Mitsubishi Electric je obavijestio o kritičnom propustu sigurnosti koji pogađa 27 modela klima uređaja, a koji bi mogao omogućiti daljinskim napadačima neovlašteno upravljanje HVAC sistemima u zgradama. Ovaj propust, označen kao CVE-2025-3699, ima najviši mogući CVSS rezultat od 9.8, što ukazuje na njegovu izuzetnu ozbiljnost. Propust proizlazi iz slabosti u vidu “Nedostatka autentifikacije za kritičnu funkciju”, što napadačima dopušta potpuno zaobilaženje mehanizama autentifikacije. Jednom kada se iskoristi, zlonamjerni akteri mogu nezakonito upravljati klima uređajima, pristupati osjetljivim informacijama, pa čak i manipulirati firmverom koristeći objavljene podatke. Napad ne zahtijeva nikakvu interakciju korisnika i može se izvršiti daljinski putem mrežnih veza, što ga čini posebno opasnim. Sigurnosni istraživač Mihály Csonka je otkrio i prijavio ovaj propust kompaniji Mitsubishi Electric, naglašavajući važnost saradnje između sigurnosne zajednice i proizvođača u identifikaciji i rješavanju kritičnih infrastrukturnih ranjivosti.
Ovaj propust utječe na širok spektar sistema klimatizacije Mitsubishi Electric, uključujući serije G-50, GB-50, AE-200 i AE-50, EW-50, kao i razne druge modele. Svi pogođeni sistemi koji koriste verzije firmvera 3.37 i starije (za modele G-serije), 9.12 i starije (za GB-24A), 3.21 i starije (za G-150AD i srodne modele), 7.11 i starije (za EB-50GU modele), 8.01 i starije (za AE/EW/TE/TW serije) te 1.40 i starije (za CMS-RMD-J) podložni su ovom vektoru napada. Širok obim pogođenih proizvoda naglašava potencijalni utjecaj na komercijalne zgrade, industrijske objekte i druga okruženja gdje se ovi sistemi koriste za kontrolu klime i automatizaciju zgrada. Mitsubishi Electric je u svom savjetodavnom dokumentu naveo tri scenarija konfiguracije sistema. Propust predstavlja najveći rizik u nepravilno konfiguriranim okruženjima gdje su klima uređaji direktno dostupni s interneta bez VPN zaštite. Nasuprot tome, sistemi koji su pravilno izolovani unutar internih mreža ili zaštićeni VPN ruterima suočavaju se sa značajno smanjenim rizikom jer vanjski napadači ne mogu direktno doći do ranjivih servisa. Kompanija je istakla da su njihovi klima uređaji dizajnirani za korištenje unutar sigurnih intranet okruženja ili mreža zaštićenih VPN infrastrukturom, čime se naglašava važnost pravilne segmentacije mreže i kontrole pristupa.
Važno je napomenuti da Mitsubishi Electric ne planira izdati ispravljene verzije firmvera za većinu pogođenih proizvoda. Međutim, kompanija priprema poboljšane verzije za odabrane modele iz serija AE-200, AE-50, EW-50, TE-200, TE-50 i TW-50A kako bi riješila ovaj propust. Za neposrednu zaštitu, Mitsubishi Electric preporučuje implementaciju nekoliko strategijskih mjera: ograničavanje mrežnog pristupa iz nepouzdanih izvora, ograničavanje fizičkog pristupa sistemima i povezanim infrastrukturama, te održavanje ažuriranog antivirusnog softvera i web preglednika na računalima koja se koriste za upravljanje ovim sistemima. Ovo otkriće naglašava rastuće sigurnosne izazove s kojima se suočava automatizacija zgrada i IoT infrastruktura. Kako kritični sistemi postaju sve više povezani, raste i potencijal za daljinsko iskorištavanje, što naglašava potrebu za robusnim sigurnosnim praksama u industrijskim i komercijalnim okruženjima. Organizacije koje koriste pogođene klima uređaje Mitsubishi Electric trebale bi odmah procijeniti konfiguraciju svoje mreže i implementirati preporučene sigurnosne mjere kako bi spriječile potencijalno iskorištavanje ovog kritičnog propusta.
