Сериозни уязвимости в устройства на Red Lion: Заплаха за промишлените системи

Изследователи в областта на киберсигурността разкриха два сериозни проблема в сигурността на продуктите на Red Lion Sixnet, наречени "дистанционни терминални устройства" (RTU), които се използват в промишлени системи. Ако тези уязвимости бъдат използвани от злонамерени лица, те могат да позволят изпълнението на код с най-високи права за достъп, което е изключително опасно.

Какво представляват уязвимостите?

Двете уязвимости са обозначени като CVE-2023-40151 и CVE-2023-42770 и са оценени с максимална тежест от 10.0 по системата за оценка на уязвимости CVSS (Common Vulnerability Scoring System – система за оценка на уязвимости, която измерва колко сериозна е дадена заплаха).

Според изследователите от Claroty Team 82, тези проблеми засягат продуктите SixTRAK и VersaTRAK RTUs на Red Lion. Те позволяват на хакер, който няма нужда от удостоверяване (т.е. парола или друг вид идентификация), да изпълнява команди с най-високи права, наречени root права (това е най-високото ниво на достъп в една система, което позволява пълен контрол над устройството).

Какво са Red Lion Sixnet RTUs?

RTUs (Remote Terminal Units, или дистанционни терминални устройства) са устройства, използвани в промишлени системи за автоматизация, контрол и събиране на данни. Те се прилагат в сектори като енергетика, водоснабдяване и пречистване на отпадъчни води, транспорт, комунални услуги и производство. Например, тези устройства помагат за управлението на електрически мрежи или водоочиствателни станции.

За да се конфигурират тези устройства, се използва програма за Windows, наречена Sixnet IO Tool Kit. Тази програма комуникира с RTUs чрез специален протокол, наречен Sixnet "Universal" протокол, който работи през UDP (User Datagram Protocol – протокол за бърз трансфер на данни, често използван в мрежите) и позволява управление на файлове, настройка на станции и други функции.

Подробности за уязвимостите

CVE-2023-42770: Тази уязвимост позволява заобикаляне на удостоверяването (authentication bypass). Проблемът идва от факта, че софтуерът на Red Lion използва един и същ порт (номер 1594) както за UDP, така и за TCP (Transmission Control Protocol – друг протокол за комуникация, по-надежден от UDP). При UDP устройството изисква удостоверяване, но при TCP то приема съобщения без никаква проверка. Това позволява на хакер да изпрати команди без да се идентифицира.

CVE-2023-40151: Тази уязвимост позволява дистанционно изпълнение на код. Sixnet Universal Driver (UDR) има вградена функция, която позволява изпълнение на команди в Linux системата на устройството. Хакер може да използва тази функция, за да стартира произволен код с root права, което означава пълен контрол над устройството.

Комбинирането на тези две уязвимости позволява на нападател да заобиколи защитите и да изпълнява команди, сякаш е администратор на системата.

Какво казва Red Lion?

В официално съобщение от юни 2025 г. Red Lion потвърди, че когато потребителското удостоверяване е включено, устройствата приемат съобщения през TCP без проверка. Ако удостоверяването не е включено, хакер може да изпълнява команди с най-високи права. Компанията препоръчва на потребителите да:

• Инсталират незабавно наличните актуализации (патчове) за двете уязвимости.
• Включат удостоверяване на потребители в RTUs.
• Блокират достъпа до засегнатите устройства през TCP.

Кои продукти са засегнати?

• ST-IPm-8460: Фърмуер версия 6.0.202 и по-нови.
• ST-IPm-6350: Фърмуер версия 4.9.114 и по-нови.
• VT-mIPm-135-D: Фърмуер версия 4.9.114 и по-нови.
• VT-mIPm-245-D: Фърмуер версия 4.9.114 и по-нови.
• VT-IPm2m-213-D: Фърмуер версия 4.9.114 и по-нови.
• VT-IPm2m-113-D: Фърмуер версия 4.9.114 и по-нови.

Защо това е важно?

Устройствата на Red Lion се използват широко в промишлени системи, които са критични за обществото – например електрически мрежи или водоснабдяване. Ако хакер получи достъп до тези устройства и може да изпълнява команди с root права, това може да доведе до сериозни проблеми, като спиране на производствени процеси, повреда на оборудване или дори по-големи аварии.

Какво да направите?

• Актуализирайте фърмуера на вашите устройства възможно най-скоро, за да отстраните уязвимостите.
• Включете удостоверяване в настройките на RTUs, за да предотвратите неупълномощен достъп.
• Ограничете достъпа до устройствата през TCP, за да намалите риска от атаки.

Тази информация е важна за всички, които използват продуктите на Red Lion, тъй като тези уязвимости могат да имат сериозни последствия за сигурността на техните системи.

Обяснение на техническите термини

• RTU (Remote Terminal Unit): Устройство, което събира данни и управлява процеси в промишлени системи, като електрически мрежи или водоочиствателни станции.
• CVE: Обозначение за уязвимости в сигурността (Common Vulnerabilities and Exposures). Всеки CVE номер идентифицира конкретен проблем.
• CVSS: Система за оценка на тежестта на уязвимостите. Оценка 10.0 означава максимална опасност.
• Root права: Най-високото ниво на достъп в една система, което позволява пълен контрол над устройството.
• Sixnet IO Tool Kit: Програма за Windows, която се използва за настройка и управление на RTUs.
• Sixnet "Universal" протокол: Специален начин за комуникация между софтуера и устройствата на Red Lion.
• UDP и TCP: Протоколи за прехвърляне на данни в мрежи. UDP е по-бърз, но по-малко сигурен; TCP е по-надежден, но в този случай позволява заобикаляне на защитите.
• Authentication bypass: Заобикаляне на удостоверяването, което позволява на нападател да получи достъп без парола.
• Remote code execution: Възможност за изпълнение на произволен код от разстояние, което дава контрол над устройството.
• Фърмуер: Софтуер, вграден в хардуера на устройството, който го управлява.
• Патч: Актуализация, която поправя уязвимости или грешки в софтуера.