Немецкий производитель промышленной автоматизации WAGO Kontakttechnik подтвердил наличие критической уязвимости в двух ключевых программных продуктах. Проблема, получившая идентификаторы BDU:2025-14826 и CVE-2025-41715, связана с полным отсутствием аутентификации для важной функции. Эксплуатация этой уязвимости позволяет удалённому злоумышленнику получить полный контроль над системой.
Детали уязвимостей
Уязвимости подвержены программы WAGO Software Device Sphere версий до 1.1.0 и WAGO Software Solution Builder версий до 2.3.3. Оба продукта относятся к прикладному программному обеспечению информационных систем. Device Sphere служит для централизованного управления устройствами, а Solution Builder - для оптимизации рабочих процессов на промышленных объектах. Следовательно, атака на эти системы может парализовать критически важные технологические процессы.
Оценка по методологии CVSS (Common Vulnerability Scoring System) демонстрирует максимальный уровень угрозы. Базовая оценка CVSS 2.0 составляет 10.0 баллов, а CVSS 3.1 - 9.8 баллов. Вектор атаки оценивается как сетевой (AV:N), не требующий специальных условий (AC:L) или привилегий (PR:N). Успешная эксплуатация приводит к полной компрометации конфиденциальности (C:H), целостности (I:H) и доступности (A:H) системы.
Классификация ошибки соответствует CWE-306 - «Отсутствие аутентификации для критичной функции». Проще говоря, в программном коде отсутствует проверка прав доступа при вызове определённой функции. Это позволяет неавторизованному пользователю выполнить команды, предназначенные только для администратора. Подобные уязвимости являются грубыми архитектурными просчётами и часто ведут к катастрофическим последствиям.
Основным способом эксплуатации является нарушение аутентификации. Злоумышленник, действуя удалённо через сеть, может отправить специально сформированный запрос к уязвимой функции. В результате он получает несанкционированный доступ к защищаемой информации и, вероятно, возможность выполнить произвольный код. Фактически это предоставляет атакующему права, аналогичные правам легитимного администратора системы.
Производитель уже выпустил исправления. Уязвимость была устранена в версиях Software Device Sphere 1.1.0 и Software Solution Builder 2.3.3. Специалисты по кибербезопасности настоятельно рекомендуют немедленно обновить программное обеспечение до актуальных версий. Это является единственной эффективной мерой для устранения риска. Информация о наличии публичного эксплойта (программы для использования уязвимости) на момент публикации уточняется.
Данный инцидент подчёркивает важность принципа «безопасность по умолчанию» при разработке промышленного ПО. Отсутствие базовой аутентификации в критичной функции неприемлемо для систем, управляющих технологическими процессами. Подобные ошибки могут стать лёгкой мишенью для киберпреступников или групп APT (Advanced Persistent Threat, усовершенствованная постоянная угроза), целенаправленно атакующих промышленные объекты.
Владельцам уязвимых систем следует обратиться к официальному бюллетеню немецкого центра реагирования CERT-VDE. В частности, подробная информация содержится в рекомендациях по идентификатору VDE-2025-087. Своевременное обновление - это ключевой шаг для защиты от потенциальных атак, которые могут привести к хищению данных, саботажу или внедрению вредоносного ПО, такого как программы-вымогатели.
Ссылки
- https://bdu.fstec.ru/vul/2025-14826
- https://www.cve.org/CVERecord?id=CVE-2025-41715
- https://certvde.com/de/advisories/VDE-2025-087
