В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, представляющая угрозу для критической инфраструктуры, в частности, энергетического сектора. Уязвимость под идентификатором BDU:2026-00780, также известная как CVE-2025-64123, затрагивает централизованную систему управления Multi-Stack Controller (MSC) от компании Nuvation Energy. Проблема, оценённая как критическая, связана с возможностью полного обхода механизмов контроля доступа. Эксплуатация этой уязвимости потенциально позволяет удалённому злоумышленнику проникнуть во внутренние сегменты сети, минуя существующие средства защиты.
Детали уязвимости
Уязвимость была официально подтверждена производителем. Она классифицируется как ошибка в коде, относящаяся к категории "Непреднамеренный прокси-сервер или посредник". Основной вектор атаки, согласно описанию, - подмена при взаимодействии. Другими словами, атакующий может манипулировать сетевым трафиком или запросами таким образом, чтобы система MSC ошибочно предоставила ему несанкционированный доступ. Хотя наличие готового эксплойта на данный момент уточняется, высокая степень опасности делает эту уязвимость приоритетной для устранения.
Оценки по системе CVSS подчёркивают серьёзность угрозы. Базовая оценка CVSS 3.1 достигает максимального значения 9.9, что соответствует критическому уровню опасности. Этот балл указывает на то, что для атаки не требуются высокие привилегии или взаимодействие с пользователем, а её последствия могут быть катастрофическими. В частности, успешная эксплуатация может привести к полной компрометации конфиденциальности, целостности и доступности системы. Более свежая оценка CVSS 4.0, которая учитывает дополнительные параметры, присваивает уязвимости высокий уровень опасности с баллом 7.9, акцентируя внимание на значительном потенциальном воздействии на безопасность всей сети организации.
MSC является ключевым компонентом в системах управления энергетическими аккумуляторами. Следовательно, его компрометация может иметь далеко идущие последствия. Злоумышленник, получив контроль над MSC, потенциально способен нарушить работу энергетических объектов, манипулировать потоками энергии или использовать этот доступ как плацдарм для движения по корпоративной сети. В худшем сценарии это может создать риски для стабильности энергоснабжения.
К счастью, согласно данным BDU, уязвимость уже устранена производителем. Единственный рекомендуемый способ защиты - немедленное обновление микропрограммного кода (firmware) уязвимого контроллера MSC до патченной версии. Подробные рекомендации и информация об обновлении опубликованы вендором по ссылке, предоставленной исследовательской компанией Dragos в их публичном бюллетене. Крайне важно, чтобы все операторы критической инфраструктуры, использующие оборудование Nuvation Energy, проверили свои активы и применили обновление безопасности безотлагательно.
Данный случай наглядно демонстрирует постоянные риски, связанные с возрастающей цифровизацией критически важных объектов. Во-первых, даже специализированное промышленное оборудование не застраховано от ошибок в коде, которые могут стать фатальными. Во-вторых, централизованные системы управления, подобные MSC, из-за своей природы представляют собой высокоценные цели для киберпреступников и групп APT. Поэтому регулярный мониторинг источников, таких как BDU и базы данных CVE, а также своевременное применение исправлений должны быть неотъемлемой частью политики безопасности любой организации, работающей в сфере критической инфраструктуры.
В заключение, хотя патч для уязвимости BDU:2026-00780 уже доступен, окно потенциальной угрозы остаётся открытым до момента его повсеместного внедрения. Специалистам по кибербезопасности и инженерам, ответственным за эксплуатацию систем Nuvation Energy, следует расценивать эту информацию как критически важную. Оперативное действие является ключевым фактором для предотвращения возможных инцидентов, которые могут повлиять не только на отдельное предприятие, но и на устойчивость более широких энергетических систем.
Ссылки
- https://bdu.fstec.ru/vul/2026-00780
- https://www.cve.org/CVERecord?id=CVE-2025-64123
- https://www.dragos.com/community/advisories/CVE-2025-64119
