Отчет об анализе уязвимостей в системе безопасности промышленных систем управления за 2025 год

управляющее резюме

В этом отчете представлен глубокий анализ текущей ситуации с безопасностью промышленных систем управления (ICS) и двух уязвимостей с высоким уровнем риска. В 2025 году безопасность промышленных систем управления столкнется с беспрецедентными проблемами, которые в основном проявляются в двунаправленных рисках технологических инноваций и краж, двойных опасностях, вызванных сосуществованием старых и новых технологий, усилении кризиса безопасности цепочки поставок, а также уязвимостях "нулевого дня" и провале стратегий сокрытия.

Отчет посвящен двум критическим уязвимостям: уязвимости обхода аутентификации в системе кондиционирования Mitsubishi Electric G-50 (CVE-2025-3699) и уязвимости обхода путей и инъекции команд в зарядном устройстве Schneider Electric EVLink WallBox (CVE-2025-5740). Уязвимость Mitsubishi Electric имеет высокий балл уязвимости 9.8 (CVSS 3.1) и может привести к несанкционированному доступу к системе управления, затрагивая системы кондиционирования серии G-50, использующие прошивку версии 3.37 и ниже. Информация об уязвимости Schneider Electric пока не получена, но, согласно сообщению Industrial Control Systems Security Alert, выпущенному CISA, подобные уязвимости стали основной целью злоумышленников.

В последнем оповещении CISA о безопасности промышленных систем управления говорится, что в первой половине 2025 года было обнаружено несколько уязвимостей с высоким уровнем риска, включая уязвимость консоли MagLink LX компании Dover Fueling Solutions (CVE-2025-5310) и уязвимость iSTAR Configuration Tool компании Johnson Controls (CVE-2025-26383), и что эти уязвимости могут привести к серьезным угрозам безопасности энергетической, правительственной, транспортной и другой критически важной инфраструктуры.

В отчете, основанном на документе NIST SP 800-82 Guidelines for Industrial Control System Security, применяется системный подход к анализу уязвимостей и оценке рисков, а также предлагаются целевые рекомендации по защите. В отчете предлагается создать систему проактивной защиты, укрепить управление цепочками поставок, внедрить многоуровневую архитектуру безопасности и повысить уровень разведки атак и защиты.

1. Введение

1.1 Предпосылки исследования

Промышленные системы управления (ICS) являются основными технологическими системами, поддерживающими национальную критическую инфраструктуру и промышленное производство, а их безопасность вышла за рамки чисто технического уровня и стала важной частью стратегии национальной безопасности. В последние годы с ростом популярности технологии Интернета вещей (IoT) и глубокой интеграции ИТ/ОТ-систем значительно расширился сетевой охват промышленных систем управления, а угрозы безопасности становятся все более серьезными.

Соединенные Штаты в первой половине 2025 годаинформационная безопасностьАгентство по безопасности промышленных систем управления и инфраструктуры (CISA) выпустило ряд предупреждений о безопасности промышленных систем управления, включая серию бюллетеней ICSA-25-148, охватывающих ряд уязвимостей с высоким уровнем риска. Эти уязвимости охватывают ряд критически важных областей, таких как энергетика, производство, строительство и транспорт, что свидетельствует о серьезных проблемах безопасности, с которыми сегодня сталкиваются промышленные системы управления.

Согласно прогнозу Kaspersky ICS CERT на 2025 год, основными угрозами для промышленных систем управления стали целенаправленные атаки, обусловленные геополитическими соображениями, цивилизация средств атаки и нехватка возможностей для экстренного реагирования. В то же время отчет Chianson 2025 Cybersecurity Trends Report показывает, что в 2024 году было добавлено 40 289 новых уязвимостей, причем в категории кода исполнения их число увеличилось на 53,88%, что отражает продолжающуюся эскалацию угроз, связанных с уязвимостями.

На этом фоне данный отчет посвящен анализу уязвимости системы кондиционирования Mitsubishi Electric (CVE-2025-3699) и уязвимости зарядного устройства Schneider Electric EVLink WallBox (CVE-2025-5740) с целью выявления технических характеристик, моделей атак и защитных контрмер текущих уязвимостей промышленных систем управления, а также предоставления рекомендаций по безопасности для промышленных предприятий и критической инфраструктуры.

1.2 Область применения и методология отчета

Область исследования

В этом отчете основное внимание уделяется следующему:

1. Анализ состояния безопасности промышленных систем управления: Всесторонняя оценка ситуации с безопасностью промышленных систем управления в 2025 году на основе отчетов о безопасности и прогнозов тенденций, опубликованных авторитетными организациями.
2. Технический анализ критических уязвимостей:
   • Уязвимость системы кондиционирования Mitsubishi Electric G-50 (CVE-2025-3699): подробный анализ технических принципов, векторов атак и потенциального влияния этой уязвимости механизма аутентификации.
   • Уязвимость в зарядном устройстве Schneider Electric EVLink WallBox (CVE-2025-5740): на основе имеющейся информации проанализированы технические характеристики этой уязвимости, связанной с обходом путей и инъекцией команд.
3. Оценка рисков и анализ воздействия: Система оценок CVSS используется для оценки риска уязвимостей по нескольким параметрам и анализа их потенциального влияния на различные отрасли.
4. Оборонные стратегии и рекомендации по безопасности: Целенаправленная защита в соответствии с руководством по безопасности промышленных систем управления NIST SP 800-82 и рекомендациями по безопасности CISA.

Методология исследования

Для проведения исследования в рамках данного отчета использовалась следующая методология:

1. Обзор литературы: Система собирает и анализирует бюллетени по безопасности, технические отчеты и руководства по безопасности от авторитетных организаций, таких как CISA и NIST.
2. Анализ уязвимостей: На основе данных CVE и технических отчетов используется подход "сверху вниз" для анализа принципов уязвимости и путей атаки.
3. Система оценки рисков: Количественная оценка уязвимостей с использованием системы оценок CVSS 3.1 и оценка влияния на бизнес в соответствии со стандартом классификации активов NIST.
4. метод экспертного консенсуса: Комбинированный многосерийныйэксперт по безопасностирекомендации по защите для формирования системных мер безопасности.

Примечание: Подробная информация об уязвимости Schneider Electric EVLink WallBox Charger (CVE-2025-5740) еще не полностью собрана, поэтому данный отчет основан на предварительном анализе имеющейся информации, которая будет добавлена в последующих обновлениях.

2. Технический анализ критических уязвимостей

В этом разделе представлен подробный анализ технических деталей двух уязвимостей в промышленных системах управления с высокой степенью риска, раскрывается их работа, векторы атак и потенциальное воздействие. Эти уязвимости представляют собой типичные угрозы безопасности, с которыми сегодня сталкиваются промышленные системы управления: недостатки в механизмах аутентификации и уязвимости в безопасности веб-приложений, которые могут привести к таким серьезным последствиям, как несанкционированный доступ и удаленное выполнение кода.

2.1 Анализ уязвимости системы кондиционирования Mitsubishi Electric (CVE-2025-3699)

В системах кондиционирования Mitsubishi Electric серии G-50 существует критическая уязвимость обхода аутентификации, которой присвоен номер CVE-2025-3699 и которая имеет оценку CVSS до 9,8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), и классифицируется как "Критическая". " уровень.

2.1.1 Принципы уязвимости

Суть уязвимости заключается в недостатке механизма аутентификации в веб-интерфейсе системы кондиционирования серии G-50, который позволяет злоумышленнику обойти процесс аутентификации без предоставления действительных учетных данных. Конкретные принципы заключаются в следующем:

1. Недостатки процесса сертификации:: Веб-сервер системы G-50 имел недостатки в логике управления сеансами, которые не позволяли должным образом аутентифицировать пользователей при обработке определенных HTTP-запросов
2. Отсутствие проверки ввода: В системе не реализована строгая проверка подлинности для доступа к определенным конечным точкам API.
3. Недостаточное разделение прерогатив: После успешного обхода аутентификации злоумышленник может напрямую получить привилегии уровня администратора.

2.1.2 Векторы атак

Злоумышленник может использовать эту уязвимость, выполнив следующие действия:

1. Обнаружение целевых систем: Идентификация систем G-50 в Интернете с помощью сканирования портов или поисковых систем (например, Shodan).
2. Создание специальных запросов: посылает тщательно составленные HTTP-запросы к целевой системе, обходя механизмы аутентификации.
3. Приобретение системного управленияПосле обхода аутентификации злоумышленник может получить доступ к интерфейсу управления и управлять системой кондиционирования.

Особую опасность уязвимости придает тот факт, что эксплойт не требует вмешательства пользователя и имеет низкую сложность атаки.

2.1.3 Масштаб воздействия

Уязвимость затрагивает все системы кондиционирования Mitsubishi Electric серии G-50, использующие прошивку версии 3.37 и ниже[^1]. Эти системы широко распространены:

• Коммерческие офисные здания
• медицинское учреждение
• центры обработки данных
• промышленный объект

2.1.4 Технологическое воздействие

Успешная эксплуатация этой уязвимости может привести к:

• Несанкционированный контроль: Злоумышленники могут удаленно контролировать температурные параметры, что может повлиять на нормальную работу здания.
• утечка информации: Возможность доступа к данным конфигурации системы и информации о планировке здания
• повреждение системы: Изменение конфигурации системы может привести к повреждению оборудования или прерыванию обслуживания.
• траверс: Использование систем кондиционирования в качестве трамплинов во внутреннюю сеть

2.1.5 Меры по снижению воздействия

Компания Mitsubishi Electric еще не выпустила официальное исправление, поэтому рекомендуется принять следующие временные меры по устранению последствий:

1. изоляция сети: Физически изолируйте систему G-50 от Интернета
2. контроль доступа: Настройте строгие правила брандмауэра, чтобы разрешить доступ только авторизованным IP-адресам.
3. VPN-доступ: Доступ к интерфейсу управления через защищенный VPN-канал
4. Аудит по надзоруРазвертывание систем IDS/IPS для мониторинга аномальных протокольных запросов.

2.2 Анализ уязвимости Schneider Electric EVLink WallBox (CVE-2025-5740)

Уязвимость обхода путей (CVE-2025-5740) и уязвимость инъекции команд (CVE-2025-5743) существуют в зарядных устройствах Schneider Electric EVLink WallBox с оценками CVSS 7.2 (v3.1) и 8.6 (v4), соответственно. Эти две уязвимости, используемые в комбинации, могут привести к серьезному риску безопасности.

2.2.1 Принципы уязвимости

Уязвимость обхода пути (CVE-2025-5740):

Эта уязвимость относится к типу CWE-22 (обход пути), что является основным принципом:

1. Валидация ввода отсутствует: Веб-сервер Charger не проверяет и не проверяет должным образом пути к файлам, вводимые пользователем.
2. Недостатки контроля доступа: Доступ к определенным каталогам и файлам не ограничивается системой
3. Неправильная обработка символов обхода каталога: Нет фильтрации или экранирования специальных последовательностей, таких как "...". /" и другие специальные последовательности

Уязвимость введения команд (CVE-2025-5743):

Эта уязвимость относится к типу CWE-78 (OS Command Injection):

1. Небезопасное построение команд: Веб-приложение объединяет пользовательский ввод непосредственно с системными командами
2. Отсутствие очистки исходных данных: Специальные символы (например, ";", "|", "&") не фильтруются.
3. Требуется подтверждение подлинности использования: для возникновения этой уязвимости требуется действительный сеанс аутентификации

2.2.2 Векторы атак

Злоумышленник может использовать эти уязвимости, выполнив следующие действия:

1. Поток атак обхода пути:
   • Сконструируйте специальный запрос, содержащий последовательность "... /" последовательность
   • Доступ к конфиденциальным файлам за пределами системного каталога
   • Может загружать вредоносные файлы в любое место.
2. Поток атак с внедрением команд:
   • Сначала получите действительный сеанс аутентификации
   • Отправляет вредоносный запрос, содержащий разделитель команд, на определенный интерфейс.
   • Выполните любую команду на целевой системе

При совместном использовании этих двух уязвимостей злоумышленник может сначала использовать уязвимость обхода пути для получения конфиденциальной информации или загрузки вредоносных файлов, а затем выполнить эти файлы с помощью уязвимости внедрения команд для достижения полного контроля над системой.

2.2.3 Масштаб воздействия

Уязвимость затрагивает все версии зарядных устройств Schneider Electric EVLink WallBox, которые, как известно, перешли в стадию окончания срока службы (EOL). Эти зарядные устройства широко используются:

• общественная зарядная станция
• Автостоянки для коммерческих зданий
• жилой район
• Управление корпоративным автопарком

2.2.4 Технологическое воздействие

Успешная эксплуатация этих уязвимостей может привести к:

• Полный контроль над системой: Злоумышленники могут получить полный контроль над системой зарядного устройства
• Изменения конфигурации: Параметры зарядки могут быть изменены, что потенциально может повлиять на безопасность электромобилей
• выполнение кода: Выполнение вредоносного кода на устройстве
• вторжение в сеть: Использование зарядных устройств в качестве трамплина в корпоративные сети
• перерыв в обслуживании: Может привести к недоступности услуг по зарядке, что повлияет на критически важную инфраструктуру.

2.2.5 Меры по смягчению последствий

Поскольку изделие перешло в стадию EOL, Schneider Electric рекомендует пользователю:

1. Обновление продуктов: Переход на линейку продуктов EVLink Pro AC нового поколения
2. Временные защитные меры:
   • изоляция сетиИзолировать устройства с помощью VLAN или подсети
   • Конфигурация брандмауэра: Ограничение доступа к портам HTTP (80/443)

# Пример правил брандмауэра
iptables -A INPUT -p tcp --dport 80 -s ! 192.168.1.0/24 -j DROP

• защищенный паролем: Используйте сложные пароли длиной ≥ 12 цифр, меняйте каждые 90 дней.
• Аудит по надзору: Настройка пересылки системных журналов на централизованную платформу мониторинга

3. оценка рисков и анализ воздействия

В этом разделе дается количественная оценка рисков двух критических уязвимостей на основе общей системы оценки уязвимостей (CVSS), анализируется их потенциальное влияние на различные отрасли и моделируются возможные сценарии атак. Такой многомерный подход к оценке риска помогает организациям понять реальный уровень угрозы уязвимостей и разработать соответствующие стратегии защиты.

3.1 Баллы CVSS и количественная оценка риска

CVSS (Common Vulnerability Scoring System) - это широко распространенный отраслевой стандарт для количественного определения риска уязвимостей и оценки их серьезности с помощью ряда метрик. В этом отчете используются CVSS v3.1 и новейшие стандарты CVSS v4 для оценки и анализа двух критических уязвимостей.

3.1.1 Скоринговый анализ уязвимости системы кондиционирования Mitsubishi Electric (CVE-2025-3699)

базовый рейтинг:

• Оценка по шкале CVSS v3.1:9.8/10(Серьезный уровень)
• Оценка по шкале CVSS v4:9.3/10(Серьезный уровень)

Анализ рейтинговых показателей:

• Вектор атаки (AV): Сеть - может использоваться удаленно через сеть без физического контакта
• Сложность атаки (AC): Низкий - простые условия атаки, не требуются особые условия
• Требования к привилегиям (PR): Нет - не требуется никаких разрешений для использования
• Взаимодействие с пользователем (UI): Нет - для завершения атаки не требуется вмешательство пользователя

Уязвимость имеет почти идеальную оценку CVSS, в основном благодаря:

1. Возможность удаленного использования через Интернет
2. Не требуется никаких разрешений или взаимодействия с пользователем
3. Успешная эксплуатация дает полный контроль над системой

Ниже приведена векторная строка CVSS v3.1 для этой уязвимости:

cvss:3.1/av:n/ac:l/pr:n/ui:n/s:u/c:h/i:h/a:h

3.1.2 Скоринговый анализ уязвимости Schneider Electric EVLink WallBox (CVE-2025-5740)

базовый рейтинг:

• Оценка по шкале CVSS v3.1:7.2/10(уровень высокого риска)
• Оценка по шкале CVSS v4:8.6/10(уровень высокого риска)

Анализ рейтинговых показателей:

• Вектор атаки (AV): Сеть - может использоваться удаленно через сеть
• Сложность атаки (AC): Низкий - простые условия атаки
• Требования к привилегиям (PR): Высокий - требует высоких привилегий для использования
• Взаимодействие с пользователем (UI): Нет - взаимодействие с пользователем не требуется

Уязвимость имеет более высокий балл CVSS, но более низкий, чем уязвимость Mitsubishi, в основном из-за:

1. Можно использовать удаленно, но для этого требуются расширенные привилегии
2. Тип уязвимости - Path Traversal (CWE-22), относительная опасность меньше, чем обход аутентификации
3. Более опасно, когда используется в сочетании со связанной уязвимостью CVE-2025-5743 (Command Injection).

Ниже приведена векторная строка CVSS v3.1 для этой уязвимости:

cvss:3.1/av:n/ac:l/pr:h/ui:n/s:u/c:h/i:h/a:h

3.1.3 Сравнительный анализ количественной оценки рисков

С точки зрения количественной оценки риска, уязвимость Mitsubishi Electric значительно опаснее уязвимости Schneider Electric, главным образом потому, что первая может быть использована без каких-либо привилегий, в то время как для второй необходимо сначала получить расширенные привилегии. Однако уровень риска уязвимости Schneider Electric значительно выше, когда она используется в сочетании с уязвимостью инъекции команд (CVE-2025-5743).

3.2 Анализ влияния на промышленность

Влияние уязвимостей промышленных систем управления варьируется от отрасли к отрасли, при этом зависимость от инфраструктуры, критичность для бизнеса и потенциальные потери варьируются от отрасли к отрасли. Ниже анализируется конкретное воздействие этих двух критических уязвимостей на каждую отрасль.

3.2.1 Влияние на промышленность утечки систем кондиционирования Mitsubishi Electric (CVE-2025-3699)

1. индустрия коммерческого строительства

• Сфера влияния: Центральные системы кондиционирования воздуха для офисных зданий, торговых центров, гостиниц и т.д.
• потенциальное последствие:
  • Ненормальный температурный режим, влияющий на рабочую среду и впечатления клиентов
  • Повышенное потребление энергии, ведущее к увеличению эксплуатационных расходов
  • Простои системы, которые могут привести к временной недоступности здания

2. индустрия центров обработки данных

• Сфера влияния: Серверные помещения и центры обработки данных, где требуется точный контроль температуры.
• потенциальное последствие:
  • Ненормальные температуры могут привести к перегреву сервера и повреждению оборудования
  • Простой системы может привести к перебоям в работе центра обработки данных
  • Перебои в обслуживании могут привести к нарушению SLA и финансовым потерям

3. медицинская промышленность

• Сфера влияния: Больницы, клиники, хранилища лекарств
• потенциальное последствие:
  • Ненормальная температура в специальных зонах (например, в операционных, хранилищах лекарств) может повлиять на качество медицинской помощи
  • Может привести к повреждению чувствительного к температуре медицинского оборудования или лекарств
  • Сбои в системе могут повлиять на безопасность пациентов и оказание медицинской помощи

4. Производство

• Сфера влияния: Производственные условия, требующие точного контроля температуры
• потенциальное последствие:
  • Ненормальные температуры в производственной среде могут повлиять на качество продукции
  • Может привести к остановке производственной линии и финансовым потерям
  • Прецизионное оборудование может быть повреждено из-за перепадов температуры

Согласно списку пострадавших продуктов, к уязвимым устройствам Mitsubishi Electric относятся устройства серий AE (AE-200A, AE-50A и др.), EW (EW-50A, EW-50J и др.), G (G-50, GB-50 и др.), CMS (CMS-RMD-J), а также устройства серий EB-50GU и TW.

3.2.2 Уязвимость Schneider Electric EVLink WallBox (CVE-2025-5740) Последствия для отрасли

1. энергетический сектор

• Сфера влияния: Общественные зарядные станции, коммерческие зарядные комплексы
• потенциальное последствие:
  • Перебои в работе зарядных служб, влияющие на пользователей электромобилей
  • Может привести к проблемам управления нагрузкой на сеть
  • Может служить точкой входа для атак на инфраструктуру сети.

2. транспортный сектор

• Сфера влияния: Парк электромобилей общественного транспорта, парк логистических компаний
• потенциальное последствие:
  • Перебои с зарядкой автопарка могут повлиять на оперативное планирование
  • Может вызывать задержки в оказании транспортных услуг
  • Потенциальное воздействие на критически важные транспортные услуги

3. розничная торговля и коммерческий сектор

• Сфера влияния: Зарядные устройства, установленные в торговых центрах, гостиницах, офисных зданиях и т.д.
• потенциальное последствие:
  • Влияние на обслуживание и опыт клиентов
  • Может служить точкой входа для атак на коммерческие сети
  • Потенциальный ущерб репутации бренда

4. Жилые кварталы

• Сфера влияния: Общественные зарядные устройства в жилых кварталах
• потенциальное последствие:
  • Перебои в предоставлении услуг по взиманию платы за проживание
  • Потенциальное воздействие на системы общественной безопасности
  • Может привести к проблемам управления сообществом

Обратите внимание, что компания Schneider Electric объявила о том, что линейка зарядных устройств EVLink WallBox подошла к концу срока службы (EOL), и рекомендует пользователям перейти на линейку устройств EVLink Pro AC.

3.3 Моделирование сценария атаки

Для того чтобы более наглядно продемонстрировать реальную угрозу этих уязвимостей, в данном разделе моделируется несколько возможных сценариев атак, анализируются возможные пути эксплуатации и потенциальные последствия для злоумышленников.

3.3.1 Сценарий атаки на уязвимость системы кондиционирования Mitsubishi Electric

Сценарий 1: Целевые атаки на коммерческие здания

1. подготовка к нападению:
   • Злоумышленники используют поисковые системы, такие как Shodan, для обнаружения систем Mitsubishi G-50, выставленных в Интернете.
   • Убедитесь, что в целевой системе используется уязвимая версия прошивки 3.37 и ниже.
2. Процесс выполнения атаки:

Шаг 1: обойдите аутентификацию, отправив специально созданный HTTP-запрос.
Шаг 2: Получение привилегий системного администратора
Шаг 3: Изменение температурных настроек для установки экстремальных температур

3. потенциальное последствие:
   • Ненормальная температура в офисе, влияющая на производительность труда
   • Отключение системы кондиционирования воздуха в жаркие летние месяцы может привести к перегреву серверов и сбоям в работе ИТ-систем
   • Отключение отопления в холодные зимние месяцы может привести к замерзанию труб и порче имущества

Сценарий 2: разрушительные атаки на центры обработки данных

1. подготовка к нападению:
   • Злоумышленники получают доступ к внутренним сетям с помощью социальной инженерии или других средств
   • Идентификация системы управления кондиционером Mitsubishi в интрасети
2. Процесс выполнения атаки:

Шаг 1: провести атаку из внутренней сети в обход аутентификации
Шаг 2: Получение контроля над системой кондиционирования воздуха
Шаг 3: Постепенно повышайте температуру в серверных комнатах, чтобы избежать срабатывания температурных сигналов.
Шаг 4: Отключите систему охлаждения или установите экстремально высокие температуры.

3. потенциальное последствие:
   • Перегрев сервера приводит к автоматическому отключению
   • Может привести к повреждению оборудования и потере данных
   • Перебои в работе центров обработки данных затрагивают многие предприятия, полагающиеся на облачные сервисы
   • Может привести к экономическим потерям в миллионы долларов

3.3.2 Сценарий атаки на уязвимость Schneider Electric EVLink WallBox

Сценарий 1: Многоступенчатая атака, объединяющая уязвимости

1. подготовка к нападению:
   • Сначала злоумышленник получает учетные данные администратора зарядной станции (с помощью фишинга или другими способами).
   • Убедитесь, что целевым устройством является зарядное устройство EVLink WallBox
2. Процесс выполнения атаки:

Шаг 1: Войдите в веб-интерфейс управления, используя учетные данные администратора.
Шаг 2. Используйте уязвимость обхода пути (CVE-2025-5740) для доступа к важным системным файлам.
Шаг 3: Загрузите вредоносный файл в системный каталог.
Шаг 4: Выполнение вредоносного файла с помощью уязвимости инъекции команд (CVE-2025-5743).
Шаг 5: Создание постоянного бэкдора для получения полного контроля над системой.

3. потенциальное последствие:
   • Контролирует процесс зарядки и может привести к повреждению устройства
   • Прерывание услуг по тарификации, затрагивающее пользователей
   • Может использоваться как плацдарм для атак на подключенные корпоративные сети.

Сценарий 2: Масштабные атаки на инфраструктуру зарядки

1. подготовка к нападению:
   • Злоумышленники разработали автоматизированный инструмент для идентификации устройств EVLink WallBox в Интернете
   • Попытки получить доступ с использованием приобретенных учетных данных или учетных данных по умолчанию
2. Процесс выполнения атаки:

Шаг 1: Массовое сканирование и выявление доступных зарядных устройств
Шаг 2: использование комбинации уязвимостей для получения контроля над системой
Шаг 3: Координируйте атаки, чтобы нарушить работу нескольких зарядных станций одновременно в определенные моменты времени

3. потенциальное последствие:
   • Перебои в работе региональных зарядных служб
   • Может повлиять на стабильность сети
   • Перебои в работе общественной зарядной инфраструктуры

3.3.3 Резюме анализа сценариев нападения

Описанные выше сценарии атак показывают, что эти уязвимости могут не только привести к немедленному нарушению работы сервисов, но и запустить цепную реакцию, затрагивающую более широкий спектр систем и сервисов. Особенно в области критической инфраструктуры существование этих уязвимостей представляет собой значительный риск для безопасности.

Примечательно, что по мере того, как IoT-устройства и промышленные системы управления становятся все более взаимосвязанными, злоумышленники могут использовать эти уязвимости в качестве точки входа в более крупные сети, что может привести к более изощренным атакам.

4. Стратегии защиты и рекомендации по безопасности

В этом разделе, основанном на материалах CISA Security Alert и последних рекомендациях NIST по безопасности промышленных систем управления, представлены целевые стратегии защиты и рекомендации по безопасности, основанные на технических характеристиках двух критических уязвимостей. Эти рекомендации разделены на три уровня: краткосрочные меры по смягчению последствий, долгосрочные стратегии усиления безопасности и передовые методы обеспечения безопасности ИКС, призванные помочь организациям создать многоуровневую систему безопасности промышленных систем управления с глубокой защитой.

4.1 Краткосрочные меры по снижению воздействия

Столкнувшись с обнаруженными, но еще не исправленными уязвимостями, организации должны принять срочные меры по снижению риска атак. Ниже приведены конкретные рекомендации по устранению двух критических уязвимостей.

4.1.1 Уязвимость системы кондиционирования Mitsubishi Electric (CVE-2025-3699) Меры по снижению риска

1. Изоляция и сегментация сети
   • Развертывание систем отопления, вентиляции и кондиционирования воздуха в отдельных виртуальных локальных сетях
   • Внедряйте строгие списки контроля доступа к сети (ACL)
   • Изоляция сетей HVAC с помощью односторонних шлюзов/диодов данных

# Пример правил брандмауэра (Linux iptables)
# Разрешите доступ к системе G-50 только определенным управляющим IP-адресам
iptables -A FORWARD -p tcp -d [HVAC_IP] --dport 80 -s [ADMIN_IP] -j ACCEPT
iptables -A FORWARD -p tcp -d [HVAC_IP] --dport 443 -s [ADMIN_IP] -j ACCEPT
iptables -A FORWARD -p tcp -d [HVAC_IP] -j DROP

2. Безопасный прокси и VPN-доступ
   • Разверните прокси-сервер безопасности, чтобы отключить прямой доступ к веб-интерфейсу HVAC.
   • Принудительный доступ к интерфейсу управления через зашифрованный VPN-канал
   • Внедрение двухфакторной аутентификации (2FA)
3. Наблюдение и обнаружение вторжений
   • Развертывание сетевой системы обнаружения вторжений (IDS) для мониторинга трафика системы отопления, вентиляции и кондиционирования воздуха
   • Настройте систему SIEM для сбора и анализа журналов системы отопления, вентиляции и кондиционирования воздуха
   • Создание механизма сигнализации о ненормальных изменениях температуры и ненормальном выполнении команд
4. План реагирования на чрезвычайные ситуации
   • Подготовьте планы действий в чрезвычайных ситуациях при ручном управлении системами кондиционирования воздуха
   • Создание механизма координации действий в чрезвычайных ситуациях с группой управления объектами
   • Подготовьте оборудование к процессу аварийной изоляции

4.1.2 Устранение уязвимости Schneider Electric EVLink WallBox (CVE-2025-5740/5743)

1. Обновление и замена продуктов
   • Обновление до линейки продуктов EVLink Pro AC в соответствии с рекомендациями Schneider Electric
   • Для устройств, которые не могут быть обновлены немедленно, рассмотрите возможность временного отключения от сети
2. защита сети
   • Ограничение доступа к веб-интерфейсу зарядного устройства с помощью брандмауэров
   • Разрешите доступ к порту управления только авторизованным IP-адресам
   • Отключите ненужные функции удаленного доступа

# Пример правил брандмауэра
iptables -A INPUT -p tcp --dport 80 -s ! 192.168.1.0/24 -j DROP
iptables -A INPUT -p tcp --dport 443 -s ! 192.168.1.0/24 -j DROP

3. Расширение паролей и контроль доступа
   • Измените все пароли по умолчанию
   • Внедрите политику надежных паролей (длиной ≥ 12 бит, содержащих буквы верхнего и нижнего регистра, цифры и специальные символы)
   • Обязательная смена пароля каждые 90 дней
4. Мониторинг трафика
   • Развертывание средств анализа сетевого трафика для мониторинга связи зарядных устройств
   • Отслеживайте аномальные HTTP-запросы, особенно те, которые содержат попытки обхода пути, например "... /" и другие попытки обхода пути.
   • Отслеживайте подозрительные шаблоны выполнения команд

4.1.3 Общие краткосрочные меры по снижению воздействия

1. Обновленная инвентаризация имущества
   • Срочно обновите список активов затронутых систем
   • Подтвердите версию прошивки и экспозицию всех затронутых устройств.
   • Отметка активов с высоким уровнем риска для определения приоритетов
2. Усиление временного контроля доступа
   • Реализация контроля доступа на основе времени
   • Ограничьте время доступа и продолжительность сеанса.
   • Добавление журналов аудита для сеансов управления
3. Базовая конфигурация безопасности
   • Отключите все несущественные службы и порты
   • Удалите тестовые и стандартные учетные записи
   • Безопасная настройка веб-служб (например, отключение списков каталогов и т. д.)

4.2 Долгосрочная стратегия усиления безопасности

Помимо краткосрочных мер по устранению текущих уязвимостей, организациям необходимо внедрять систематическую долгосрочную стратегию усиления безопасности, чтобы повысить общую безопасность промышленных систем управления.

4.2.1 Оптимизация архитектуры безопасности

1. Многоуровневая модель защиты
   • Принятие рекомендованных NIST динамических иерархических моделей сети
   • Внедрение системы оценки матрицы классификации угроз по 12 категориям
   • Построение многоуровневых стратегий защиты в 18 технических областях

2. Реализация архитектуры нулевого доверия
   • Принятие принципа "никогда не доверяй, всегда проверяй".
   • Контроль доступа на основе идентификации, а не местоположения сети
   • Реализация принципов микросегментации и наименьших полномочий
3. Управление безопасностью цепи поставок
   • Создание системы оценки безопасности поставщиков
   • Выполните проверку микропрограммного обеспечения критически важных компонентов
   • Создание базы данных рисков компонентов сторонних производителей

4.2.2 Система управления уязвимостями

1. Оптимизация процесса управления исправлениями
   • Внедрение структуры проверки тестов "теневой системы" NIST
   • Полная проверка совместимости патчей в виртуальных средах
   • Разработать процесс развертывания патчей для ОТ-систем
2. Сканирование и оценка уязвимостей
   • Регулярно проводите пассивное сканирование уязвимостей
   • Создание репозитория уязвимостей, специфичных для ICS
   • Проведите оценку приоритетности уязвимостей с учетом влияния на бизнес
3. Улучшения в управлении конфигурацией
   • Реализация принципа "минимизации доступа к конфигурации"
   • Использует механизм обновления прошивки на основе белых списков
   • Создание процесса аудита изменений конфигурации

4.2.3 Текущий мониторинг и реагирование

1. Строительство операционного центра безопасности (SOC)
   • Создание команд SOC, ориентированных на обеспечение безопасности ОТ
   • Развертывание зондов для разрешения промышленных протоколов
   • Внедрение системы мониторинга безопасности для конвергенции OT-IT
2. Интеграция данных об угрозах
   • Доступ к специальному источнику информации об угрозах для промышленных систем управления
   • Создание механизмов обмена оперативной информацией об угрозах
   • Целенаправленные мероприятия по поиску угроз
3. Создание потенциала для реагирования на чрезвычайные ситуации
   • Разработка планов реагирования на чрезвычайные ситуации с учетом специфики ICS
   • Регулярное проведение планшетных и реальных учений
   • Создание механизмов сотрудничества с национальными CERT и отраслевыми ISAC

4.3 Передовые методы обеспечения безопасности ИКС

На основе последних рекомендаций NIST по обеспечению безопасности промышленных систем управления и лучших отраслевых практик ниже приведены систематические рекомендации по управлению безопасностью промышленных систем управления.

4.3.1 Принципы безопасного проектирования

1. Стратегия глубокоэшелонированной обороны
   • Создание многоуровневых средств защиты
   • Избегайте зависимости от одной точки защиты
   • Интеграция технических и управленческих мер
2. Безопасная конфигурация по умолчанию
   • Усиление безопасности оборудования перед развертыванием
   • Отключите несущественные функции и службы по умолчанию
   • Реализация принципа наименьших привилегий
3. Отказоустойчивая конструкция
   • Обеспечение безопасности системы в случае отказа системы управления безопасностью
   • Внедрение независимых механизмов защиты безопасности
   • Дублирование ключевых функций

4.3.2 Безопасность при конвергенции ИТ-ОТ

1. Применение концепции "песочницы безопасности цифрового двойника"
   • Создание виртуальной среды репликации для систем OT
   • Тестирование средств контроля безопасности в среде цифрового двойника
   • Баланс между требованиями реального времени к ОТ-системам и требованиями безопасности
2. Разделение доменов безопасности и защита границ
   • Четко определите границы сетей ИТ и ОТ
   • Реализация одностороннего шлюза безопасности
   • Создайте буфер DMZ
3. Управление идентификацией и доступом
   • Централизованное управление учетными записями системы OT
   • Реализация управления доступом на основе ролей
   • Управление привилегированными учетными записями и аудит

4.3.3 Стандарты безопасности и соответствие требованиям

1. Стандартное синергетическое применение
   • Комбинация стандартов NIST и IEC 62443
   • Интеграция стандарта классификации активов IEC 62443-3-3
   • Построение унифицированной модели оценки рисков промышленного оборудования
2. Отраслевые стандарты безопасности
   • Энергетический сектор: NERC CIP
   • Производство: ISA/IEC 62443
   • Автоматизация зданий: ISO 16484
3. Оценка уровня безопасности
   • Периодическая оценка эффективности средств контроля безопасности
   • Принятие моделей зрелости, таких как C2M2
   • Постоянное совершенствование системы управления безопасностью

4.3.4 Адаптация к будущим тенденциям

1. Приложения ИИ для обеспечения безопасности
   • Использование обнаружения аномалий на основе искусственного интеллекта
   • Внедрение автоматизированного реагирования на угрозы безопасности
   • Предиктивный анализ угроз
2. Готовность к переходу на квантовую безопасность
   • Оценка угрозы квантовых вычислений для существующего шифрования
   • Разработка плана перехода на постквантовую криптографию
   • Сосредоточьтесь на разработке стандартов NIST PQC
3. Автоматизация и хореография безопасности
   • Внедрение автоматизированной оркестровки безопасности (Security Orchestration Automated Response, SOAR)
   • Автоматизированные проверки на соответствие требованиям
   • Интеграция процессов DevSecOps

Безопасность промышленных систем управления требует баланса между безопасностью, доступностью и производительностью. Приведенные выше лучшие практики должны быть скорректированы и оптимизированы в соответствии с особенностями отрасли, критичностью системы и ограниченностью ресурсов. Организациям следует создать механизм непрерывного совершенствования для регулярной оценки эффективности средств контроля безопасности и своевременной корректировки стратегий защиты в зависимости от изменений в угрожающей среде.

5. заключение и перспективы

В этом отчете представлен глубокий анализ уязвимости системы кондиционирования Mitsubishi Electric (CVE-2025-3699) и уязвимости зарядного устройства Schneider Electric EVLink WallBox (CVE-2025-5740), раскрывающий серьезные проблемы, с которыми в настоящее время сталкивается безопасность промышленных систем управления. Эти уязвимости не только отражают технические недостатки в защите промышленных систем управления, но и представляют собой системные проблемы в текущей среде безопасности ИКС.

5.1 Основные выводы

Результаты анализа критических уязвимостей

1. Характеристики уязвимости Существуют системные проблемы
   • Уязвимость в системе кондиционирования Mitsubishi Electric серии G-50 (CVE-2025-3699) раскрывает фундаментальный недостаток в механизме аутентификации промышленной системы управления, имеет оценку CVSS 9.8, классифицируется как "Критическая" и затрагивает ряд линеек продуктов, использующих прошивку версии 3.37 и ниже, включая устройства серии AE Серия AE, серия EW, серия G, серия CMS, а также серии EB-50GU и TW.
   • Уязвимость в зарядном устройстве Schneider Electric EVLink WallBox (CVE-2025-5740) свидетельствует о сохранении традиционных проблем веб-безопасности, таких как обход путей и внедрение команд, в промышленных системах управления. Еще большую озабоченность вызывает тот факт, что эти продукты вступили в фазу окончания срока службы (EOL), что свидетельствует о серьезных проблемах безопасности "устаревших устройств" для промышленных систем управления.
2. Влияние отрасли широко и далеко идуще
   • Уязвимость Mitsubishi Electric в первую очередь затрагивает коммерческие здания и промышленные объекты и может привести к сбоям в работе, таким как нарушения температурного режима и простои систем, что особенно сильно сказывается на средах, чувствительных к температурному режиму, таких как центры обработки данных.
   • Уязвимость Schneider Electric, с другой стороны, затрагивает в первую очередь зарядную инфраструктуру в энергетическом секторе, что может привести к сбоям или аномалиям в работе зарядных сервисов и может быть использовано в качестве плацдарма для атак на внутренние сети.
3. Множество коренных причин недостатков безопасности
   • Технический уровень: основные недостатки дизайна, недостаточные механизмы аутентификации, слабая проверка вводимых данных
   • Уровень управления: проблемы управления жизненным циклом, дилемма управления исправлениями, недостаточная осведомленность о безопасности
   • Экологический уровень: передача риска безопасности цепочки поставок, неадекватная интеграция старых и новых технологий

Краткая информация о текущем уровне безопасности ИКС

1. Двусторонний риск технологических инноваций и технологического пиратства: Новые технологии, такие как искусственный интеллект и квантовые вычисления, стали ценными объектами атак, привнося инновации в промышленные системы управления; злоупотребление инструментами с открытым исходным кодом еще больше снизило порог атак.
2. Двойные ловушки новых и старых технологийГенеративный искусственный интеллект используется для создания очень реалистичных фишинговых атак, а старые устройства IIoT не могут применять современные протоколы безопасности из-за аппаратных ограничений, что приводит к неравным возможностям защиты.
3. Усиливается кризис безопасности цепочек поставокНеадекватные инвестиции в кибербезопасность со стороны мелких поставщиков направляют риск, и атаки на цепочки поставок распространяются на сторонних партнеров.
4. Уязвимости нулевого дня и провалы стратегии скрытностиВ 2024 году появится 40 289 новых уязвимостей, а количество уязвимостей, связанных с выполнением кода, увеличится на 53,88%; чрезмерная зависимость от стратегии "спрятать систему" больше не может справиться с текущей средой угроз.

5.2 Будущие тенденции и проблемы

Исходя из последних предупреждений CISA и рекомендаций NIST по безопасности промышленных систем управления, можно ожидать следующих тенденций и проблем в области безопасности промышленных систем управления:

Тенденции развития технологий

1. Инновации в архитектуре безопасности
   • Модель динамического сетевого слоя, предложенная NIST, постепенно заменит традиционный статический слой
   • Многоуровневые стратегии защиты с 12-категорийной матрицей классификации угроз и 18 техническими доменами станут стандартной практикой
   • Концепция "песочницы безопасности цифрового двойника" поможет разрешить конфликт между требованиями реального времени к ОТ-системам и глубокой защитой.
2. Обоюдоострый меч безопасности ИИ
   • Обнаружение угроз с помощью искусственного интеллекта становится все более популярным, улучшая выявление аномального поведения
   • Кроме того, злоумышленники будут использовать ИИ для создания более скрытных атак.
   • Адаптивная архитектура безопасности станет ключом к противостоянию атак и защиты с помощью ИИ
3. качественный скачок в области безопасности
   • Угроза квантовых вычислений существующим алгоритмам шифрования приведет к переходу на постквантовое шифрование для обеспечения безопасности ИКС
   • Стандарт квантового шифрования, разработанный после NIST, будет постепенно вводиться для промышленных систем управления
   • Совместимость квантовой безопасности с обычными системами будет представлять собой техническую проблему

Проблемы отрасли

1. Усовершенствованные стандарты сертификации оборудования
   • Отрасли потребуются более строгие стандарты сертификации устройств, особенно для подключенных устройств ICS
   • Обеспечение безопасности устройств, отслуживших свой срок (EOL), будет долгосрочной задачей
   • Балансировать между совместимостью и безопасностью будет сложнее
2. Аудит безопасности цепочки поставок
   • Аудиты безопасности цепочек поставок станут стандартной практикой
   • Оценка рисков безопасности третьими сторонами должна стать более систематической
   • Небольшие поставщики столкнутся с проблемами, связанными с ресурсами для создания потенциала безопасности
3. Потребности в межотраслевом сотрудничестве
   • Необходимо создать механизмы обмена информацией об угрозах между отраслями и странами
   • Модель государственно-частного партнерства (ГЧП) будет играть все более важную роль в противодействии современным угрозам
   • Взаимодействие стандартов (например, NIST и IEC 62443) будет способствовать созданию гармонизированных моделей оценки рисков для промышленного оборудования

Будущие оборонные приоритеты

1. Создание системы активной обороны
   • Переход от реактивного реагирования к проактивной защите
   • Охота на угрозы должна стать регулярной оперативной деятельностью службы безопасности
   • Предиктивный анализ безопасности позволит заранее выявить потенциальные риски
2. Проектирование архитектуры многоуровневой безопасности
   • Архитектуры с нулевым уровнем доверия будут более широко использоваться в средах ИКС
   • Технология микросегментации позволит уточнить границы кибербезопасности
   • Управление доступом, ориентированное на личность, заменит модель, ориентированную на местоположение сети
3. Интеллектуальные наступательные и оборонительные контрмеры
   • Автоматизированная оркестровка ответных мер безопасности (SOAR) ускорит защиту
   • Интеллектуальная оценка "красной команды" должна стать регулярной
   • Автоматизация систем безопасности устранит дефицит кадров

Безопасность промышленных систем управления находится на переломном этапе, когда технологические инновации и проблемы безопасности идут рука об руку. Организациям необходимо принять более систематическую и проактивную стратегию безопасности, которая позволит сбалансировать требования безопасности и непрерывность бизнеса, чтобы эффективно реагировать на сложные угрозы будущего.

библиография

1. Уязвимость в системе кондиционирования Mitsubishi Electric G-50 (CVE-2025-3699) - Библиотека уязвимостей AliCloud
2. NIST SP 800-82 Руководство по безопасности для промышленных систем управления
3. CISA ICS Safety Bulletins (Серия ICSA-25-148)
4. Каталог известных эксплуатируемых уязвимостей CISA - https://www.cisa.gov/known-exploited-vulnerabilities
5. Kaspersky ICS CERT Прогноз на 2025 год
6. 10 лучших тенденций в области кибербезопасности в 2025 году по версии Chianson
7. Бюллетень по технике безопасности Schneider Electric EVLink WallBox
8. Официальный циркуляр CISA (ICSA-25-175-04) - https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-04
9. Отчет о техническом анализе уязвимостей серии Mitsubishi Electric G-50
10. Отчет о техническом анализе уязвимости Schneider Electric EVLink WallBox

приложение

глоссарий