Kompanija Mitsubishi Electric objavila je informaciju o kritičnoj ranjivosti koja pogađa 27 modela njihovih sistema za klimatizaciju. Ova ranjivost, koja je označena kao CVE-2025-3699 i ima maksimalni CVSS rezultat od 9.8, omogućava daljinskim napadačima da steknu neautorizovanu kontrolu nad ventilacionim i klimatizacionim sistemima zgrada bez ikakve interakcije korisnika.
Problem proizlazi iz slabosti pod nazivom “Nedostatak autentifikacije za kritičnu funkciju”, koja hakerima omogućava da u potpunosti zaobiđu mehanizme provjere autentičnosti. Nakon uspješne eksploatacije, zlonamjerni akteri mogu nelegalno upravljati sistemima klimatizacije, pristupati osjetljivim podacima, pa čak i modificirati firmver koristeći otkrivene informacije. Napad je izuzetno opasan jer se može izvesti daljinski putem mrežnih veza, bez potrebe za interakcijom sa strane korisnika.
Ovu ranjivost je otkrio i prijavio kompaniji Mitsubishi Electric sigurnosni istraživač Mihály Csonka, ističući značaj saradnje između sigurnosne zajednice i proizvođača u identifikaciji i rješavanju problema u kritičnoj infrastrukturi.
Širok spektar proizvoda je zahvaćen ovim problemom, uključujući serije G-50, GB-50, AE-200, AE-50, EW-50, kao i mnoge druge modele. Svi sistemi koji koriste firmverske verzije 3.37 i starije (za G-seriju), 9.12 i starije (za GB-24A), 3.21 i starije (za G-150AD i srodne modele), 7.11 i starije (za EB-50GU modele), 8.01 i starije (za AE/EW/TE/TW serije), te 1.40 i starije (za CMS-RMD-J) su podložni ovom napadu. Veliki broj pogođenih proizvoda ukazuje na potencijalni utjecaj na komercijalne i industrijske objekte, kao i na druga okruženja gdje se ovi sistemi koriste za kontrolu klime i automatizaciju zgrada.
Mitsubishi Electric je u svom savjetu naveo tri scenarija konfiguracije sistema. Najveći rizik od ranjivosti postoji u nepravilno konfiguriranim okruženjima gdje su sistemi klimatizacije direktno dostupni s interneta bez zaštite VPN-om. Nasuprot tome, sistemi koji su pravilno izolovani unutar internih mreža ili zaštićeni VPN ruterima imaju znatno smanjen rizik, jer vanjski napadači ne mogu direktno pristupiti ugroženim servisima. Kompanija je naglasila da su njihovi sistemi klimatizacije namijenjeni korištenju u sigurnim intranetskim okruženjima ili mrežama zaštićenim VPN infrastrukturom, čime se ističe važnost pravilne mrežne segmentacije i kontrole pristupa.
Važno je napomenuti da Mitsubishi Electric nema planove za objavu ispravljenih verzija firmvera za većinu pogođenih proizvoda. Međutim, kompanija radi na poboljšanim verzijama za određene modele iz serija AE-200, AE-50, EW-50, TE-200, TE-50 i TW-50A, kako bi se riješila ova ranjivost.
Za trenutnu zaštitu, Mitsubishi Electric preporučuje implementaciju nekoliko strategija ublažavanja rizika: ograničavanje mrežnog pristupa iz nepovjerljivih izvora, kontrolu fizičkog pristupa sistemima i povezanim infrastrukturama, te održavanje ažuriranog antivirusnog softvera i web pregledača na računarima koji se koriste za upravljanje ovim sistemima.
Ovo otkriće naglašava rastuće sigurnosne izazove s kojima se suočavaju sistemi za automatizaciju zgrada i IoT infrastruktura. Kako kritični sistemi postaju sve više povezani, raste i potencijal za daljinsku eksploataciju, što ukazuje na potrebu za robusnim sigurnosnim praksama u industrijskim i komercijalnim okruženjima. Organizacije koje koriste pogođene sisteme klimatizacije kompanije Mitsubishi Electric trebale bi odmah procijeniti svoje mrežne konfiguracije i primijeniti preporučene sigurnosne mjere kako bi spriječile potencijalnu eksploataciju ove kritične ranjivosti.
