Изследователи в областта на киберсигурността разкриха два сериозни проблема в сигурността на продуктите на Red Lion Sixnet, наречени "дистанционни терминални устройства" (RTU), които се използват в промишлени системи. Ако тези уязвимости бъдат използвани от злонамерени лица, те могат да позволят изпълнението на код с най-високи права за достъп, което е изключително опасно.
Какво представляват уязвимостите?
Двете уязвимости са обозначени като CVE-2023-40151 и CVE-2023-42770 и са оценени с максимална тежест от 10.0 по системата за оценка на уязвимости CVSS (Common Vulnerability Scoring System – система за оценка на уязвимости, която измерва колко сериозна е дадена заплаха).
Според изследователите от Claroty Team 82, тези проблеми засягат продуктите SixTRAK и VersaTRAK RTUs на Red Lion. Те позволяват на хакер, който няма нужда от удостоверяване (т.е. парола или друг вид идентификация), да изпълнява команди с най-високи права, наречени root права (това е най-високото ниво на достъп в една система, което позволява пълен контрол над устройството).
Какво са Red Lion Sixnet RTUs?
RTUs (Remote Terminal Units, или дистанционни терминални устройства) са устройства, използвани в промишлени системи за автоматизация, контрол и събиране на данни. Те се прилагат в сектори като енергетика, водоснабдяване и пречистване на отпадъчни води, транспорт, комунални услуги и производство. Например, тези устройства помагат за управлението на електрически мрежи или водоочиствателни станции.
За да се конфигурират тези устройства, се използва програма за Windows, наречена Sixnet IO Tool Kit. Тази програма комуникира с RTUs чрез специален протокол, наречен Sixnet "Universal" протокол, който работи през UDP (User Datagram Protocol – протокол за бърз трансфер на данни, често използван в мрежите) и позволява управление на файлове, настройка на станции и други функции.
Подробности за уязвимостите
CVE-2023-42770: Тази уязвимост позволява заобикаляне на удостоверяването (authentication bypass). Проблемът идва от факта, че софтуерът на Red Lion използва един и същ порт (номер 1594) както за UDP, така и за TCP (Transmission Control Protocol – друг протокол за комуникация, по-надежден от UDP). При UDP устройството изисква удостоверяване, но при TCP то приема съобщения без никаква проверка. Това позволява на хакер да изпрати команди без да се идентифицира.
CVE-2023-40151: Тази уязвимост позволява дистанционно изпълнение на код. Sixnet Universal Driver (UDR) има вградена функция, която позволява изпълнение на команди в Linux системата на устройството. Хакер може да използва тази функция, за да стартира произволен код с root права, което означава пълен контрол над устройството.
Комбинирането на тези две уязвимости позволява на нападател да заобиколи защитите и да изпълнява команди, сякаш е администратор на системата.
Какво казва Red Lion?
В официално съобщение от юни 2025 г. Red Lion потвърди, че когато потребителското удостоверяване е включено, устройствата приемат съобщения през TCP без проверка. Ако удостоверяването не е включено, хакер може да изпълнява команди с най-високи права. Компанията препоръчва на потребителите да:
Кои продукти са засегнати?
Защо това е важно?
Устройствата на Red Lion се използват широко в промишлени системи, които са критични за обществото – например електрически мрежи или водоснабдяване. Ако хакер получи достъп до тези устройства и може да изпълнява команди с root права, това може да доведе до сериозни проблеми, като спиране на производствени процеси, повреда на оборудване или дори по-големи аварии.
Какво да направите?
Тази информация е важна за всички, които използват продуктите на Red Lion, тъй като тези уязвимости могат да имат сериозни последствия за сигурността на техните системи.
Обяснение на техническите термини
