Поделиться
Уязвимости в переключателях ATEN International устранены благодаря экспертам Positive Technologies
Производитель оборудования для связи и управления доступом к ИТ-инфраструктуре ATEN International устранил уязвимости в переключателях KVM over IP серии CL57xx. KVM-устройство представляет собой компьютер со встроенной клавиатурой, монитором и тачпадом в специальном корпусе, который по размерам подходит для установки в серверные стойки. Проблемы безопасности нашла группа экспертов PT SWARM — Наталья Тляпова, Денис Горюшев и Дмитрий Скляров. Три недостатка имели максимальный уровень опасности, еще два — высокий.
ATEN International входит в пятерку мировых лидеров по производству KVM-переключателей, свидетельствуют данные исследования Mordor Intelligence. Офисы компании действуют в 18 странах, в России ATEN International представляет официальный партнер.
Переключатели KVM over IP используются на промышленных объектах и в дата-центрах для подключения к другим компьютерам и серверам. Операторы могут управлять подконтрольными серверами так, словно работают за монитором и клавиатурой любого из них, при этом на самих устройствах не требуется устанавливать дополнительное ПО. Управлять серверами при помощи переключателей можно не только находясь физически рядом с ними, но и удаленно — подключаясь к KVM-устройствам по сети.
Уязвимостям (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713, CVE-2025-3714) присвоено от 7,5 до 9,8 балла по шкале CVSS 3.1. В случае успешной эксплуатации трех самых опасных недостатков злоумышленник мог бы захватить управление подключенными к устройству серверами.
«ATEN CL57xx применяются для удаленного доступа к серверам, поэтому для эксплуатации уязвимостей злоумышленнику было бы достаточно отправить сообщение устройству в локальной сети или через интернет. Успешно воспользовавшись ошибками, нарушитель мог бы получить удаленный доступ к устройствам, подключенным к порту KVM, как при использовании удаленного рабочего стола, — сказала Наталья Тляпова, старший специалист отдела анализа приложений Positive Technologies. — Дальнейшие пути развития атаки зависели бы от того, где расположено уязвимое устройство. Если бы к нему была подключена АСУ ТП, атакующий потенциально смог бы нарушить технологический процесс на производстве. Или, если бы KVM-переключатель применялся для управления сервером базы данных, атакованное предприятие могло бы столкнуться с утечкой информации».
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил версию прошивки с исправлением (2.0.196) для всей линейки устройств. Помимо ее установки, чтобы защититься от аналогичных уязвимых мест, исследователи Positive Technologies рекомендуют промышленным предприятиям уделять особое внимание грамотной настройке сети и прав доступа.
Критически опасные ошибки CVE-2025-3710 (BDU:2025-01795), CVE-2025-3711 (BDU:2025-01809) и CVE-2025-3714 (BDU:2025-05376) были связаны с переполнением стекового буфера и могли бы привести к отказу в обслуживании или позволить злоумышленнику удаленно исполнить вредоносный код. Однако, как отмечают эксперты Positive Technologies, успешно использовать последнюю уязвимость было бы сложнее: для этого атакующему потребовалось бы дополнительно воспользоваться ошибкой CVE-2025-3713 (BDU:2025-01811), которой присвоено 7,5 балла. Как и дефект безопасности CVE-2025-3712 (BDU:2025-01810) с аналогичной оценкой, она относилась к классу «переполнение кучи».
Чтобы защититься от подобных атак, необходимо полное представление о состоянии сетевой инфраструктуры. Получить его можно с помощью системы поведенческого анализа трафика PT Network Attack Discovery, которая позволяет выявлять в сети попытки эксплуатации уязвимостей и другие слабые места в защите, оперативно реагировать на инциденты безопасности, а также проводить ретроспективный анализ проникновений. Кроме того, обеспечить безопасность компании поможет межсетевой экран нового поколения PT NGFW. Попытки использования этих уязвимостей могут также быть обнаружены с помощью анализа технологического трафика в PT ISIM, в базе которого теперь содержатся правила и сигнатуры для их выявления. Помимо этого, продукт может выявить всю цепочку развития атаки, если злоумышленник все же использовал данные уязвимости на каком-то из этапов.
Короткая ссылка
