Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило экстренное предупреждение о выявленных серьезных недостатках безопасности в промышленном сетевом оборудовании компании ZLAN Information Technology Co. Эти изъяны, оцененные как критические, затрагивают устройства, которые служат мостом между устаревшим промышленным оборудованием и современными сетями, создавая прямую угрозу для непрерывности технологических процессов в реальном секторе экономики, прежде всего в критическом производстве. Данный инцидент вновь обнажает проблему безопасности унаследованных систем, которые десятилетиями интегрируются в цифровую среду, часто без должного пересмотра архитектуры защиты.
Детали уязвимостей
Речь идет о конкретной модели - сервере устройств ZLAN5143D, который выполняет функцию преобразователя интерфейсов, позволяя подключать старое оборудование с последовательными портами (COM, RS-232/485) к современным Ethernet-сетям. Подобные устройства повсеместно используются на фабриках, заводах, в энергетике и на транспорте для интеграции датчиков, программируемых логических контроллеров (ПЛК) и другого оборудования в единую систему управления. Именно их промежуточное положение на стыке информационных (ИТ) и операционных технологий (ОТ) делает их привлекательной мишенью для злоумышленников, стремящихся проникнуть в изолированные сегменты управления производством.
Идентификатор предупреждения - ICSA-26-041-02. Уязвимости, обнаруженные исследователями безопасности Шорабом Кариром и Дипаком Сингхом из KPMG, сосредоточены в прошивке версии 1.600. Обеим присвоен максимально высокий рейтинг критичности по шкале CVSS v3 - 9.8 баллов. Этот рейтинг указывает на то, что эксплуатация возможна удаленно, не требует сложных условий атаки и не предполагает взаимодействия с пользователем. Первая уязвимость, получившая идентификатор CVE-2026-25084, заключается в отсутствии проверки подлинности для критических функций. Проще говоря, злоумышленник может получить полный контроль над устройством, обратившись напрямую к его внутренним URL-адресам, минуя стандартную форму ввода логина и пароля. Вторая, CVE-2026-24789, позволяет через незащищенную точку API (интерфейс программирования приложений) дистанционно изменить пароль администратора устройства, также не представляя никаких учетных данных.
С технической точки зрения, речь идет о классических недостатках проектирования, относящихся к категории CWE-306 (отсутствие аутентификации для критической функции) в тактике первоначального доступа по матрице MITRE ATT&CK. Успешная эксплуатация этих уязвимостей дает атакующему привилегии администратора на самом устройстве. Однако главная опасность кроется в потенциальных последствиях. Получив контроль над сетевым шлюзом, злоумышленник может перехватывать или модифицировать данные, передаваемые между ПЛК и системами диспетчеризации, что способно привести к сбоям в работе конвейеров, нарушению рецептур или даже к физическому повреждению оборудования. Кроме того, такой компрометированный сервер может стать плацдармом для дальнейшего перемещения внутрь операционной технологической сети, где обычно размещены наиболее чувствительные элементы управления.
На текущий момент CISA не сообщает о каких-либо известных случаях активного использования этих уязвимостей в дикой природе. Тем не менее, учитывая их критический характер и простоту эксплуатации, эксперты призывают организации действовать на опережение. Агентство дает ряд конкретных рекомендаций, которые сводятся к фундаментальным принципам сегментации и минимизации поверхности атаки. Первое и главное правило - промышленные системы управления никогда не должны быть напрямую доступны из публичного интернета. Все подобные устройства, включая ZLAN5143D, обязаны находиться за межсетевыми экранами в строго изолированных сегментах сети, отделенных от корпоративных ИТ-сетей. Это предотвращает возможность прямой атаки извне и сдерживает потенциальное распространение угрозы в случае компрометации одного из элементов.
Для сценариев, где удаленный доступ к оборудованию необходим для обслуживания, следует использовать безопасные методы, такие как виртуальные частные сети (VPN). При этом важно помнить, что VPN - это не панацея, а лишь защищенный туннель, безопасность которого зависит от состояния подключаемых устройств. Если конечное устройство, такое как ZLAN5143D, содержит критическую уязвимость, VPN не помешает атакующему, который уже имеет доступ к внутренней сети, воспользоваться ею. В свою очередь, организациям рекомендовано провести анализ рисков и оценить потенциальное влияние на производственный процесс перед внедрением любых защитных мер, включая обновления прошивок, чтобы избежать непреднамеренных простоев. Владельцам уязвимых устройств следует обратиться к вендору, ZLAN Information Technology Co., за информацией о доступных исправлениях или инструкциями по смягчению угроз. Обнаружив любую подозрительную активность, связанную с данными уязвимостями, необходимо активировать внутренние процедуры реагирования на инциденты и передать информацию в CISA для анализа. Этот случай служит очередным напоминанием о том, что безопасность операционных технологий требует постоянного аудита даже, казалось бы, второстепенных компонентов инфраструктуры, ведь именно они зачастую становятся слабым звеном в цепи защиты критически важных объектов.
