В последние дни 2025 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована новая серьёзная уязвимость, затрагивающая промышленное сетевое оборудование. Речь идёт об ошибке в микропрограммном обеспечении терминальных серверов NPort 6100-G2 и 6200-G2 от компании Moxa Inc. Эта уязвимость, получившая идентификаторы BDU:2026-00008 и CVE-2025-1977, классифицируется как имеющая высокий уровень опасности. Более того, её уже подтвердил сам производитель оборудования.
Детали уязвимости
Суть проблемы заключается в архитектурном недостатке механизма разграничения доступа в интерфейсе командной строки (CLI, Command-Line Interface) устройства. Согласно описанию, ошибка относится к категории CWE-250, то есть позволяет исполнение кода с необязательными привилегиями. Проще говоря, удалённый злоумышленник, уже имеющий учётную запись с ограниченными правами на устройстве, может потенциально обойти эти ограничения. В результате он способен получить полный контроль над конфигурацией терминального сервера.
Такие устройства широко применяются в системах промышленной автоматизации, энергетике и транспорте для организации удалённого последовательного доступа к оборудованию. Следовательно, успешная эксплуатация данной уязвимости может привести к серьёзным последствиям. Например, злоумышленник может изменить сетевые настройки, нарушив связность критических систем, или подготовить плацдарм для более глубокого проникновения в корпоративную сеть. В худшем случае это может стать первым шагом к саботированию технологических процессов.
Система оценки CVSS в трёх её актуальных версиях единогласно подтверждает высокую степень угрозы. Базовая оценка по CVSS 3.1 достигает 8.8 баллов. Ключевыми факторами являются сетевая атака (AV:N), низкая сложность эксплуатации (AC:L) и необходимость наличия каких-либо прав доступа у атакующего (PR:L). При этом воздействие оценивается как высокое по всем компонентам: конфиденциальности, целостности и доступности (C:H/I:H/A:H). Уязвимость затрагивает все версии микропрограммного обеспечения указанных моделей терминальных серверов, предшествующие версии 1.1.0.
Производитель Moxa отреагировал на обнаруженную проблему и выпустил исправления. Уязвимость была устранена в обновлённой версии прошивки 1.1.0. Соответственно, основной и рекомендуемый способ защиты - это установка патча. Однако в рекомендациях BDU содержится важное замечание, связанное с геополитической обстановкой. Специалисты напоминают, что в условиях действующих санкций обновления программного обеспечения следует устанавливать только после тщательной оценки всех сопутствующих рисков. Это стандартная практика для критически важных объектов.
Тем временем, если немедленное обновление по какой-то причине невозможно, эксперты предлагают ряд компенсирующих мер для снижения риска. Во-первых, необходимо строго ограничить удалённый доступ к устройствам NPort 6100-G2/6200-G2 с помощью межсетевых экранов. Идеально полностью исключить их доступность из интернета. Во-вторых, поможет сегментация сети, которая изолирует эти устройства в отдельном защищённом сегменте. Кроме того, для организации безопасного удалённого управления стоит использовать виртуальные частные сети.
Для обнаружения потенциальных атак специалисты рекомендуют задействовать системы класса SIEM. Они могут отслеживать и анализировать события, связанные с изменением конфигурации сетевых устройств. Наконец, крайне важной мерой является регулярное и надёжное резервное копирование конфигураций. Это позволит быстро восстановить работоспособность системы в случае её компрометации. Полный список рекомендаций от Moxa доступен по ссылке в описании уязвимости BDU.
На текущий момент нет подтверждённых данных о наличии публичных эксплойтов, использующих данную уязвимость. Однако её высокая оценка по CVSS и относительная простота эксплуатации делают её привлекательной мишенью для злоумышленников. Особенно это актуально для групп, специализирующихся на атаках на промышленные объекты. Поэтому администраторам, в чьей инфраструктуре используются указанные модели терминальных серверов Moxa, следует безотлагательно провести инвентаризацию и принять меры по обновлению или дополнительной защите устройств. Своевременное применение патчей остаётся самым эффективным способом закрыть известные векторы атак и обеспечить безопасность операционных технологий.
Ссылки
- https://bdu.fstec.ru/vul/2026-00008
- https://www.cve.org/CVERecord?id=CVE-2025-1977
- https://www.moxa.com/en/support/product-support/security-advisory/mpsa-251731-cve-2025-1977-cve-2025-2026-multiple-vulnerabilities-in-nport-6100-g2-6200-g2-series
