Исследователи в области кибербезопасности из Nozomi Networks Labs выявили более десяти критических уязвимостей в Niagara Framework — широко используемой платформе компании Tridium для управления умными зданиями и промышленными системами. При неправильной конфигурации оборудования злоумышленник, находящийся в той же сети, может последовательно использовать эти уязвимости для получения полного контроля над устройством, включая удаленное выполнение кода с правами суперпользователя.
Платформа Niagara Framework, разработанная Tridium (независимое подразделение Honeywell), является высокоценной целью для атак. Она служит универсальным шлюзом для управления и контроля критически важными системами зданий, такими как отопление, вентиляция, кондиционирование, освещение, энергопотребление и безопасность. Поскольку платформа часто соединяет сети Интернета вещей (IoT) и информационных технологий (IT), ее компрометация может привести к масштабным сбоям в работе, угрожая безопасности, производительности и непрерывности предоставления услуг.
Успешная атака возможна при условии, что система Niagara была настроена с ошибками, в частности, если на сетевом устройстве было отключено шифрование. Это позволяет злоумышленнику, действующему с позиции «человек посередине» (Man-in-the-Middle, MiTM), перехватывать и модифицировать данные, передаваемые по сети.
Специалисты Nozomi Networks продемонстрировали многоступенчатую атаку, начинающуюся с эксплуатации уязвимости CVE-2025-3943. Если в системе активирована служба Syslog для отправки журналов по незашифрованному каналу, злоумышленник может перехватить токен для защиты от межсайтовой подделки запросов (anti-CSRF).
Получив этот токен, атакующий инициирует CSRF-атаку, заманивая администратора системы на вредоносную ссылку. Эта ссылка регистрирует все входящие HTTP-запросы, что позволяет извлечь сессионный токен администратора (JSESSIONID). Используя его, злоумышленник подключается к компоненту Niagara Station с полными правами и создает скрытую учетную запись администратора для обеспечения постоянного доступа.
На следующем этапе, имея административный доступ, атакующий загружает закрытый ключ TLS-сертификата устройства. Это становится возможным из-за того, что компоненты Station (управляющее ПО) и Platform (среда выполнения) используют один и тот же сертификат и ключ. Завладев ключом, злоумышленник может проводить атаки типа «злоумышленник в середине» (Adversary-in-the-Middle, AitM) и перехватывать все коммуникации.
Завершающим шагом является эксплуатация уязвимости CVE-2025-3944 (Некорректное назначение разрешений для критического ресурса) в компоненте Platform. Это действие предоставляет злоумышленнику полный контроль над системой, позволяя удаленно выполнять код с правами root и полностью захватывать устройство.
Среди обнаруженных уязвимостей шесть имеют оценку критичности 9.8 по шкале CVSS. К ним относятся CVE-2025-3936 и CVE-2025-3944 (Некорректное назначение разрешений для критического ресурса), CVE-2025-3937 (Использование хеша пароля с недостаточной вычислительной сложностью), CVE-2025-3938 (Отсутствующий криптографический шаг), CVE-2025-3941 (Неправильная обработка альтернативного потока данных Windows: DATA) и CVE-2025-3945 (Неправильная нейтрализация разделителей аргументов в команде). Уязвимость CVE-2025-3943, использованная для начала атаки, имеет оценку 7.3.
Основной мерой по снижению рисков является строгое следование руководствам по усилению безопасности и передовым практикам, разработанным Tridium. Уязвимости были устранены в версиях 14.2u2, 4.15.u1 и 4.10u.11.
Nozomi Networks также сообщила об уязвимостях в библиотеке P-Net C, представляющей собой реализацию протокола PROFINET с открытым исходным кодом. Уязвимости CVE-2025-32399 и CVE-2025-32405 позволяют неаутентифицированному злоумышленнику вызвать отказ в обслуживании (DoS), либо зациклив работу процессора, либо повредив память устройства. Проблема была исправлена в версии 1.0.2, выпущенной в конце апреля 2025 года.
Проблемы безопасности были выявлены и в продуктах других производителей. В их число вошли устройства PowerMonitor 1000 от Rockwell Automation, контроллеры ctrlX CORE от Bosch Rexroth и камеры IB-MCT001 от Inaba Denki Sangyo. Потенциальные последствия эксплуатации этих уязвимостей варьируются от произвольного выполнения команд и захвата устройств до отказа в обслуживании, кражи информации и удаленного доступа к видеотрансляции с камер.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение относительно уязвимостей в камерах IB-MCT001. В заявлении агентства говорится: «Успешная эксплуатация этих уязвимостей может позволить злоумышленнику получить пароль для входа в систему продукта, получить несанкционированный доступ, подделать данные продукта и/или изменить его настройки».
Изображение носит иллюстративный характер
Платформа Niagara Framework, разработанная Tridium (независимое подразделение Honeywell), является высокоценной целью для атак. Она служит универсальным шлюзом для управления и контроля критически важными системами зданий, такими как отопление, вентиляция, кондиционирование, освещение, энергопотребление и безопасность. Поскольку платформа часто соединяет сети Интернета вещей (IoT) и информационных технологий (IT), ее компрометация может привести к масштабным сбоям в работе, угрожая безопасности, производительности и непрерывности предоставления услуг.
Успешная атака возможна при условии, что система Niagara была настроена с ошибками, в частности, если на сетевом устройстве было отключено шифрование. Это позволяет злоумышленнику, действующему с позиции «человек посередине» (Man-in-the-Middle, MiTM), перехватывать и модифицировать данные, передаваемые по сети.
Специалисты Nozomi Networks продемонстрировали многоступенчатую атаку, начинающуюся с эксплуатации уязвимости CVE-2025-3943. Если в системе активирована служба Syslog для отправки журналов по незашифрованному каналу, злоумышленник может перехватить токен для защиты от межсайтовой подделки запросов (anti-CSRF).
Получив этот токен, атакующий инициирует CSRF-атаку, заманивая администратора системы на вредоносную ссылку. Эта ссылка регистрирует все входящие HTTP-запросы, что позволяет извлечь сессионный токен администратора (JSESSIONID). Используя его, злоумышленник подключается к компоненту Niagara Station с полными правами и создает скрытую учетную запись администратора для обеспечения постоянного доступа.
На следующем этапе, имея административный доступ, атакующий загружает закрытый ключ TLS-сертификата устройства. Это становится возможным из-за того, что компоненты Station (управляющее ПО) и Platform (среда выполнения) используют один и тот же сертификат и ключ. Завладев ключом, злоумышленник может проводить атаки типа «злоумышленник в середине» (Adversary-in-the-Middle, AitM) и перехватывать все коммуникации.
Завершающим шагом является эксплуатация уязвимости CVE-2025-3944 (Некорректное назначение разрешений для критического ресурса) в компоненте Platform. Это действие предоставляет злоумышленнику полный контроль над системой, позволяя удаленно выполнять код с правами root и полностью захватывать устройство.
Среди обнаруженных уязвимостей шесть имеют оценку критичности 9.8 по шкале CVSS. К ним относятся CVE-2025-3936 и CVE-2025-3944 (Некорректное назначение разрешений для критического ресурса), CVE-2025-3937 (Использование хеша пароля с недостаточной вычислительной сложностью), CVE-2025-3938 (Отсутствующий криптографический шаг), CVE-2025-3941 (Неправильная обработка альтернативного потока данных Windows: DATA) и CVE-2025-3945 (Неправильная нейтрализация разделителей аргументов в команде). Уязвимость CVE-2025-3943, использованная для начала атаки, имеет оценку 7.3.
Основной мерой по снижению рисков является строгое следование руководствам по усилению безопасности и передовым практикам, разработанным Tridium. Уязвимости были устранены в версиях 14.2u2, 4.15.u1 и 4.10u.11.
Nozomi Networks также сообщила об уязвимостях в библиотеке P-Net C, представляющей собой реализацию протокола PROFINET с открытым исходным кодом. Уязвимости CVE-2025-32399 и CVE-2025-32405 позволяют неаутентифицированному злоумышленнику вызвать отказ в обслуживании (DoS), либо зациклив работу процессора, либо повредив память устройства. Проблема была исправлена в версии 1.0.2, выпущенной в конце апреля 2025 года.
Проблемы безопасности были выявлены и в продуктах других производителей. В их число вошли устройства PowerMonitor 1000 от Rockwell Automation, контроллеры ctrlX CORE от Bosch Rexroth и камеры IB-MCT001 от Inaba Denki Sangyo. Потенциальные последствия эксплуатации этих уязвимостей варьируются от произвольного выполнения команд и захвата устройств до отказа в обслуживании, кражи информации и удаленного доступа к видеотрансляции с камер.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение относительно уязвимостей в камерах IB-MCT001. В заявлении агентства говорится: «Успешная эксплуатация этих уязвимостей может позволить злоумышленнику получить пароль для входа в систему продукта, получить несанкционированный доступ, подделать данные продукта и/или изменить его настройки».
