Специалисты Банка данных угроз безопасности информации (BDU) зарегистрировали новую критическую уязвимость в системе безопасного управления доступом к IED (интеллектуальным электронным устройствам) Siemens RUGGEDCOM CROSSBOW. Речь идёт об ошибке с идентификаторами BDU:2026-05802 и CVE-2026-27668. Она затрагивает модуль SAM-P - подсистему аутентификации и разграничения прав доступа. Уязвимость получила высокий рейтинг опасности: CVSS 3.1 оценивает её в 8,8 балла, а CVSS 4.0 - в 8,7 балла. Вектор атаки сетевой, для эксплуатации злоумышленнику требуются лишь низкие привилегии в системе.
Детали уязвимости
Суть проблемы кроется в неправильном присваивании привилегий (CWE-266). Другими словами, программное обеспечение некорректно ограничивает доступ к определённым функциям. Из-за этого удалённый нарушитель может повысить свои полномочия. После успешной атаки он получает полный контроль над конфиденциальностью, целостностью и доступностью системы (параметры CVSS - все на высоком уровне). При этом взаимодействие с пользователем не требуется, а сложность атаки низкая.
Уязвимость присутствует во всех версиях RUGGEDCOM CROSSBOW (SAM-P) до 5.8 включительно. Продукт относится к классу ПО программно-аппаратных средств АСУ ТП (автоматизированных систем управления технологическими процессами). Это означает, что уязвимость угрожает не просто корпоративным сетям, а критической инфраструктуре, где часто используются IED - устройства релейной защиты, автоматики и управления на подстанциях. Нарушитель, получивший привилегии администратора, может изменить логику работы защит, отключить мониторинг или внедрить вредоносную нагрузку (payload). Последствия способны варьироваться от временного простоя оборудования до масштабных аварий.
Производитель - Siemens AG - уже подтвердил уязвимость. Как сообщается в бюллетене безопасности, выпущено обновление, которое устраняет проблему. Способ устранения - обновление программного обеспечения. Компания рекомендует всем пользователям как можно скорее установить патч. Информация о наличии готового эксплойта пока уточняется, но высокая оценка CVSS и подробное описание ошибки почти наверняка привлекут внимание исследователей.
Для промышленных сред данная новость особенно тревожна. В отличие от офисных систем, обновление промышленных контроллеров часто задерживается. Причина - необходимость согласования с регламентами непрерывности производства. Однако в данном случае риск настолько велик, что откладывать установку исправления опасно. Атаки на АСУ ТП в последние годы становятся всё более популярными среди APT-групп . Повышение привилегий в RUGGEDCOM CROSSBOW может стать идеальным первым шагом для дальнейшего продвижения в глубь сети.
Отдельно стоит отметить, что уязвимость затрагивает именно систему управления доступом (SAM-P). Это центральный компонент безопасности. Если администраторские права получает злоумышленник, он может не только управлять IED, но и скрыть следы своего присутствия. Например, подменить журналы событий или отключить механизмы обнаружения вторжений (IDS). Нарушитель способен закрепиться в системе (persistence) и переключить контроль над оборудованием на себя.
Эксперты по кибербезопасности настоятельно советуют немедленно проверить версию установленного RUGGEDCOM CROSSBOW в своей инфраструктуре. Если используется дистрибутив старше 5.8, свяжитесь с технической поддержкой Siemens для получения обновления. Параллельно стоит усилить мониторинг сетевого трафика на устройствах АСУ ТП - обратите внимание на необычные запросы к портам, используемым SAM-P. Настройте сигнатуры для систем предотвращения вторжений (IPS). Полезно также провести аудит привилегированных учётных записей.
В долгосрочной перспективе операторам критической инфраструктуры стоит пересмотреть практику сегментации сетей. RUGGEDCOM CROSSBOW не должен быть доступен из внешнего контура без строгой многофакторной аутентификации. Ограничение доступа по принципу наименьших привилегий снизит радиус поражения, даже если уязвимость будет проэксплуатирована.
На данный момент это одна из наиболее опасных уязвимостей в продуктах Siemens, раскрытых в апреле 2026 года. Следите за обновлениями: возможно, вскоре появятся технические детали эксплуатации. Главное - не откладывать установку исправления.
Ссылки
- https://bdu.fstec.ru/vul/2026-05802
- https://www.cve.org/CVERecord?id=CVE-2026-27668
- https://cert-portal.siemens.com/productcert/html/ssa-741509.html
