CISA je 31. jula 2025. godine objavila dva visoko ozbiljna savjetodavna upozorenja o industrijskim kontrolnim sistemima (ICS), ističući kritične ranjivosti u široko rasprostranjenoj industrijskoj opremi koje bi mogle omogućiti udaljenim napadačima manipulisanje kritičnim infrastrukturnim sistemima.
Nedostaci utiču na uređaje za seizmički monitoring i virtualizovane industrijske sisteme koji se koriste u globalnim kritičnim proizvodnim sektorima.
Ranjivost seizmičkih sistema za praćenje Güralpa
Prvo obavještenje se odnosi na ozbiljnu ranjivost zaobilaženja autentifikacije u uređajima za seizmički nadzor Güralp FMUS serije, koja utiče na sve verzije koje se trenutno koriste širom svijeta.
Ranjivost, praćena kao CVE-2025-8286 i klasifikovana kao CWE-306 (Nedostaje autentifikacija za kritičnu funkciju), nosi maksimalni CVSS v4 rezultat od 9,3 i CVSS v3 rezultat od 9,8.
Istraživač sigurnosti Souvik Kandar iz MicroSeca otkrio je da ovi uređaji otkrivaju neautentifikovani Telnet interfejs komandne linije kojem se može pristupiti daljinski, s niskom složenošću napada.
Uspješna eksploatacija mogla bi omogućiti napadačima da modifikuju hardverske konfiguracije, manipulišu seizmičkim podacima ili izvrše fabričko resetovanje opreme za nadzor koja je ključna za detekciju zemljotresa i industrijske sigurnosne sisteme.
Vektorski niz CVSS v4 ranjivosti AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N ukazuje na napade dostupne putem mreže koji ne zahtijevaju interakciju korisnika ili privilegije.
Uprkos CISA-inim pokušajima koordinacije, Güralp Systems nije odgovorio na napore za otkrivanje podataka, ostavljajući korisnicima da implementiraju mjere ublažavanja na nivou mreže, uključujući izolaciju zaštitnog zida i udaljeni pristup zaštićen VPN-om.
Rockwell Automation koristi VMware
Drugo savjetovanje usmjereno je na Rockwell Automation Lifecycle Services koje koriste VMware infrastrukturu, uključujući industrijske podatkovne centre (IDC), VersaVirtual Appliances (VVA), usluge upravljanja otkrivanjem prijetnji (TDMS) i usluge zaštite krajnjih tačaka.
Četiri različite ranjivosti utiču na ove sisteme, a CVSS v4 rezultat dostiže 9,4.
Tri kritične ranjivosti pisanja izvan granica ( CVE-2025-41236 , CVE-2025-41237 , CVE-2025-41238 ) proizlaze iz uvjeta prekoračenja i premalobrojnog broja u VMwareovom VMXNET3 virtualnom mrežnom adapteru, Virtual Machine Communication Interfaceu (VMCI) i Paravirtualnom SCSI (PVSCSI) kontroleru, respektivno.
Svaki ima identične CVSS v3.1 rezultate od 9,3 sa vektorskim stringovima CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, što ukazuje na lokalne zahtjeve za pristup, ali potencijal za potpuno kompromitovanje sistema.
Osim toga, CVE-2025-41239 predstavlja ranjivost CWE-908 (Upotreba neinicijaliziranog resursa) u vSockets-ima koja bi mogla procuriti osjetljivi sadržaj memorije, ocijenjena s 8.2 na CVSS v4.
Ove ranjivosti zajedno omogućavaju izvršavanje koda na hipervizorskim hostovima, što potencijalno ugrožava cijele infrastrukture industrijske virtualizacije.
Ublažavanja
CISA naglašava potrebu za trenutnom primjenom strategija dubinske odbrane, jer ove ranjivosti utiču na kritične proizvodne sektore širom svijeta.
Organizacije moraju dati prioritet segmentaciji mreže, osiguravajući da ICS uređaji ostanu izolirani od pristupa internetu i poslovnih mreža.
Za Rockwell sisteme, korisnici s aktivnim ugovorima o upravljanim uslugama dobit će direktnu podršku za sanaciju, dok bi ostali trebali konsultovati Broadcomove sigurnosne savjete za VMware zakrpe.
Nije prijavljeno aktivno iskorištavanje ni za jedan od skupova ranjivosti, što organizacijama pruža ključni prozor za implementaciju zaštitnih mjera prije otkrivanja potencijalnih prijetnji i pretvaranja ovih visokoutjecajnih vektora napada u oružje.
Izvor: CyberSecurityNews
