Mitsubishi Electric je objavio kritičnu ranjivost koja utiče na 27 različitih modela klima-uređaja, a koja bi potencijalno mogla omogućiti udaljenim napadačima neovlašteno preuzimanje kontrole nad sistemima grijanja, ventilacije i klimatizacije (HVAC) u zgradama.
Ova ranjivost, označena kao CVE-2025-3699, ima maksimalni CVSS rezultat od 9.8, što ukazuje na njenu ozbiljnost.
Ranjivost proizlazi iz slabosti “Nedostatak autentifikacije za kritične funkcije”, koja napadačima omogućava potpuno zaobilaženje mehanizama autentifikacije.
Nakon eksploatacije, zlonamjerni akteri mogu nezakonito upravljati klima-uređajima, pristupati osjetljivim informacijama, pa čak i modificirati firmver koristeći otkrivene podatke.
Napad ne zahtijeva nikakvu interakciju sa korisnikom i može se izvesti daljinski putem mrežnih veza, što ga čini posebno opasnim.
Istraživač sigurnosti Mihály Csonka je otkrio i prijavio ranjivost kompaniji Mitsubishi Electric, naglašavajući saradnju između sigurnosne zajednice i proizvođača na identifikaciji i rješavanju ranjivosti kritične infrastrukture.
Ova ranjivost ima širok utjecaj na brojne linije proizvoda.
Ova ranjivost pogađa širok spektar Mitsubishi Electric klima-uređaja, uključujući serije G-50, GB-50, AE-200 i AE-50, EW-50, kao i razne druge modele.
Svi pogođeni sistemi koji koriste firmver verzije 3.37 i ranije (za G-seriju), 9.12 i ranije (za GB-24A), 3.21 i ranije (za G-150AD i srodne modele), 7.11 i ranije (za EB-50GU modele), 8.01 i ranije (za AE/EW/TE/TW serije), te 1.40 i ranije (za CMS-RMD-J) podložni su ovom vektoru napada.
Širok obim pogođenih proizvoda naglašava potencijalni uticaj na komercijalne zgrade, industrijska postrojenja i druga okruženja gdje se ovi sistemi koriste za kontrolu klime i automatizaciju zgrada.
Mitsubishi Electric je u svom savjetu naveo tri scenarija konfiguracije sistema. Ranjivost predstavlja najveći rizik u nepravilno konfiguriranim okruženjima gdje su klima-uređaji direktno dostupni sa interneta bez VPN zaštite.
U suprotnosti s tim, sistemi koji su pravilno izolirani unutar internih mreža ili zaštićeni VPN ruterima suočavaju se sa značajno smanjenim rizikom, jer vanjski napadači nemaju direktan pristup ranjivim servisima.
Kompanija je naglasila da su njihovi klima-uređaji dizajnirani za upotrebu u sigurnim intranet okruženjima ili mrežama zaštićenim VPN infrastrukturom, ističući važnost pravilnog segmentiranja mreže i kontrole pristupa.
Nema zakrpa na vidiku, ublažavanje je neophodno.
Značajno je da je Mitsubishi Electric objavio da nema planova za izdavanje ispravljenih verzija firmvera za većinu pogođenih proizvoda. Međutim, kompanija priprema poboljšane verzije za odabrane modele u serijama AE-200, AE-50, EW-50, TE-200, TE-50 i TW-50A kako bi se riješila ova ranjivost.
Kompletna tabela pogođenih sistema.
Za neposrednu zaštitu, Mitsubishi Electric preporučuje implementaciju nekoliko strategija ublažavanja: ograničavanje mrežnog pristupa iz nepovjerljivih izvora, ograničavanje fizičkog pristupa sistemima i povezanim infrastrukturama, te održavanje ažurnog antivirusnog softvera i web pregledača na računarima koji se koriste za upravljanje ovim sistemima.
Ovo objavljivanje naglašava rastuće sigurnosne izazove sa kojima se suočavaju sistemi za automatizaciju zgrada i IoT infrastruktura. Kako kritični sistemi postaju sve više povezani, raste potencijal za daljinsku eksploataciju, naglašavajući potrebu za robusnim sigurnosnim praksama u industrijskim i komercijalnim okruženjima.
Organizacije koje koriste pogođene Mitsubishi Electric klima-uređaje trebale bi odmah procijeniti svoje mrežne konfiguracije i implementirati preporučene sigurnosne mjere kako bi spriječile potencijalnu eksploataciju ove kritične ranjivosti.
