Специалисты по кибербезопасности обнаружили новую уязвимость в популярном промышленном программном обеспечении - Mitsubishi Electric Iconics Suite. Эта SCADA-система (система диспетчерского управления и сбора данных) широко используется в автомобилестроении, энергетике и производстве для мониторинга и управления технологическими процессами.
Проблема, получившая идентификатор CVE-2025-0921, оценена по шкале CVSS в 6.5 баллов, что соответствует среднему уровню опасности. Однако её эксплуатация позволяет злоумышленникам вызвать условия отказа в обслуживании (DoS, denial-of-service) на целевых системах. Следовательно, это напрямую угрожает операционной доступности критической инфраструктуры.
Источник проблемы и механизм атаки
Согласно отчету исследователей из Palo Alto Networks, уязвимость коренится в компоненте AlarmWorX64 MMX Pager Agent пакета Iconics Suite. Конкретно, проблема заключается в некорректном управлении привилегиями при операциях с файловой системой. Злоумышленник, уже имеющий локальный доступ к системе без прав администратора, может манипулировать критически важными системными файлами. В результате это приводит к повреждению системы и выводит из строя инженерные рабочие станции.
Уязвимость затрагивает версии Iconics Suite 10.97.2 и более ранние, работающие под управлением Microsoft Windows. Эксплуатация становится возможной из-за неправильной настройки разрешений, связанной с отдельной уязвимостью CVE-2024-7587 в установщике GenBroker32. Эта ошибка предоставляет обычным локальным пользователям избыточные права на запись в каталог "C:\ProgramData\ICONICS", где хранятся конфигурационные файлы.
Атакующий может отредактировать файл "IcoSetup64.ini", чтобы изменить путь ведения журнала "SMSLogFile". Затем, создав символическую ссылку, он перенаправляет операции логирования на критический драйвер Windows, такой как "cng.sys". Этот драйвер отвечает за криптографические услуги и необходим для процесса загрузки системы. Последующие попытки записи логов повреждают драйвер, подменяя его исполняемый код посторонними данными.
Последствия для промышленных систем
После перезагрузки Windows пытается загрузить поврежденный драйвер "cng.sys", что приводит к сбою инициализации. Система попадает в бесконечный цикл восстановления, неспособная завершить процесс загрузки. Таким образом, на целевой инженерной рабочей станции создается устойчивое состояние отказа в обслуживании. Для промышленного предприятия это может означать потерю возможности мониторинга технологических параметров, управления оборудованием и своевременного реагирования на аварии. Следовательно, даже уязвимость средней степени опасности в средах операционных технологий может иметь катастрофические последствия, где доступность системы является абсолютным приоритетом.
Рекомендации по устранению угрозы
Компания Mitsubishi Electric уже выпустила информационное сообщение о безопасности с подробным описанием мер по устранению рисков. Администраторам промышленных систем настоятельно рекомендуется немедленно применить предоставленные обходные пути и патчи. В первую очередь, необходимо обновить все системы, использующие Iconics Suite версий 10.97.2 и старше. Кроме того, следует проверить и ужесточить политики контроля доступа к каталогам и конфигурационным файлам, следуя рекомендациям вендора.
Данный инцидент в очередной раз подчеркивает фундаментальную важность правильного управления привилегиями и контроля доступа в средах промышленных систем управления. Регулярный аудит разрешений, своевременное обновление программного обеспечения и сегментация сетей остаются ключевыми практиками для защиты критической инфраструктуры от подобных целевых атак.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-0921
- https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2025-002_en.pdf
- https://jvn.jp/vu/JVNVU93838985
