Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренное предупреждение о критических уязвимостях в системе автоматического измерения уровня топлива TLS4B компании Veeder-Root, используемой на объектах энергетической инфраструктуры по всему миру. Оповещение, опубликованное 23 октября 2025 года, указывает на возможность полного захвата контроля над промышленными системами злоумышленниками.
Детали уязвимостей
Исследователи безопасности из компании Bitsight обнаружили две опасные уязвимости в системе TLS4B. Первая из них, идентифицированная как CVE-2025-58428, относится к категории инъекции команд и получила рекордный балл 9.9 по шкале CVSS v3.1. Эта уязвимость позволяет удаленным злоумышленникам с действительными учетными данными выполнять системные команды на базовой операционной системе Linux, потенциально получая полный доступ к оболочке и возможность перемещения по корпоративной сети без обнаружения.
Особую опасность представляет относительно низкая сложность эксплуатации данной уязвимости, доступной через интернет посредством SOAP-веб-служб системы. Все версии TLS4B ранее Version 11.A подвержены этой уязвимости, что ставит под угрозу организации, использующие устаревшие решения.
Вторая уязвимость, зарегистрированная как CVE-2025-55067 с баллом CVSS 7.1, связана с переполнением целочисленного значения при обработке временных меток Unix. Техническая особенность данной проблемы проявится 19 января 2038 года, когда системные часы могут сброситься к 13 декабря 1901 года. Подобная манипуляция временем способна вызвать сбои аутентификации, нарушение критических функций системы, включая механизмы обнаружения утечек, и инициировать атаки типа "отказ в обслуживании", полностью блокируя доступ администраторов.
Системы автоматического измерения уровня топлива Veeder-Root TLS4B широко развернуты по всему миру, с особой концентрацией в энергетическом секторе. Компания Veeder-Root уже выпустила Version 11.A для устранения уязвимости инъекции команд (CVE-2025-58428) и настоятельно рекомендует незамедлительное обновление. Что касается проблемы переполнения целочисленного значения (CVE-2025-55067), постоянное исправление находится в разработке, и до его появления рекомендуется следовать лучшим практикам сетевой безопасности производителя.
CISA предлагает дополнительные защитные меры для минимизации риска эксплуатации. Организациям следует ограничить интернет-экспозицию всех устройств системы управления, размещая их за firewall и изолируя от бизнес-сетей. При необходимости удаленного доступа рекомендуется использовать виртуальные частные сети (VPN) с актуальными обновлениями.
По данным CISA, на момент публикации предупреждения не зафиксировано случаев публичной эксплуатации данных уязвимостей. Однако учитывая высокие показатели серьезности и простоту эксплуатации, организациям следует рассматривать эту ситуацию как чрезвычайную. Эксперты рекомендуют проводить анализ воздействия перед развертыванием любых защитных мер для обеспечения минимального нарушения рабочего процесса.
Энергетический сектор традиционно является мишенью для сложных кибератак, и уязвимости в критической инфраструктуре контроля топлива создают значительные операционные риски. Своевременное применение исправлений и реализация дополнительных мер безопасности могут предотвратить потенциальные инциденты, способные повлиять на энергетическую стабильность. Особое внимание следует уделить системам, остающимся подключенными к интернету, поскольку они представляют наиболее легкую цель для потенциальных злоумышленников.
Ссылки
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-03
- https://nvd.nist.gov/vuln/detail/CVE-2025-58428
- https://nvd.nist.gov/vuln/detail/CVE-2025-55067
