Компания Moxa опубликовала бюллетень безопасности MPSA-266240, описывающий уязвимость CVE-2026-9266. Она затрагивает значительную часть промышленных компьютеров и контроллеров на встроенном Linux-образе. Речь идёт об отсутствии необходимого криптографического шага, классифицированном как CWE-325. По шкале CVSS версии 4.0 уязвимость получила оценку 7,0 (высокий уровень угрозы). Для затронутых серий уже выпущены обновления прошивки. Организациям, использующим такие устройства, рекомендуется как можно скорее установить патчи.
Детали уязвимости CVE-2026-9266
Причина уязвимости кроется в неполном исправлении более ранней проблемы CVE-2026-0714. В ответ на предыдущую угрозу разработчики Moxa внедрили в прошивку шифрование параметров TPM (модуля доверенной загрузки). Однако ошибка в конфигурации сессии авторизации свела защиту на нет. Шифрование не обеспечивает реальной безопасности, поскольку злоумышленник с инвазивным физическим доступом может перехватить обмен данными между TPM и центральным процессором по шине SPI (последовательный периферийный интерфейс). Полученная информация позволяет восстановить ключ шифрования диска LUKS (стандарт шифрования томов в ОС на ядре Linux) в открытом виде.
Технически атака требует прямого контакта с устройством: необходимо вскрыть корпус, подключить внешнее оборудование к шине SPI и зафиксировать трафик. Удалённая эксплуатация невозможна. При этом успешное выполнение атаки приводит к полной компрометации зашифрованного раздела. Все данные на диске становятся доступны злоумышленнику. Важно подчеркнуть, что уязвимость не влияет на нижестоящие системы и не позволяет перемещаться внутри сети, однако для отдельно взятого промышленного компьютера последствия могут быть критическими, особенно если на нём хранятся конфигурации производственных линий или ключи доступа к более широкой инфраструктуре.
Затронутые модели охватывают несколько серий UC и V: UC-1200A, UC-2200A, UC-3400A, UC-4400A, UC-8200, а также V1200, V2406C WL, V3200, V3400. Для каждой серии указаны уязвимые версии. В случае UC‑1200A, например, это версии OS image (MIL3 Secure) до v1.4 включительно и версии (MIL4 Secure) до выхода обновления MIL4.0.0. Для V2406C WL, где установка обновлений может быть затруднена, Moxa рекомендует в качестве меры смягчения эксплуатировать устройство только в среде с контролируемым физическим доступом.
В бюллетене Moxa говорится: "Уязвимость Missing Required Cryptographic Step (отсутствие необходимого криптографического шага) была выявлена во встроенном Linux-образе для промышленных компьютеров и контроллеров. Она представляет собой неполное исправление CVE-2026-0714. Прошивка ввела шифрование параметров TPM2 в качестве контрмеры, однако пропуск в конфигурации сессии авторизации делает это шифрование неэффективным. Атакующий с инвазивным физическим доступом всё ещё может перехватить коммуникации TPM на шине SPI и получить ключ шифрования диска LUKS в открытом виде".
Исследователи из компании Cyloq сообщили об уязвимости и участвовали в её закрытии. Moxa выразила благодарность за сотрудничество. Для установки исправлений предусмотрены два сценария: онлайн-обновление с помощью менеджера пакетов apt и офлайн-процедура для изолированных (air-gapped) систем. Во втором случае требуется промежуточная машина с тем же типом устройства и версией образа, с которой загружаются пакеты .deb и переносятся на целевую систему через защищённый носитель. После установки обязательна перезагрузка и проверка версий установленных пакетов.
Риск для организаций, которые не установят обновление, напрямую связан с наличием физического доступа потенциального злоумышленника. Если устройство находится в дата-центре с ограниченным доступом, угроза минимальна. Однако промышленные контроллеры часто размещаются на производственных площадках, в распределённых шкафах автоматики или на удалённых объектах, где физический контроль может быть ослаблен. В таких сценариях злоумышленник, имеющий доступ к устройству на протяжении нескольких минут, сможет извлечь ключ шифрования и затем расшифровать весь накопитель. Это особенно опасно, если на томе хранятся сертификаты, ключи VPN, конфигурации сетевых соединений или журналы аудита.
Следует подчеркнуть, что уязвимость не является следствием ошибки в каком-то отдельном приложении, а встроена непосредственно в ядро операционной системы и драйверы, отвечающие за взаимодействие с TPM. Следовательно, любой компьютер из списка затронутых серий, работающий на старой прошивке, потенциально уязвим.
На текущий момент единственным надёжным способом защиты является обновление прошивки до версий, указанных в бюллетене: MIL3.4.1, MIL4.0.0 или MIL3 в зависимости от модели. Для серии V2406C WL, если обновление невозможно, следует строго ограничить физический круг лиц, имеющих доступ к устройству, и рассмотреть возможность установки дополнительных замков или корпусов с индикацией вскрытия.
Решение о применении патчей должно приниматься с учётом производственного цикла, однако отсрочка обновлений сопряжена с риском утечки конфиденциальных данных, зашифрованных на дисках. Оценка 7,0 по CVSS 4.0 указывает на серьёзность проблемы, хотя ограничение по физическому вектору атаки снижает общий уровень опасности. Тем не менее для объектов критической инфраструктуры пренебрежение исправлением недопустимо.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-9266
- https://www.moxa.com/en/support/product-support/security-advisory/mpsa-266240-cve-2026-9266-missing-required-cryptographic-step-vulnerability-in-industrial-computers
