Поделиться
Критические «дыры» в контроллерах Copeland ставят под угрозу промышленные холодильники по всему миру
Десять уязвимостей в контроллерах Copeland, которые используются в промышленных холодильниках мировых сетей супермаркетов, могли позволить злоумышленникам манипулировать температурой и портить продукты питания и лекарства. ИТ-уязвимости, получившие общее название Frostbyte10, затрагивают контроллеры Copeland E2 и E3, используемые для управления критически важными системами зданий и холодильными системами. В сентябре 2025 г. три из них получили критический уровень серьезности.
Выпуск патчей для ошибок
Ошибки Frostbyte10 в контроллерах Copeland ставят под угрозу работу систем охлаждения в зданиях и промышленных холодильниках по всему миру, пишет The Register. Десять ИТ-уязвимостей в контроллерах могли позволить хакерам манипулировать температурой и портить продукты питания и лекарства, что приводило к масштабным ИТ-сбоям в цепочках поставок.
ИТ-уязвимости Frostbyte10 затрагивают контроллеры Copeland E2 и E3, управляющие ключевыми системами зданий и холодильным оборудованием, включая компрессоры, конденсаторы, стационарные кондиционеры, системы отопления, вентиляции, кондиционирования (ОВКВ) и освещения. Три из них в сентябре 2025 г. классифицированы, как критические ИТ-уязвимости.
Компания Armis, специализирующаяся на безопасности операционных технологий, выявила 10 уязвимостей и уведомила о них Copeland. Производитель выпустил обновления прошивки для контроллеров E3 и E2, устраняющие эти проблемы. Обновление прошивки до версии 2.31F01 устраняет все указанные ИТ-уязвимости, и программисты Copeland настоятельно советует немедленно установить исправления.
Помимо обновлений от Copeland, Агентство кибербезопасности и безопасности инфраструктуры (CISA) США планирует 3 сентября 2025 г. выпустить рекомендации, настоятельно призывающие организации, использующие уязвимые контроллеры, немедленно установить исправления. Ранее руководители Copeland и Armis в эксклюзивном порядке обсудили с The Register уязвимости Frostbyte10 и предоставили доступ к отчету Armis о данных проблемах безопасности. «В сочетании и эксплуатации эти уязвимости могут привести к неавторизованному удаленному выполнению кода с привилегиями root», — отмечается в сообщении.
Компания Copleand в 2025 г. производит системы отопления, охлаждения и промышленные технологии и представлена более чем в 40 странах мира. Среди клиентов ее холодильных систем — Kroger, Albertsons и Whole Foods. В 2024 г. выручка компании составила $4,75 млрд.
Пострадавших вроде нет
Вице-президент по программному обеспечению Copeland Джош Уивер (Josh Weaver) рассказал о том, что около двух третей продуктовых магазинов в Северной Америке используют продукцию компании. «Если быть точным, не все они относятся к нашей текущей зоне интересов», — отметил Уивер в интервью The Register. «Но вы и ваши читатели, вероятно, посещали магазины, которые мы поддерживаем».
Пока нет никаких признаков того, что какие-либо из этих ИТ-уязвимостей эксплуатировались до того, как Copeland выпустила исправления. Однако повсеместное присутствие производителя в розничной торговле и холодильных хранилищах делает его излюбленной мишенью для всевозможных злоумышленников: от хакеров, стремящихся нарушить цепочку поставок продуктов питания, до группировок, занимающихся вирусами-вымогателями.
Обнаружены критические ИТ-уязвимости
В апреле 2025 г. исследователи Armis Шауль Гарбуз (Shaul Garbuz) и Алон Коэн (Alon Cohen) выявили первую из десяти ИТ-уязвимостей, работая с крупным розничным клиентом компании над идентификацией устройств Copeland в его ИТ-инфраструктуре. «В процессе исследования того, как мы можем анализировать трафик и пытаться взаимодействовать с этими устройствами в Armis, мы обнаружили несколько потенциальных тревожных сигналов. Все началось с того, что мы случайно вывели из строя одно из устройств — это одна из ИТ-уязвимостей — из-за неправильного взаимодействия с ним. И тогда мы начали разбираться дальше и искать причины», — рассказал ИТ-специалист по кибербезопасности Armis Шауль Гарбуз. Эта ИТ-уязвимость, теперь отслеживаемая как CVE-2025-52547, приводит к отказу в обслуживании служб приложений из-за вызова API, не проверяющего входные данные. Девять уязвимостей присутствуют в версии прошивки E3 ниже 2.31F01, а последняя ошибка затрагивает контроллеры E2. При этом контроллеры E2 используют незашифрованный протокол. «Как только мы разобрались с протоколом, то смогли делать практически все, что захотим — переопределять файлы, запускать код», — отметил Гарбуз.
Остальные девять ИТ-уязвимостей затрагивают устройства E3, и злоумышленник может комбинировать некоторые из них для достижения различных целей. Например, уязвимость CVE-2025-6519, связанная с предсказуемым ежедневно генерируемым паролем, позволяет получить права системного администратора. В сочетании с CVE-2025-52549, которая дает возможность предугадать пароль root в Linux, она может использоваться для удаленного управления другими устройствами или изменения настроек и уведомлений. «Этого достаточно для нарушения работы устройства. Можно удалить других пользователей, заблокировать доступ к устройству, обновить прошивку с внедрением вредоносного ПО или выполнить код на устройстве. Это практически полный контроль над системой, и это еще не удаленное выполнение кода», — пояснил исследователь по информационной безопасности (ИБ) Armis Алон Коэн.
Причина, по которой Copeland создала администратора «ONEDAY» с предсказуемым паролем, который можно менять ежедневно, была обусловлена запросами клиентов, пояснили в компании Armis.
Короткая ссылка
