Schneider Electric выпустила предупреждение об уязвимости в своём продукте EcoStruxure IT Data Center Expert - программном обеспечении для мониторинга оборудования центров обработки данных. Проблема получила идентификатор CVE-2026-8045 и оценку 7,1 балла по шкале CVSS v4.0 (высокий уровень опасности). Она затрагивает все версии продукта до 9.1.2 включительно. Злоумышленник, имеющий учётную запись пользователя Data Center Expert, может отправить специально сформированную полезную нагрузку к конечным точкам SOAP-сервисов и получить доступ к содержимому файлов на сервере.
Уязвимость CVE-2026-8045
EcoStruxure IT Data Center Expert - это масштабируемая система, которая собирает, систематизирует и распространяет критическую информацию об оборудовании, обеспечивая комплексное представление о состоянии ИТ-инфраструктуры. Такие системы широко применяются в центрах обработки данных, на промышленных объектах и в телекоммуникационных узлах. Утечка информации о топологии сети, конфигурациях устройств или учётных данных может стать отправной точкой для более серьёзных атак. При этом уязвимость требует аутентификации, поэтому жертвами станут только те организации, чьи сотрудники или подрядчики уже имеют доступ к системе.
В основе проблемы лежит ошибка, классифицированная как CWE-611 - некорректное ограничение ссылок на внешние сущности XML. Если говорить просто, продукт некорректно обрабатывает XML-документы, которые пользователь может отправить через SOAP-интерфейс (протокол обмена сообщениями на основе XML). Атакующий вставляет в такой документ ссылку на внешнюю сущность - например, на локальный файл /etc/passwd или конфигурационный файл базы данных. В результате сервер читает указанный файл и возвращает его содержимое в ответе. Такая техника известна как XXE-атака (внедрение внешних XML-сущностей). Она не требует сложного оборудования или специальных навыков: достаточно знать адрес SOAP-сервиса и иметь учётную запись с минимальными правами.
Каковы практические последствия? Во-первых, злоумышленник может извлечь конфиденциальные данные: пароли, ключи шифрования, настройки сетевых устройств. Во-вторых, информация о внутренней структуре ИТ-инфраструктуры может быть использована для планирования дальнейших атак - например, на другие компоненты системы или смежные сети. В-третьих, поскольку уязвимость не требует прав администратора, угроза исходит даже от недобросовестных сотрудников с низким уровнем доступа. Однако прямая возможность выполнить код на сервере или нарушить его работу отсутствует - атака направлена только на чтение данных.
Schneider Electric уже выпустила исправление в версии 9.1.2. Компания рекомендует обновить систему в кратчайшие сроки, предварительно сделав резервные копии и протестировав патч в изолированной среде. Кроме того, производитель напоминает об общих мерах защиты: размещать системы управления за межсетевыми экранами, изолировать их от корпоративной сети и интернета, использовать VPN (виртуальные частные сети) для удалённого доступа. Эти меры снижают риск эксплуатации уязвимости, даже если исправление не установлено.
Отдельного упоминания заслуживает исследователь, обнаруживший проблему. Это Венсан Мишель (известный под псевдонимом darkpills) из компании Formind. Его работа позволила Schneider Electric оперативно подготовить обновление и предотвратить возможные инциденты. Такая практика ответственного раскрытия уязвимостей становится стандартом в индустрии.
Для специалистов по информационной безопасности эта новость - повод проверить, не используется ли в их инфраструктуре уязвимая версия EcoStruxure IT Data Center Expert. Обновление уже доступно для загрузки на официальном сайте производителя. Если по каким-то причинам установить патч немедленно невозможно, стоит временно ограничить доступ к SOAP-интерфейсу с помощью сетевых правил или отключить ненужные учётные записи пользователей.
В конечном счёте, уязвимость CVE-2026-8045 иллюстрирует классическую, но до сих пор актуальную проблему: даже современные системы управления инфраструктурой могут быть уязвимы к старым, хорошо известным атакам, если разработчики не проверяют корректность обработки входных данных. В данном случае риск ограничен раскрытием информации, но в сочетании с другими уязвимостями последствия могут быть гораздо серьёзнее. Поэтому установка исправления - не рекомендация, а необходимость.
Ссылки
