Исследователи из Claroty Team 82 обнаружили две критические уязвимости в промышленном оборудовании компании Red Lion. Обеим уязвимостям присвоен максимальный уровень опасности 10.0 по шкале CVSS, что позволяет неаутентифицированному злоумышленнику получить полный контроль над затронутыми устройствами и представляет серьезную угрозу для объектов критической инфраструктуры.
Первая уязвимость, классифицированная как CVE-2023-42770, позволяет полностью обойти механизм аутентификации. Техническая причина кроется в том, что программное обеспечение удаленных терминалов (RTU) Red Lion прослушивает порт 1594 одновременно для протоколов TCP и UDP. Однако проверка подлинности пользователя запрашивается только при соединении через UDP. Злоумышленник может отправить команды на тот же порт через TCP, и система примет их без какой-либо проверки.
Вторая уязвимость, CVE-2023-40151, обеспечивает возможность удаленного выполнения кода. Используя эту брешь, злоумышленник может выполнять произвольные команды на устройстве с наивысшими системными привилегиями. Это достигается за счет использования встроенной функции драйвера Sixnet Universal Driver (UDR), которая поддерживает выполнение команд оболочки Linux. Атакующий может задействовать эту функцию для запуска собственного кода от имени пользователя root.
Для достижения максимального эффекта злоумышленник последовательно использует обе уязвимости. Сначала с помощью CVE-2023-42770 он обходит все требования аутентификации, устанавливая соединение по протоколу TCP. Получив несанкционированный доступ, он задействует CVE-2023-40151 для отправки вредоносных команд через драйвер Sixnet Universal Driver. В результате атакующий получает возможность удаленного выполнения кода с правами суперпользователя, что означает полный захват контроля над промышленным устройством.
Уязвимости затрагивают удаленные терминалы (RTU) Sixnet производства Red Lion, в частности продуктовые линейки SixTRAK и VersaTRAK. Эти устройства обеспечивают расширенную автоматизацию, управление и сбор данных в промышленных системах.
Аппаратное обеспечение Red Lion широко используется в ключевых отраслях, включая энергетику, системы водоснабжения и водоотведения, транспорт, коммунальные услуги и производство. Для настройки оборудования применяется утилита Sixnet IO Tool Kit для Windows, а для связи используется проприетарный протокол Sixnet "Universal".
Информация об уязвимостях была опубликована исследователями Claroty Team 82 во вторник. Вслед за этим официальные уведомления выпустили как сама компания Red Lion в июне 2025 года, так и Агентство по кибербезопасности и защите инфраструктуры США (CISA).
По оценке Claroty, успешная эксплуатация уязвимостей открывает «значительные возможности для сбоя или повреждения технологических процессов». Получив root-доступ к контроллеру, злоумышленник способен манипулировать физическими процессами, останавливать производство или вызывать физические повреждения промышленного оборудования.
Для устранения угрозы пользователям рекомендуется немедленно применить выпущенные обновления прошивки. Также необходимо убедиться, что на устройствах RTU Red Lion включена аутентификация пользователя (UDR-A) и заблокирован сетевой доступ к порту 1594 по протоколу TCP.
Компания Red Lion выпустила обновления программного обеспечения, устраняющие данные уязвимости. Пользователям следующих моделей необходимо обновиться до указанных версий прошивки или более поздних:
ST-IPm-8320, ST-IPm-8310, ST-IPm-8316, ST-IPm-2310: версия 4.10.100 и новее.
ST-IPm-0210: версия 4.2.020 и новее.
ST-IPm-6350, VT-mIPm-135-D, VT-mIPm-245-D, VT-IPm2m-213-D, VT-IPm2m-113-D: версия 4.9.114 и новее.
Первая уязвимость, классифицированная как CVE-2023-42770, позволяет полностью обойти механизм аутентификации. Техническая причина кроется в том, что программное обеспечение удаленных терминалов (RTU) Red Lion прослушивает порт 1594 одновременно для протоколов TCP и UDP. Однако проверка подлинности пользователя запрашивается только при соединении через UDP. Злоумышленник может отправить команды на тот же порт через TCP, и система примет их без какой-либо проверки.
Вторая уязвимость, CVE-2023-40151, обеспечивает возможность удаленного выполнения кода. Используя эту брешь, злоумышленник может выполнять произвольные команды на устройстве с наивысшими системными привилегиями. Это достигается за счет использования встроенной функции драйвера Sixnet Universal Driver (UDR), которая поддерживает выполнение команд оболочки Linux. Атакующий может задействовать эту функцию для запуска собственного кода от имени пользователя root.
Для достижения максимального эффекта злоумышленник последовательно использует обе уязвимости. Сначала с помощью CVE-2023-42770 он обходит все требования аутентификации, устанавливая соединение по протоколу TCP. Получив несанкционированный доступ, он задействует CVE-2023-40151 для отправки вредоносных команд через драйвер Sixnet Universal Driver. В результате атакующий получает возможность удаленного выполнения кода с правами суперпользователя, что означает полный захват контроля над промышленным устройством.
Уязвимости затрагивают удаленные терминалы (RTU) Sixnet производства Red Lion, в частности продуктовые линейки SixTRAK и VersaTRAK. Эти устройства обеспечивают расширенную автоматизацию, управление и сбор данных в промышленных системах.
Аппаратное обеспечение Red Lion широко используется в ключевых отраслях, включая энергетику, системы водоснабжения и водоотведения, транспорт, коммунальные услуги и производство. Для настройки оборудования применяется утилита Sixnet IO Tool Kit для Windows, а для связи используется проприетарный протокол Sixnet "Universal".
Информация об уязвимостях была опубликована исследователями Claroty Team 82 во вторник. Вслед за этим официальные уведомления выпустили как сама компания Red Lion в июне 2025 года, так и Агентство по кибербезопасности и защите инфраструктуры США (CISA).
По оценке Claroty, успешная эксплуатация уязвимостей открывает «значительные возможности для сбоя или повреждения технологических процессов». Получив root-доступ к контроллеру, злоумышленник способен манипулировать физическими процессами, останавливать производство или вызывать физические повреждения промышленного оборудования.
Для устранения угрозы пользователям рекомендуется немедленно применить выпущенные обновления прошивки. Также необходимо убедиться, что на устройствах RTU Red Lion включена аутентификация пользователя (UDR-A) и заблокирован сетевой доступ к порту 1594 по протоколу TCP.
Компания Red Lion выпустила обновления программного обеспечения, устраняющие данные уязвимости. Пользователям следующих моделей необходимо обновиться до указанных версий прошивки или более поздних:
ST-IPm-8320, ST-IPm-8310, ST-IPm-8316, ST-IPm-2310: версия 4.10.100 и новее.
ST-IPm-0210: версия 4.2.020 и новее.
ST-IPm-6350, VT-mIPm-135-D, VT-mIPm-245-D, VT-IPm2m-213-D, VT-IPm2m-113-D: версия 4.9.114 и новее.
