Эксперты PositiveTechnologies помогли закрыть уязвимости в контроллерах Fastwel
Российская компания Fastwel, специализирующаяся на проектировании и производстве оборудования для АСУ ТП, встраиваемых и бортовых систем, поблагодарила экспертов Positive Technologies за выявление ряда уязвимостей в программируемых логических контроллерах (ПЛК) CPM723-01 и CPM810-03. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновления ПО, устраняющие дефекты безопасности в обоих ПЛК.
Ошибкам PT-2025-40257–PT-2025-40265 (BDU:2025-11164–BDU:2025-11172) было присвоено от 8,3 до 9,4 балла из 10 по шкале CVSS 4.0. Их эксплуатация, отмечают в Positive Technologies, теоретически могла бы вызвать существенные сбои контролируемого технологического оборудования. Теперь компаниям, эксплуатирующим уязвимое оборудование, необходимо в кратчайшие сроки обновить CPM723-01 до версии 3.4.9.5 и CPM810-03 — до версии 3.4.5.1.
ПЛК CPM810-03 и CPM723-01-C1 внесены в реестр российской промышленной продукции. Контроллеры используются в нефтегазовой и железнодорожной отраслях, электроэнергетике, судостроении, металлургии, добывающей промышленности и коммунальном хозяйстве.
Как указывается в сообщении, самые опасные из устраненных уязвимостей PT-2025-40257–PT-2025-40260 позволяли выполнить произвольный код в операционной системе контроллера. До устранения ошибок проэксплуатировать их мог как внутренний, так и внешний нарушитель, имеющий сетевой доступ к оборудованию.
