Компания Schneider Electric опубликовала сразу четыре бюллетеня безопасности, в которых сообщила о нескольких уязвимостях, затрагивающих широкий спектр её продуктов для промышленной автоматизации и управления энергоснабжением. В общей сложности речь идёт о четырёх уязвимостях, зарегистрированных в базе CVE. Некоторые из них позволяют злоумышленнику получить несанкционированный доступ к системам, повысить свои привилегии, а также нарушить конфиденциальность и целостность данных. Учитывая масштаб применения оборудования Schneider Electric в критической инфраструктуре, энергетике, на производственных объектах, эта новость заслуживает самого пристального внимания со стороны специалистов по информационной безопасности и руководителей предприятий.
Что произошло и какие продукты оказались уязвимыми?
Согласно опубликованным данным, под удар попали несколько ключевых линеек продуктов. В первую очередь это семейство Easergy MiCOM - устройства релейной защиты и автоматики, используемые на электрических подстанциях. Уязвимости подтверждены для моделей C264, C434, а также серий P30, P40 - от P138 до P634 и P638. Кроме того, проблемы обнаружены в контроллерах Easergy C5, используемых для мониторинга и управления распределительными сетями. Второй крупный блок - платформы EcoStruxure: это и программное обеспечение для управления энергосистемами EcoStruxure Power Operation, и средства инженерного проектирования EcoStruxure Process Expert, и серверные панели EcoStruxure Panel Server (модели PAS400, PAS600, PAS800). Также затронуты шлюзы и интерфейсы системы автоматизации подстанций EPAS-GTW и EPAS-UI, а также ряд других продуктов, включая терминалы PowerLogic T300 и T500, реле защиты PowerLogic P5 и P7, а также устройства Saitel DP и EasyLogic T150.
Всего перечислены десятки версий, для которых требуется обновление. При этом некоторые уязвимости затрагивают одновременно большое количество устройств, что делает ситуацию особенно серьёзной.
Какие уязвимости обнаружены?
Первая уязвимость, CVE-2025-0327, связана с неправильным управлением привилегиями (CWE-269). Она присутствует в ПО EcoStruxure Process Expert и EcoStruxure Process Expert для AVEVA System Platform. Суть проблемы в том, что стандартный пользователь может изменить путь к исполняемому файлу двух служб Windows, одна из которых отвечает за журнал аудита, а другая - сервер обработки запросов клиентов. Если злоумышленник уже обладает локальным доступом к рабочей станции инженера, он способен перезапустить эти службы и заставить их выполнить вредоносный код от имени системы. В результате это приводит к потере конфиденциальности, целостности данных и доступности инженерной станции. Оценка по системе CVSS составила 8,5 балла по версии 4.0 - уровень HIGH (высокий).
Вторая, самая массовая уязвимость - CVE-2026-4827 - связана с недостаточной энтропией (CWE-331) - то есть с низким уровнем случайности при генерации сессионных ключей или других криптографических параметров. Она затрагивает практически все перечисленные продукты из линеек Easergy MiCOM, EcoStruxure Power Operation, контроллеры Easergy C5, шлюзы EPAS-GTW, а также PowerLogic, Saitel и другие. Атакующий, имеющий доступ к сети, может воспользоваться слабостью механизмов управления сессиями и получить несанкционированный доступ к устройствам. Оценка CVSS 4.0 - 8,7 балла, также HIGH. Это означает, что злоумышленнику не нужны никакие привилегии, достаточно доступа к сети, а для эксплуатации требуется только взаимодействие с пользователем.
Третья уязвимость - CVE-2026-6866 - обнаружена в серверных панелях EcoStruxure Panel Server. Она относится к категории инициализации ресурса с небезопасными настройками по умолчанию (CWE-1188). В редких обстоятельствах учётные данные устройства могут вернуться к исходным заводским значениям. Если это происходит, злоумышленник, знающий стандартные пароли, может аутентифицироваться на устройстве и получить доступ к конфиденциальной информации. CVSS 4.0 - 8,2 балла, уровень HIGH. Атака возможна удалённо, без специальных привилегий, но требует сложных условий для эксплуатации (высокий порог сложности атаки).
Последствия и практические риски
Совокупность этих уязвимостей создаёт серьёзную угрозу для промышленных объектов, на которых используется оборудование Schneider Electric. Нарушение конфиденциальности может привести к утечке технологических параметров, схем сетей, настроек защиты. Нарушение целостности данных - к подмене команд управления, что способно вызвать ложные срабатывания релейной защиты, аварийные отключения или, наоборот, отказ защитных механизмов. Повышение привилегий позволяет злоумышленнику получить полный контроль над инженерной станцией и через неё воздействовать на подчинённые устройства.
В сценарии атаки с использованием уязвимости недостаточной энтропии злоумышленник, находящийся в одной сети с уязвимым устройством, может подобрать сессионный ключ и выдать себя за легитимного пользователя - оператора или администратора. После этого он сможет выполнять любые команды на устройстве, вплоть до переключения выключателей или изменения уставок защиты. Для критической инфраструктуры, такой как подстанции, распределительные сети, промышленные предприятия, такой сценарий означает риск остановки производства, повреждения оборудования и даже угрозу жизни персонала.
Уязвимость в EcoStruxure Process Expert требует локального доступа к рабочей станции, но в условиях недостаточно защищённой внутренней сети или при наличии инсайдера она также становится крайне опасной. А возврат учётных данных к заводским на серверных панелях может позволить удалённому атакующему, использующему стандартные пароли, получить доступ к панелям управления и собрать конфиденциальную информацию о работе энергосистемы.
Что делать?
Компания Schneider Electric уже выпустила исправления и рекомендации по обновлению. Специалистам по безопасности и системным администраторам необходимо как можно скорее ознакомиться с бюллетенями SEVD-2025-042-03, SEVD-2026-132-01, SEVD-2026-132-02 и SEVD-2026-132-04. В них указаны точные версии ПО, которые устраняют уязвимости, и процедуры обновления. Для продуктов Easergy MiCOM и EcoStruxure Panel Server обновления доступны на официальном портале Schneider Electric. Особое внимание стоит уделить устройствам, которые подключены к корпоративной сети или имеют удалённый доступ - именно они находятся в зоне наибольшего риска. Рекомендуется также усилить сетевую сегментацию, ограничить доступ к панелям и контроллерам по протоколам управления, а для продуктов с уязвимостью недостаточной энтропии после обновления дополнительно проверить настройки аутентификации и сессий.
Вместе с тем важно понимать, что полное устранение угрозы невозможно без регулярного мониторинга обновлений безопасности от вендора. Производитель продолжает анализировать свои продукты и может выпускать дополнительные патчи. Ситуация напоминает о критической важности своевременного обновления промышленного ПО, несмотря на сложность процедур на действующих объектах.
Ссылки
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-042-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-042-03.pdf
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-132-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-132-01.pdf
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-132-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-132-02.pdf
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-132-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-132-04.pdf
- https://www.cve.org/CVERecord?id=CVE-2025-0327
- https://www.cve.org/CVERecord?id=CVE-2026-4827
- https://www.cve.org/CVERecord?id=CVE-2026-6332
- https://www.cve.org/CVERecord?id=CVE-2026-6866
