В Банке данных угроз безопасности информации (BDU) были опубликованы сведения о двух критических уязвимостях в микропрограммном обеспечении модулей автоматизации SPRECON-E компании Sprecher Automation GmbH. Данные устройства широко используются в системах автоматизации технологических процессов (АСУ ТП). Обе уязвимости, получившие идентификаторы BDU:2025-16461 и BDU:2025-16459, связаны с фундаментальной ошибкой безопасности - использованием жестко заданных криптографических ключей. Эксплуатация этих недостатков, по данным BDU, позволяет удаленному злоумышленнику нарушить конфиденциальность и целостность информации, а в одном из случаев - организовать классическую атаку «человек посередине» (Man-in-the-Middle, MitM).
Детали уязвимостей
В основе проблем лежат две распространенные ошибки, классифицированные по стандарту CWE (Common Weakness Enumeration) как CWE-321 «Жесткое кодирование криптографического ключа» и CWE-1394 «Использование криптографического ключа по умолчанию». Проще говоря, встроенное программное обеспечение контроллеров использует предсказуемые или одинаковые для всех устройств криптографические секреты. Это полностью нивелирует защиту, которую должна обеспечивать криптография. В результате злоумышленник, перехвативший или угадавший ключ, может расшифровывать передаваемые данные, подменять их или выдавать себя за легитимное устройство в сети.
Особую тревогу вызывает уязвимость, описанная в записи BDU:2025-16459 (CVE-2025-41744). Она классифицирована как уязвимость архитектуры и позволяет провести атаку типа MitM. Важно отметить, что для этой уязвимости подтверждено существование эксплойта (вредоносного кода для эксплуатации) в открытом доступе. Это значительно повышает риск реальных инцидентов, так как снижает порог входа для потенциальных атакующих. Оценки по шкале CVSS (Common Vulnerability Scoring System) подчеркивают критичность ситуации: базовая оценка CVSS 3.1 составляет 9.1 балла из 10, что соответствует критическому уровню опасности. Вектор атаки оценивается как сетевой, не требующий специальных привилегий или взаимодействия с пользователем.
Вторая уязвимость, BDU:2025-16461 (CVE-2025-41742), также получила высокие оценки опасности. Ее базовая оценка CVSS 3.1 достигает 9.6 баллов. Хотя производитель классифицировал ее как уязвимость кода, а не архитектуры, последствия не менее серьезны. Эксплуатация может привести к полной компрометации целостности информации и доступности системы. Согласно описанию, атакующий с низким уровнем привилегий может причинить значительный ущерб, особенно в средах с широким вектором атаки.
На текущий момент производитель, компания Sprecher Automation GmbH, подтвердил существование обеих уязвимостей, разместив соответствующие оповещения о безопасности на своем сайте. Однако конкретные способы устранения, патчи или обновленные версии микропрограммного обеспечения пока не опубликованы. Информация об этом, согласно BDU, все еще уточняется. Следовательно, операторам критической инфраструктуры и промышленных предприятий, использующих данные контроллеры, приходится полагаться исключительно на компенсирующие меры.
Эксперты BDU предлагают ряд стандартных, но эффективных действий для снижения риска. В первую очередь, это строгое сегментирование сетей. Необходимо полностью изолировать промышленный сегмент, где работают контроллеры SPRECON-E, от корпоративных сетей и тем более от интернета. Доступ к этому сегменту должен быть максимально ограничен. Кроме того, рекомендуется использовать межсетевые экраны для фильтрации всего входящего и исходящего трафика, а для любого необходимого удаленного доступа организовывать защищенные VPN-каналы (Virtual Private Network). Для мониторинга предлагается задействовать функции SNMP (Simple Network Management Protocol) для отслеживания состояния устройств и контрольных сумм их конфигураций с настройкой оповещений о любых несанкционированных изменениях.
Обнаружение этих уязвимостей в очередной раз высвечивает системные проблемы безопасности в сфере промышленного Интернета вещей (IIoT) и АСУ ТП. Жестко заданные учетные данные и криптографические ключи являются давно известным антипаттерном. Тем не менее, подобные ошибки продолжают встречаться в оборудовании, от которого зависит функционирование реальных физических процессов. Пока производитель не выпустит официальные исправления, безопасность систем, построенных на контроллерах SPRECON-E, будет напрямую зависеть от грамотности и оперативности внедрения компенсирующих мер их владельцами. Ситуация требует пристального внимания со стороны специалистов по промышленной кибербезопасности и SOC.
Ссылки
- https://bdu.fstec.ru/vul/2025-16459
- https://bdu.fstec.ru/vul/2025-16461
- https://www.cve.org/CVERecord?id=CVE-2025-41742
- https://www.cve.org/CVERecord?id=CVE-2025-41744
- https://www.sprecher-automation.com/it-sicherheit/security-alerts
- https://www.sprecher-automation.com/fileadmin/itSecurity/PDF/SPR-2511042_de.pdf
- https://www.sprecher-automation.com/fileadmin/itSecurity/PDF/SPR-2511043_de.pdf
- https://www.sprecher-automation.com/fileadmin/itSecurity/PDF/SPR-2511044_en.pdf
