Компания Cisco опубликовала предупреждение о трёх уязвимостях в программном обеспечении IoT Field Network Director (сокращённо - FND). Этот продукт предназначен для централизованного управления устройствами интернета вещей, в первую очередь маршрутизаторами промышленного класса. Уязвимости затрагивают веб-интерфейс системы и позволяют аутентифицированному удалённому злоумышленнику с минимальными правами нарушить работу управляемых устройств, получить несанкционированный доступ к файлам и выполнить произвольные команды. На данный момент обходных путей защиты не существует, единственный способ устранить проблему - установить исправленную версию ПО.
Детали уязвимостей
Первая уязвимость, получившая идентификатор CVE-2026-20167, классифицируется как высокая по шкале CVSS (Common Vulnerability Scoring System) с базовым баллом 7,7. Её суть - некорректная обработка ошибок в веб-интерфейсе. Атакующий может отправить специально сформированный запрос, который заставит удалённый маршрутизатор перезагрузиться. В результате наступает отказ в обслуживании (DoS - Denial of Service), то есть устройство временно теряет связь с сетью. Это особенно опасно для промышленных объектов, где каждый час простоя может обернуться серьёзными финансовыми потерями или нарушением технологических процессов.
Вторая уязвимость - CVE-2026-20168 со средним уровнем опасности и оценкой 6,5 балла - связана с недостаточным контролем доступа к файлам. Злоумышленник, используя ту же низкопривилегированную учётную запись, может прочитать файлы, к которым у него не должно быть доступа. Атака реализуется через технику обхода пути (path traversal), когда в запросе указываются символы "../" для выхода за пределы разрешённой директории. Это позволяет украсть конфигурационные данные, учётные записи или другую чувствительную информацию, хранящуюся на маршрутизаторе.
Третья уязвимость - CVE-2026-20169, также среднего уровня (6,4 балла) - является внедрением команд (command injection). Из-за недостаточной валидации вводимых пользователем данных атакующий может передать в веб-интерфейс специальные символы, которые будут выполнены как команды на целевом маршрутизаторе. Правда, эти команды ограничены режимом пользователя (user EXEC mode), то есть не дают полного контроля над системой. Однако злоумышленник всё равно может создавать, читать или удалять файлы, а также выполнять некоторые диагностические команды. Этого достаточно, чтобы нарушить работу устройства или подготовить почву для более серьёзной атаки.
Важно отметить, что все три уязвимости независимы друг от друга. Для эксплуатации каждой достаточно аутентифицированного доступа к веб-интерфейсу IoT Field Network Director с низкими привилегиями. При этом целевыми устройствами выступают не сам сервер FND, а управляемые им маршрутизаторы. То есть атакующему не нужно физически находиться рядом с промышленным оборудованием - достаточно скомпрометировать веб-консоль администратора.
По информации Cisco, на данный момент не зафиксировано случаев использования этих уязвимостей в реальных атаках. Однако отсутствие публичных эксплойтов не снижает риска, поскольку технические детали уже раскрыты в бюллетене безопасности. Злоумышленники могут быстро создать инструменты для атаки, особенно учитывая, что все три уязвимости имеют низкий порог сложности эксплуатации (вектор CVSS указывает на низкую сложность и отсутствие необходимости во взаимодействии с пользователем).
Кому следует беспокоиться в первую очередь? Организации, использующие Cisco IoT Field Network Director для управления маршрутизаторами в энергетике, нефтегазовой отрасли, на транспорте и в других критически важных инфраструктурах. Устройства интернета вещей часто развёрнуты в удалённых или труднодоступных местах, и их перезагрузка или утечка конфигураций могут создать серьёзные операционные проблемы.
Что делать? Cisco выпустила исправление в версии 5.0.0-117. Все более ранние релизы, включая версию 4 и ниже, признаны уязвимыми. Компания настоятельно рекомендует как можно скорее обновить программное обеспечение. Для версий 4.12 и более старых поддержка уже прекращена, поэтому потребуется миграция на поддерживаемый релиз. Обходных путей или временных мер защиты не предусмотрено - только установка патча.
Подводя итог, можно сказать, что обнаруженные уязвимости напоминают о важности своевременного обновления систем управления IoT. Даже при наличии аутентификации и низких привилегий атакующий способен нанести значительный ущерб, если производитель не уделит должного внимания проверке вводимых данных и контролю доступа. Рекомендуется немедленно проверить версию установленного Cisco IoT Field Network Director и применить обновление, не дожидаясь появления первых инцидентов.
