Siemens опубликовала бюллетень безопасности SSA-229470, в котором сообщила о закрытии четырёх уязвимостей в продуктах CPCI85 Central Processing/Communication и SICORE Base system. Проблемы затрагивают все версии указанных устройств до версии V26.20 (для CPCI85) и V26.20.0 (для SICORE). В зависимости от типа уязвимости злоумышленник мог бы вызвать отказ в обслуживании, выполнить произвольный код, повысить свои привилегии или обойти политику безопасности.
Детали уязвимостей
Наиболее критической стала уязвимость CVE-2026-54799, связанная с механизмом проверки цифровой подписи при обновлении прошивки. В случае её эксплуатации атакующий при наличии высоких привилегий мог бы установить на устройство вредоносную прошивку. Это привело бы к полному компромиссу системы и сохранению доступа злоумышленника даже после перезагрузки. По шкале CVSS версии 4.0 эта проблема получила оценку 8,4 - высокий уровень опасности. Вектор атаки требует физического доступа или локального подключения, однако успешная атака позволяет получить полный контроль над конфиденциальностью, целостностью и доступностью данных.
CVE-2026-54801, связана с недостаточной проверкой подлинности при изменении административных учётных записей через веб-интерфейс API. Аутентифицированный пользователь мог бы обойти контроль доступа и получить несанкционированное повышение привилегий. Компания оценила её по стандарту CVSS 4.0 в 8,6 баллов. Вектор - сетевой, эксплуатация возможна удалённо при условии наличия учётной записи с ограниченными правами.
CVE-2026-54798, заключается в том, что в состав программного обеспечения входит отладочный интерфейс, доступный через HTTP-соединения. Это позволило бы аутентифицированному удалённому пользователю вызвать крах веб-процесса, что приводит к отказу в обслуживании. Оценка CVSS 4.0 - 7,1 баллов (высокий уровень). Атака возможна по сети, не требует сложных условий.
CVE-2026-54800, носит принципиально иной характер: продукт поставляется с настройками по умолчанию, в которых отключены все механизмы безопасности протокола OPC UA (открытая платформа для обмена данными в промышленной автоматизации). В такой конфигурации злоумышленник, имеющий сетевой доступ к устройству, мог бы получить несанкционированный доступ и контроль над критически важными функциями. По шкале CVSS 4.0 оценка - 6,3 балла (средний уровень). Компания указала, что для эксплуатации требуется высокая сложность атаки, однако потенциальный ущерб от вмешательства в работу промышленного оборудования может быть значительным.
Уязвимости затрагивают два типа устройств: CPCI85 - центральный процессор/коммуникационный модуль, используемый в системах промышленной автоматизации Siemens, и SICORE Base system - базовую платформу для работы специализированного программного обеспечения. Продукты применяются в энергетике, на производственных предприятиях и в других объектах критической инфраструктуры. Именно поэтому даже уязвимости со средним уровнем опасности требуют оперативного внимания.
В качестве решения Siemens рекомендует обновить прошивку до версии V26.20 (для CPCI85) и V26.20.0 (для SICORE). Временные меры защиты включают ограничение сетевого доступа к уязвимым устройствам, отключение ненужных отладочных интерфейсов и включение механизмов безопасности OPC UA в конфигурации системы.
Это не первый случай, когда в промышленных контроллерах Siemens выявляются проблемы, связанные с отсутствием защиты по умолчанию. Производитель последовательно переводит свои продукты на использование безопасных конфигураций по умолчанию, но инженерам по эксплуатации всё равно следует проверять настройки после установки обновлений. В текущем бюллетене также подчёркивается, что все четыре уязвимости были обнаружены внутренними исследователями Siemens в рамках программ повышения безопасности собственной продукции.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-54801
- https://www.cve.org/CVERecord?id=CVE-2026-54800
- https://www.cve.org/CVERecord?id=CVE-2026-54799
- https://www.cve.org/CVERecord?id=CVE-2026-54798