В марте 2025 года была обнаружена и подтверждена производителем критическая уязвимость в микропрограммном коде популярных лазерных датчиков SICK DL100. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00199 и получившая идентификатор CVE-2025-27595, связана с использованием ненадежного механизма хеширования паролей. Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удаленно, без каких-либо привилегий подобрать учетные данные. Следовательно, атакующий может получить полный контроль над устройством, нарушив его целостность и конфиденциальность.
Детали уязвимости
С технической точки зрения, уязвимость классифицируется как CWE-328, что означает использование обратимой или подверженной криптоанализу хеш-функции. Проще говоря, пароли в системе защищены слабым алгоритмом, который можно обратить или относительно легко взломать методом подбора. Это фундаментальная ошибка в реализации механизма аутентификации. Устройства SICK DL100 широко применяются в промышленной автоматизации для точного измерения расстояний и позиционирования объектов. Таким образом, их компрометация может напрямую влиять на технологические процессы.
Уровень угрозы оценен как критический по обеим основным шкалам CVSS. Балльная оценка CVSS 2.0 достигает максимального значения 10.0, а оценка по более современной CVSS 3.1 составляет 9.8 из 10. Вектор атаки (AV) обозначен как сетевой (N), что подразумевает возможность удаленной эксплуатации без физического доступа к датчику. Для успешной атаки не требуются ни специальные условия (AC:L), ни предварительная аутентификация злоумышленника (PR:N). Кроме того, для проведения атаки не нужно взаимодействие с пользователем (UI:N).
Полученный в результате атаки максимальный уровень привилегий приводит к тотальному воздействию на систему. В частности, под угрозой оказываются конфиденциальность (C:H), целостность (I:H) и доступность (A:H) устройства. Фактически, злоумышленник может перехватить управление датчиком, изменить его настройки или вывести из строя. В промышленном контексте подобные действия способны вызвать сбои в работе конвейерных линий, нарушить логистические процессы или стать первым шагом для более глубокого проникновения в корпоративную сеть. Например, скомпрометированный датчик может быть использован как плацдарм для атаки на систему SCADA.
Производитель, компания SICK AG, оперативно отреагировал на обнаруженную проблему. Уязвимость уже устранена, а подробные рекомендации опубликованы в официальном документе безопасности SCA-2025-0004. Эксперты настоятельно рекомендуют всем организациям, использующим данные датчики, немедленно обратиться к этому руководству. Обычно меры по устранению включают обновление микропрограммного обеспечения до патченной версии. Дополнительно, в качестве организационной меры, следует пересмотреть политику сетевой безопасности, ограничив доступ к портам управления подобных устройств только доверенным IP-адресам.
Информация об уязвимости была независимо исследована и опубликована специалистами Deutsche Telekom Security. Их отчет содержит детальный технический анализ недостатка. На текущий момент публичных сведений о существовании готового эксплойта нет, однако высокая степень опасности делает создание такого инструмента лишь вопросом времени. Сообщество кибербезопасности относит подобные уязвимости к высокорисковым, поскольку они затрагивают базовые механизмы защиты. Поэтому затягивание с установкой обновлений недопустимо.
Данный инцидент в очередной раз подчеркивает важность безопасности промышленных интернета вещей (IIoT). Промышленное оборудование, традиционно считавшееся изолированным, теперь часто имеет сетевые интерфейсы для удаленного мониторинга. Однако внедрение средств защиты для таких устройств иногда отстает. В результате, как показала эта уязвимость, даже специализированное промышленное оборудование может стать легкой мишенью для удаленной атаки. Регулярный аудит и своевременное обновление встроенного ПО должны быть неотъемлемой частью политики безопасности любого современного предприятия.
Ссылки
- https://bdu.fstec.ru/vul/2026-00199
- https://www.cve.org/CVERecord?id=CVE-2025-27595
- https://nvd.nist.gov/vuln/detail/CVE-2025-27595
- https://github.security.telekom.com/2025/03/multiple-vulnerabilities-in-sick-dl100.html
- https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0004.pdf
