Mitsubishi Electric je objavio postojanje kritične ranjivosti u 27 različitih modela klima-uređaja, koja bi mogla omogućiti daljinskim napadačima neovlašćenu kontrolu nad HVAC sistemima zgrada. Ova ranjivost, koja je označena kao CVE-2025-3699, ima maksimalni CVSS rezultat od 9.8, što ukazuje na njenu izuzetnu ozbiljnost. Slabost leži u propustu za autentifikaciju prilikom izvršavanja kritičnih funkcija, što napadačima dozvoljava da u potpunosti zaobiđu mehanizme autentifikacije. Po iskorišćavanju, zlonamjerni akteri bi mogli nelegalno upravljati klima-uređajima, pristupati osjetljivim podacima, pa čak i neovlašćeno mijenjati firmver koristeći otkrivene informacije. Napad ne zahtijeva nikakvu interakciju korisnika i može se izvesti daljinski putem mrežnih veza, što ga čini naročito opasnim. Sigurnosni istraživač Mihály Csonka je otkrio i prijavio ovu ranjivost kompaniji Mitsubishi Electric, ističući značaj saradnje između sigurnosne zajednice i proizvođača u identifikovanju i rješavanju problema kritične infrastrukture.
Ova ranjivost zahvata širok spektar Mitsubishi Electric klima-uređaja, uključujući serije G-50, GB-50, AE-200 i AE-50, EW-50, kao i razne druge modele. Svi pogođeni sistemi koji koriste verzije firmvera 3.37 i starije (za G-seriju), 9.12 i starije (za GB-24A), 3.21 i starije (za G-150AD i slične modele), 7.11 i starije (za EB-50GU modele), 8.01 i starije (za AE/EW/TE/TW serije) te 1.40 i starije (za CMS-RMD-J) podložni su ovom napadu. Širok obim pogođenih proizvoda naglašava potencijalni uticaj na komercijalne i industrijske objekte, kao i druga okruženja gdje se ovi sistemi koriste za kontrolu klime i automatizaciju zgrada. Mitsubishi Electric je u svom savjetodavnom biltenu naveo tri scenarija konfiguracije sistema, pri čemu ranjivost predstavlja najveći rizik u nepravilno konfiguriranim okruženjima, gdje su klima-uređaji direktno dostupni sa interneta bez zaštite VPN-om. Nasuprot tome, sistemi koji su pravilno izolovani unutar internih mreža ili zaštićeni VPN ruterima suočavaju se sa značajno smanjenim rizikom jer spoljni napadači ne mogu direktno pristupiti ugroženim servisima. Kompanija je naglasila da su njihovi klima-uređaji dizajnirani za korišćenje unutar sigurnih intranet okruženja ili mreža zaštićenih VPN infrastrukturom, ističući važnost pravilnog segmentiranja mreže i kontrole pristupa.
Važno je napomenuti da Mitsubishi Electric nema planove za objavljivanje ispravljenih verzija firmvera za većinu pogođenih proizvoda. Međutim, kompanija priprema unaprijeđene verzije za odabrane modele iz serija AE-200, AE-50, EW-50, TE-200, TE-50 i TW-50A kako bi se riješila ova ranjivost. Kao mjere za hitnu zaštitu, Mitsubishi Electric preporučuje ograničavanje mrežnog pristupa iz nepovjerljivih izvora, kontrolisanje fizičkog pristupa sistemima i povezanoj infrastrukturi, te redovno ažuriranje antivirusnog softvera i veb pregledača na računarima koji se koriste za upravljanje ovim sistemima. Ovo otkriće ukazuje na rastuće sigurnosne izazove sa kojima se suočava automatizacija zgrada i IoT infrastruktura. Kako kritični sistemi postaju sve više povezani, povećava se potencijal za daljinsko iskorištavanje, što naglašava potrebu za robusnim sigurnosnim praksama u industrijskim i komercijalnim okruženjima. Organizacije koje koriste pogođene Mitsubishi Electric klima-uređaje trebale bi odmah procijeniti svoje mrežne konfiguracije i implementirati preporučene sigurnosne mjere kako bi spriječile potencijalno iskorištavanje ove kritične ranjivosti.
