Mitsubishi Electric je objelodanio kritičnu ranjivost koja zaobilazi autentifikaciju, a koja pogađa 27 različitih modela klima-uređaja, potencijalno omogućavajući udaljenim napadačima da steknu neovlašćenu kontrolu nad sistemima grijanja, ventilacije i klimatizacije (HVAC) u zgradama.
Ranjivost, praćena oznakom CVE-2025-3699, ima maksimalni CVSS rezultat od 9.8, ukazujući na njenu ozbiljnost.
Ovaj nedostatak proizlazi iz slabosti “Nedostajuća autentifikacija za kritičnu funkciju”, koja omogućava napadačima potpuno zaobilaženje mehanizama autentifikacije.
Nakon eksploatacije, zlonamjerni akteri mogu nezakonito kontrolisati klima-uređaje, pristupiti osjetljivim podacima, pa čak i manipulisati firmverom koristeći otkrivene podatke.
Napad ne zahtijeva nikakvu interakciju korisnika i može se izvršiti daljinski putem mrežnih veza, što ga čini posebno opasnim.
Sigurnosni istraživač Mihály Csonka je otkrio i prijavio ovu ranjivost kompaniji Mitsubishi Electric, naglašavajući zajednički napor sigurnosne zajednice i proizvođača u identifikaciji i rješavanju ranjivosti kritične infrastrukture.
Širok spektar linija proizvoda je zahvaćen ovim problemom.
Ranjivost utiče na širok spektar sistema klimatizacije Mitsubishi Electric, uključujući serije G-50, GB-50, AE-200 i AE-50, EW-50 serije i razne druge modele.
Svi pogođeni sistemi koji rade na verzijama firmvera 3.37 i starijim (za G-seriju), 9.12 i starijim (za GB-24A), 3.21 i starijim (za G-150AD i srodne modele), 7.11 i starijim (za EB-50GU modele), 8.01 i starijim (za AE/EW/TE/TW serije) te 1.40 i starijim (za CMS-RMD-J) podložni su ovom vektoru napada.
Širok opseg pogođenih proizvoda naglašava potencijalni utjecaj na komercijalne zgrade, industrijske objekte i druga okruženja gdje se ovi sistemi koriste za kontrolu klime i automatizaciju zgrada.
Mitsubishi Electric je u svom savjetodavnom dokumentu naveo tri scenarija konfiguracije sistema. Ranjivost predstavlja najveći rizik u nepravilno konfiguriranim okruženjima gdje su sistemi klimatizacije direktno dostupni sa interneta bez VPN zaštite.
Suprotno tome, sistemi pravilno izolovani unutar internih mreža ili zaštićeni VPN ruterima suočavaju se sa značajno smanjenim rizikom, jer vanjski napadači ne mogu direktno pristupiti ranjivim servisima.
Kompanija je istakla da su njihovi klima-uređaji dizajnirani za upotrebu unutar sigurnih intranet okruženja ili mreža zaštićenih VPN infrastrukturom, naglašavajući važnost pravilnog segmentiranja mreže i kontrole pristupa.
Nema zakrpa za većinu pogođenih proizvoda, ali se očekuje da će biti izdane poboljšane verzije za određene modele.
Bitno je napomenuti da je Mitsubishi Electric objavio da nema planova za izdavanje ispravljenih verzija firmvera za većinu pogođenih proizvoda. Međutim, kompanija priprema poboljšane verzije za odabrane modele iz serija AE-200, AE-50, EW-50, TE-200, TE-50 i TW-50A kako bi se riješila ova ranjivost.
Kompletna tablica pogođenih sistema je dostupna za pregled.
[Ovdje bi bila tablica, kao u originalnom tekstu.]
Za neposrednu zaštitu, Mitsubishi Electric preporučuje implementaciju nekoliko strategija ublažavanja: ograničavanje mrežnog pristupa sa nepouzdanih izvora, ograničavanje fizičkog pristupa sistemima i povezanim infrastrukturama, te održavanje ažuriranog antivirusnog softvera i web pregledača na računalima koja se koriste za upravljanje ovim sistemima.
Ovo otkriće ističe rastuće sigurnosne izazove s kojima se suočava automatizacija zgrada i IoT infrastruktura. Kako kritični sistemi postaju sve više povezani, raste i potencijal za daljinsko iskorištavanje, naglašavajući potrebu za robusnim sigurnosnim praksama u industrijskim i komercijalnim okruženjima.
Organizacije koje koriste pogođene sisteme klimatizacije Mitsubishi Electric trebale bi odmah procijeniti konfiguraciju svojih mreža i implementirati preporučene sigurnosne mjere kako bi spriječile potencijalno iskorištavanje ove kritične ranjivosti.
