Десять уязвимостей в контроллерах Copeland, которые используются в холодильниках мировых сетей супермаркетов, могли позволить злоумышленникам манипулировать температурой и портить продукты питания и лекарства.
Уязвимости, получившие общее название Frostbyte10, затрагивают контроллеры Copeland E2 и E3, используемые для управления критически важными системами зданий и холодильными системами, такими как компрессорные группы, конденсаторы, кондиционеры, системы отопления, вентиляции и кондиционирования воздуха (ОВКВ) и освещения. Три из них получили критический уровень серьёзности.
Компания Armis, занимающаяся безопасностью операционных технологий, обнаружила 10 уязвимостей и сообщила о них Copeland, которая с тех пор выпустила обновления прошивки, устраняющие недостатки в контроллерах E3 и E2. Официально срок службы контроллеров E2 закончился в октябре, и пострадавшим клиентам рекомендуется перейти на новую платформу E3. Обновление прошивки Copeland до версии 2.31F01 устраняет все описанные проблемы безопасности, и производитель рекомендует незамедлительно установить исправления.
Помимо обновлений Copeland, Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) также планирует сегодня выпустить рекомендации, настоятельно призывающие все организации немедленно установить исправления.
«В совокупности и при эксплуатации эти уязвимости могут привести к неавторизованному удалённому выполнению кода с правами root», — заявили руководители Copeland и Armis.
Компания Copeland производит системы отопления, охлаждения и промышленные технологии и представлена более чем в 40 странах мира. Среди её клиентов — Kroger, Albertsons и Whole Foods. По словам вице-президента по программному обеспечению Copeland Джоша Уивера, около двух третей продуктовых магазинов Северной Америки используют установки компании.
Пока нет никаких признаков того, что какие-либо из этих уязвимостей эксплуатировались до того, как Copeland выпустила исправления.
Однако повсеместное присутствие производителя в розничной торговле и холодильных хранилищах делает его излюбленной мишенью для всевозможных злоумышленников: от хакеров, стремящихся нарушить цепочку поставок продуктов питания, до группировок, занимающихся вирусами-вымогателями.
Почти пять месяцев назад сетевые исследователи Armis Labs Шауль Гарбуз и Алон Коэн обнаружили первую из десяти уязвимостей, работая с одним из крупных розничных клиентов своей компании, чтобы идентифицировать устройства Copeland в среде продавца.
«В процессе исследования того, как мы можем анализировать трафик и пытаться взаимодействовать с этими устройствами в нашей лаборатории, мы обнаружили несколько потенциальных тревожных сигналов. Всё началось с того, что мы случайно вывели из строя одно из устройств — это одна из уязвимостей — из-за неправильного взаимодействия с ним. И тогда мы начали разбираться», — рассказал Гарбуз The Register.
Эта уязвимость, теперь отслеживаемая как CVE-2025-52547, приводит к отказу в обслуживании служб приложений из-за вызова API, не проверяющего входные данные. Девять уязвимостей присутствуют в версии прошивки E3 ниже 2.31F01, а последняя ошибка затрагивает контроллеры E2.
При этом контроллеры E2 используют незашифрованный протокол. «Как только мы разобрались с протоколом, то смогли делать практически всё, что захотим — переопределять файлы, запускать код», — отметил Гарбуз.
Остальные девять уязвимостей затрагивают устройства E3, и злоумышленник может объединить некоторые из них в цепочку для достижения самых разных результатов. Например, уязвимость CVE-2025-6519, связанная с предсказуемым паролем, который генерируется ежедневно, может быть использована для получения прав системного администратора. В сочетании с CVE-2025-52549, которая позволяет злоумышленнику предугадать пароль root в Linux, её можно эксплуатировать для удалённого управления другими управляемыми устройствами или изменения настроек и оповещений.
«Этого достаточно, чтобы нарушить работу объекта. Вы можете удалить других пользователей. Вы можете запретить другим людям использовать устройство. Вы можете обновить прошивку устройства и установить на неё вредонос. Вы можете запустить код на устройстве. Это практически максимальный контроль над устройством. И это ещё не удалённое выполнение кода», — рассказал Гарбуз.
Причина, по которой Copeland создала администратора «ONEDAY» с предсказуемым паролем, который можно менять ежедневно, была обусловлена запросами клиентов, пояснили в компании.
«Клиенты просили нас предоставлять им повторяемые пароли, что, как правило, недопустимо в сфере безопасности. Это практически подводит нас к философскому вопросу: если клиент конкретно просит вас что-то сделать, по сути, он требует этого, но это не самый безопасный способ доступа к его продукту, стоит ли пытаться исправить это?», — задаётся вопросом Уивер.
Между тем исследовательница BobDaHacker обнаружила уязвимости в админ-панели китайской компании Pudu Robotics, которая считается крупнейшим поставщиком коммерческих сервисных роботов. Хакеры могли воспользоваться багом, чтобы перенаправлять роботов и задавать им любые команды.
Источник: habr.com