В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость, затрагивающая популярные программируемые логические контроллеры (ПЛК) серии MELSEC iQ-F от Mitsubishi Electric. Уязвимость, получившая идентификатор BDU:2025-16256 и международный идентификатор CVE-2025-3755, связана с некорректной проверкой индекса, положения или смещения в памяти устройства. Эта ошибка программирования позволяет удаленному злоумышленнику раскрыть конфиденциальную информацию, хранящуюся в контроллере, и вызвать отказ в обслуживании (DoS), что может парализовать технологический процесс.
Детали уязвимости
Эксперты присвоили уязвимости высокий уровень опасности. В частности, базовая оценка по системе CVSS 2.0 составила 9.4 балла, а по более современной CVSS 3.1 - 9.1 балла, что соответствует критическому уровню. Высокие баллы обусловлены тем, что для эксплуатации уязвимости не требуется аутентификация или взаимодействие с пользователем, а сама атака может быть проведена удаленно через сеть. Следовательно, под угрозой оказываются промышленные системы, использующие уязвимое оборудование и имеющие выход в корпоративную сеть или интернет.
Уязвимость затрагивает широкий спектр моделей ПЛК серии MELSEC iQ-F, включая FX5U, FX5UC, FX5UJ и FX5S. Эти устройства широко применяются в системах автоматизации по всему миру для управления производственными линиями, роботами и другими технологическими процессами. Уязвимость относится к классу ошибок проверки границ, когда контроллер неправильно обрабатывает запросы с определенными параметрами. В результате злоумышленник может получить несанкционированный доступ к защищаемой информации, такой как логика управления, конфигурационные данные или состояние системы. Кроме того, отправка специально сформированного вредоносного (malicious) запроса может привести к сбою в работе ПЛК.
Производитель, корпорация Mitsubishi Electric, уже подтвердила наличие уязвимости и выпустила рекомендации по ее устранению. Согласно официальному бюллетеню безопасности, проблема была успешно исправлена. Специалисты настоятельно рекомендуют всем владельцам затронутого оборудования незамедлительно обратиться к поставщику или непосредственно к Mitsubishi Electric для получения обновлений прошивки или инструкций по применению корректирующих мер. Основным способом устранения является обновление программного обеспечения контроллеров до защищенной версии.
На текущий момент нет общедоступной информации о существовании работающего эксплойта, однако высокая критичность уязвимости делает ее привлекательной целью для киберпреступников. Особую озабоченность вызывает потенциальный контекст ее использования. Промышленные системы часто становятся мишенью для целевых атак продвинутых постоянных угроз (Advanced Persistent Threat, APT), а уязвимости, позволяющие как читать данные, так и нарушать работу системы, представляют двойную опасность. Например, злоумышленник может сначала изучить логику процесса, а затем целенаправленно вывести его из строя.
Таким образом, данная уязвимость подчеркивает сохраняющиеся риски в области кибербезопасности операционных технологий (ОТ). Многие промышленные активы, в отличие от IT-инфраструктуры, имеют длительный жизненный цикл и не всегда могут быть оперативно обновлены. Однако в данном случае оперативные действия критически важны. Организациям необходимо провести инвентаризацию используемых средств АСУ ТП, идентифицировать уязвимые устройства и запланировать окно для безопасного обновления. Кроме того, в качестве дополнительных мер защиты следует рассмотреть сегментацию сетей, изоляцию промышленных сегментов и мониторинг сетевого трафика с помощью систем обнаружения вторжений (Intrusion Detection System, IDS).
В заключение, уязвимость CVE-2025-3755 служит очередным напоминанием о необходимости комплексного подхода к защите критической инфраструктуры. Своевременное применение патчей, строгое сетевое разделение и постоянный мониторинг угроз должны стать неотъемлемой частью стратегии безопасности для любого промышленного предприятия. Игнорирование подобных предупреждений может привести к серьезным производственным простоям, финансовым потерям и даже к угрозе безопасности персонала.
Ссылки
- https://bdu.fstec.ru/vul/2025-16256
- https://www.cve.org/CVERecord?id=CVE-2025-3755
- https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-003_en.pdf
- https://jvn.jp/vu/JVNVU94070048/
