В четверг Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities Catalog, KEV). В список были включены две критические бреши, затрагивающие продукцию компаний Hikvision и Rockwell Automation, что напрямую связано с их активным использованием злоумышленниками в реальных атаках. Обе уязвимости получили максимальный уровень опасности — 9,8 балла по шкале CVSS.
Включение в каталог KEV влечет за собой строгие юридические обязательства для правительственных структур. В рамках обязательной операционной директивы Binding Operational Directive 22-01 (BOD 22-01) агентства федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) обязаны обновить программное обеспечение до последних поддерживаемых версий. Крайним, строго регламентированным сроком для выполнения этих требований назначено 26 марта 2026 года.
Проблема выходит далеко за пределы государственного сектора, что подробно документируется в профильных сводках об угрозах, таких как публикация «Hikvision and Rockwell Automation CVSS 9.8 Flaws Added to CISA KEV Catalog». Представители CISA настоятельно призывают все частные организации своевременно устранять уязвимости из каталога KEV, интегрируя этот процесс в стандартные практики управления рисками для снижения вероятности кибератак. Подобные бреши представляют собой частые векторы проникновения, создающие масштабные угрозы для любых корпоративных сетей.
Первая уязвимость, зарегистрированная под идентификатором CVE-2017-7921, обнаружена в оборудовании компании Hikvision. Проблема кроется в некорректной аутентификации, которая затрагивает многочисленные продукты бренда, в первую очередь — камеры видеонаблюдения. Эта ошибка позволяет злоумышленнику повысить свои привилегии в системе и получить несанкционированный доступ к конфиденциальной информации.
Активная эксплуатация оборудования Hikvision началась задолго до официального включения уязвимости в реестр CISA. Более четырех месяцев назад специалисты профильной организации в сфере кибербезопасности SANS Internet Storm Center впервые зафиксировали попытки хакеров воспользоваться данной брешью в реальных условиях.
Вторая критическая уязвимость, получившая идентификатор CVE-2021-22681, относится к оборудованию и программному обеспечению компании Rockwell Automation. Суть проблемы заключается в недостаточной защите учетных данных, что делает промышленные системы уязвимыми перед внешним вмешательством.
Под угрозой оказались сразу несколько ключевых продуктов: Rockwell Automation Studio 5000 Logix Designer, программное обеспечение RSLogix 5000, а также контроллеры Logix Controllers. Эксплуатация уязвимости позволяет неавторизованному пользователю, имеющему доступ к сети, полностью обойти механизмы верификации. После этого злоумышленник может беспрепятственно пройти аутентификацию в контроллере и внести изменения в его конфигурацию или код приложения.
Ситуация с продукцией Rockwell Automation имеет специфическую особенность. Несмотря на то что уязвимость была добавлена в каталог именно по причине ее активного использования злоумышленниками, в открытых источниках на данный момент отсутствуют какие-либо публичные отчеты, детализирующие конкретные кибератаки на инфраструктуру с применением этого оборудования.
Изображение носит иллюстративный характер
Включение в каталог KEV влечет за собой строгие юридические обязательства для правительственных структур. В рамках обязательной операционной директивы Binding Operational Directive 22-01 (BOD 22-01) агентства федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) обязаны обновить программное обеспечение до последних поддерживаемых версий. Крайним, строго регламентированным сроком для выполнения этих требований назначено 26 марта 2026 года.
Проблема выходит далеко за пределы государственного сектора, что подробно документируется в профильных сводках об угрозах, таких как публикация «Hikvision and Rockwell Automation CVSS 9.8 Flaws Added to CISA KEV Catalog». Представители CISA настоятельно призывают все частные организации своевременно устранять уязвимости из каталога KEV, интегрируя этот процесс в стандартные практики управления рисками для снижения вероятности кибератак. Подобные бреши представляют собой частые векторы проникновения, создающие масштабные угрозы для любых корпоративных сетей.
Первая уязвимость, зарегистрированная под идентификатором CVE-2017-7921, обнаружена в оборудовании компании Hikvision. Проблема кроется в некорректной аутентификации, которая затрагивает многочисленные продукты бренда, в первую очередь — камеры видеонаблюдения. Эта ошибка позволяет злоумышленнику повысить свои привилегии в системе и получить несанкционированный доступ к конфиденциальной информации.
Активная эксплуатация оборудования Hikvision началась задолго до официального включения уязвимости в реестр CISA. Более четырех месяцев назад специалисты профильной организации в сфере кибербезопасности SANS Internet Storm Center впервые зафиксировали попытки хакеров воспользоваться данной брешью в реальных условиях.
Вторая критическая уязвимость, получившая идентификатор CVE-2021-22681, относится к оборудованию и программному обеспечению компании Rockwell Automation. Суть проблемы заключается в недостаточной защите учетных данных, что делает промышленные системы уязвимыми перед внешним вмешательством.
Под угрозой оказались сразу несколько ключевых продуктов: Rockwell Automation Studio 5000 Logix Designer, программное обеспечение RSLogix 5000, а также контроллеры Logix Controllers. Эксплуатация уязвимости позволяет неавторизованному пользователю, имеющему доступ к сети, полностью обойти механизмы верификации. После этого злоумышленник может беспрепятственно пройти аутентификацию в контроллере и внести изменения в его конфигурацию или код приложения.
Ситуация с продукцией Rockwell Automation имеет специфическую особенность. Несмотря на то что уязвимость была добавлена в каталог именно по причине ее активного использования злоумышленниками, в открытых источниках на данный момент отсутствуют какие-либо публичные отчеты, детализирующие конкретные кибератаки на инфраструктуру с применением этого оборудования.
