Schneider Electric выпустила исправление для уязвимости в EcoStruxure Cybersecurity Admin Expert

Schneider Electric

Компания Schneider Electric опубликовала бюллетень безопасности, посвящённый уязвимости в продукте EcoStruxure Cybersecurity Admin Expert (CAE). Проблеме присвоен идентификатор CVE-2026-14354, а степень опасности по шкале CVSS v4.0 оценена в 8,7 балла (высокий уровень). Уязвимость связана с недостаточной защитой учётных данных, хранящихся в приложении, и может привести к обходу аутентификации и повышению привилегий при локальном доступе.

Уязвимость CVE-2026-14354

EcoStruxure Cybersecurity Admin Expert представляет собой программный конфигуратор для управления кибербезопасностью в промышленных сетях операционных технологий (OT). Продукт используется для администрирования учётных записей, контроля политик доступа и настройки параметров безопасности на объектах критической инфраструктуры. Уязвимость затрагивает все версии CAE до 4.2.0 включительно.

Суть проблемы заключается в ненадлежащей защите учётных данных внутри приложения. При определённых условиях локальный атакующий, обладающий правами администратора на хост-системе, где установлен CAE, может использовать слабости механизмов хранения и обработки паролей. Это позволяет обойти процедуру аутентификации и модифицировать учётные данные других пользователей. В результате потенциальная атака может привести к получению несанкционированного доступа к учётным записям приложения, манипуляциям с паролями и, как следствие, к компрометации управляемых устройств - контроллеров, программируемых логических контроллеров и другого промышленного оборудования.

Важно подчеркнуть, что для успешной эксплуатации злоумышленник уже должен иметь локальный доступ к системе и повышенные привилегии, что сужает круг потенциальных атакующих. Однако в условиях корпоративной или промышленной сети, где несколько сотрудников имеют административный доступ к серверам, риск возрастает. Атака может быть проведена как внутренним нарушителем, так и внешним злоумышленником, который предварительно получил доступ к хосту через другую уязвимость или некорректные настройки периметра.

Schneider Electric выразила благодарность исследователю Рубену Сантамарте за обнаружение и координацию раскрытия уязвимости. В бюллетене отмечается, что расчёт базовой оценки CVSS произведён без учёта временных и контекстных метрик; конечная степень опасности для конкретной организации может быть уточнена с помощью дополнительных факторов.

Для устранения уязвимости выпущена версия 4.2.1 продукта EcoStruxure Cybersecurity Admin Expert. Исправление доступно для загрузки на официальном сайте компании. После установки обновления требуется перезагрузка хост-компьютера. Вендор рекомендует применять патчи в соответствии со стандартными процедурами управления исправлениями, обязательно создавая резервные копии и тестируя обновления в изолированной среде перед развёртыванием на рабочих системах.

До момента установки исправления компания предлагает несколько временных мер защиты. В первую очередь следует ограничить круг лиц, имеющих локальный доступ к системе, где установлен CAE, исключив возможность входа для недоверенных пользователей. Необходимо также применить строгие политики разрешений на уровне операционной системы для ограничения доступа к файлам приложения и базам данных. Рекомендуется избегать совместного использования одной рабочей станции или сервера несколькими пользователями, которым не предоставлены административные привилегии. Кроме того, стоит организовать мониторинг несанкционированного доступа или изменения данных приложения.

В более широком контексте промышленной безопасности Schneider Electric напоминает об общих рекомендациях: размещать средства управления и сети безопасности за межсетевыми экранами, изолировать их от корпоративной сети и тем более от интернета; применять физические средства контроля доступа к оборудованию; не подключать программы для программирования контроллеров к иным сетям; использовать виртуальные частные сети (VPN) при организации удалённого доступа, своевременно обновлять сами VPN-решения.

Уязвимость в продукте для управления кибербезопасностью OT-среды - симптом более широкой тенденции. Производители промышленного оборудования всё чаще встраивают программные средства администрирования безопасности в свои экосистемы, и каждая подобная уязвимость может стать вектором для компрометации критически важных объектов. Регулярное обновление таких инструментов и строгий контроль локального доступа остаются основными мерами защиты для владельцев промышленных сетей.

Ссылки

Комментарии: 0