Уязвимости в Johnson Controls Frick Controls Quantum HD: что нужно знать специалистам по безопасности

Недавно были выявлены критические уязвимости в системе управления Frick Controls Quantum HD от компании Johnson Controls, которые позволяют злоумышленникам выполнять удалённое выполнение кода без предварительной аутентификации, получать несанкционированный доступ к информации или вызывать отказ в обслуживании. Уязвимости затрагивают версии продукта до 10.22 включительно и имеют высокий уровень опасности.

Подробности уязвимостей

Среди обнаруженных проблем — недостаточная проверка входных данных, что приводит к возможности выполнения команд операционной системы (OS Command Injection), инъекции кода, обходу ограничений доступа через относительные пути (Relative Path Traversal) и хранению паролей в открытом виде. Все эти уязвимости позволяют злоумышленникам получить контроль над устройствами без необходимости прохождения аутентификации, что значительно повышает риск атак.

Производитель классифицирует эти уязвимости как критические, с оценкой по CVSS версии 3.0 — 9.1, что указывает на высокую степень угрозы для безопасности.

Влияние на бизнес и инфраструктуру

Frick Controls Quantum HD широко используется в критически важных секторах, таких как пищевая промышленность и сельское хозяйство, и эксплуатируется по всему миру. Учитывая, что эти системы управляют важными технологическими процессами, успешная эксплуатация уязвимостей может привести к серьезным нарушениям в работе предприятий, включая остановку производственных линий, утечку конфиденциальных данных и потенциальные финансовые потери.

Для организаций, которые управляют внешней поверхностью атаки, данная ситуация подчёркивает необходимость постоянного мониторинга и своевременного обновления систем управления промышленным оборудованием. Уязвимости в таких системах могут стать точкой входа для более масштабных атак на корпоративную инфраструктуру.

Практические рекомендации для команд безопасности

• Обновление ПО. Johnson Controls рекомендует перейти на последнюю версию платформы — Quantum HD Unity версии 12 и выше, так как версии с 10.22 по 11 считаются устаревшими и больше не поддерживаются.

• Следование руководствам по безопасности. После обновления необходимо проверить соответствие системы рекомендациям по усилению безопасности, предоставленным производителем.

• Мониторинг и аудит. Регулярно проводить аудит конфигураций и мониторинг активности в системах управления, чтобы своевременно выявлять подозрительные действия.

• Обучение персонала. Обеспечить, чтобы сотрудники, отвечающие за эксплуатацию и безопасность систем управления, были осведомлены о потенциальных рисках и методах защиты.

• Интеграция с платформами EASM. Использовать решения для управления внешней поверхностью атаки (External Attack Surface Management) для выявления и контроля уязвимых компонентов в инфраструктуре.

В условиях растущей сложности киберугроз и увеличения числа атак на промышленные и критические инфраструктуры, своевременное устранение подобных уязвимостей становится ключевым элементом стратегии информационной безопасности. Комплексный подход к управлению рисками и постоянное обновление систем помогут минимизировать потенциальный ущерб и обеспечить надежную защиту бизнес-процессов.