настоятельно рекомендует немедленно его установить. Данное программное обеспечение широко используется для мониторинга и управления системами бесперебойного питания (ИБП), которые обеспечивают электроэнергией серверы, медицинское оборудование и промышленные системы.
Первая и наиболее опасная уязвимость зарегистрирована под идентификатором CVE-2025-59887. Ей присвоен высокий балл 8.6 по шкале CVSS v3.1. Суть проблемы заключается в небезопасной загрузке библиотек (Insecure Library Loading) установщиком сопутствующего ПО Eaton IPP. Эксплуатация этой уязвимости позволяет злоумышленнику, получившему доступ к программному пакету, выполнить произвольный код на целевой системе. Высокий рейтинг серьезности обусловлен низкой сложностью атаки и прямым воздействием на конфиденциальность, целостность и доступность данных.
Вторая проблема, CVE-2025-59888, имеет средний уровень опасности с оценкой 6.7 баллов по CVSS. Она вызвана некорректным указанием путей поиска (Improper Quotation) в самом ПО UPS Companion. Для эксплуатации этого недостатка злоумышленнику уже необходим доступ к файловой системе. В таком случае он может также выполнить произвольный код, однако для этого требуются повышенные привилегии. Обе уязвимости используют локальный вектор атаки, то есть для успешного нападения необходима некоторая степень первоначального доступа к системе.
Компания Eaton подчеркивает, что обновление до версии 3.0 является единственным полным решением для устранения обеих угроз. Загрузку обновленного ПО следует производить исключительно с официальных каналов распространения Eaton, чтобы избежать рисков атаки на цепочку поставок (supply chain attack). Это особенно важно, так как скомпрометированное программное обеспечение для управления энергосистемами может стать плацдармом для более масштабных кибератак на объектовую инфраструктуру.
Для организаций, которые не могут немедленно применить патчи, Eaton предлагает ряд временных мер по снижению рисков. Во-первых, необходимо строго ограничить доступ к хост-системам только авторизованному персоналу. Во-вторых, критически важно внедрить защищенные межсетевые экраны для сетей систем управления. Кроме того, рекомендуется развертывать системы управления за барьерными устройствами и изолировать их от корпоративных бизнес-сетей, чтобы минимизировать потенциальную поверхность атаки.
Кибербезопасность физических систем становится все более актуальной темой. Уязвимости в таком ПО, как UPS Companion, могут быть использованы группами продвинутой постоянной угрозы (APT, Advanced Persistent Threat) для проникновения в сети и последующего развертывания вредоносного ПО, например, программ-вымогателей (ransomware). Поэтому команда кибербезопасности Eaton также призывает администраторов следовать базовым практикам безопасности. К ним относятся смена паролей по умолчанию, активация журналов аудита, отключение неиспользуемых служб и проведение регулярных оценок защищенности.
Организации, которым требуется дополнительная поддержка, могут обратиться в службу кибербезопасности Eaton или посетить специализированный раздел на сайте компании. Своевременное обновление программного обеспечения для критической инфраструктуры, такой как системы электропитания, является не просто рекомендацией, а необходимым условием для обеспечения непрерывности бизнеса и противодействия современным киберугрозам.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59887
- https://www.cve.org/CVERecord?id=CVE-2025-59888
- https://www.eaton.com/content/dam/eaton/company/news-insights/cybersecurity/security-bulletins/etn-va-2025-1026.pdf
