Siemens OZW Веб-серверы

Основная статья: EAM-cистема

2025

НКЦКИ предупреждает: cерверы управления Siemens исполняют посторонние команды без авторизации

НКЦКИ разослал в начале июня предупреждение об обнаружении двух критических уязвимостей в веб-серверах Siemens OZW Web Servers (модели OZW672 и OZW772), которые используются для управления устройствами производства той же компании. Причем уязвимости CVE-2025-26389 присвоен уровень опасности 10 (из 10), а CVE-2025-26390 – 9,8 (из 10). Для обеих ошибок есть исправления, хотя даже доступ к информации о них заблокирован с территории России. Сведений о распространении эксплойта для обеих уязвимостей пока нет.

Уязвимость CVE-2025-26389 дает посторонним возможность без взаимодействия с пользователями дистанционно выполнить команду операционной системы от имени веб-сервера. Уязвимой для атаки типа инъекции команд (CWE-78) является функция exportDiagramPage, при реализации которой не приняты необходимые меры по исключению из пользовательского ввода спецсимволов.

CVE-2025-26390 относится к типу атак, называемому SQL-инъекциями (CWE-89). Эти атаки также связаны с отсутствием фильтрации спецсимволов, но уже для SQL-СУБД. Они позволяют исполнить посторонний SQL-запрос в контексте базы данных, с помощью чего зачастую удается также исполнить вредоносный код операционной системы без аутентификации.

Эксплуатация подобных уязвимостей может привести к полной компрометации информационной системы посредством выполнения произвольных команд с root-правами, а также воровства ее данных из-за возможности выполнения нелегитимных SQL-запросов, – предупредил TAdviser Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.Zone. – Siemens OZW Web Servers предназначены для удаленного мониторинга и управления автоматизацией зданий. Данные с них можно собирать через специализированные порталы, поэтому прямой доступ к интернету может отсутствовать. Однако система изначально разработана для подключения к сети и может иметь прямой доступ в интернет. Злоумышленники, используя эту уязвимость, могут получить доступ к серверу и управлять подключенными контроллерами.

Если уязвимые серверы будут доступны извне, то у злоумышленников может возникнуть возможность проникнуть во внутреннюю сеть здания с помощью указанной уязвимости. Ее реализация возможна в случае неправильной организации доступа: если не выключен «проброс портов» или не ограничен с помощью межсетевого экрана доступ к веб-интерфейсу (порт 80/443) установленного продукта. В этом случае веб-сервер может оказаться доступным из интернета, и у злоумышленников появится возможность его атаковать. Для поиска таких открытых серверов злоумышленники могут воспользоваться публичными поисковыми машинами, такими как Shodan или Censys.

Веб-серверы OZW — специализированные устройства, предназначенные для удаленного мониторинга и управления различным оборудованием: от отопительных котлов до сложных технологических процессов, – пояснил TAdviser Сергей Матусевич, директор по развитию ИИ и веб-технологий Artezio. – По нашим оценкам, такие веб-серверы могли использоваться на крупных промышленных предприятиях, в системах управления зданиями, на объектах энергетики и коммунального хозяйства. Однако после мая 2022 года ситуация кардинально изменилась: Siemens официально покинул российский рынок и прекратил поставки всего промышленного оборудования. Это означает, что новые установки таких веб-серверов практически прекратились.

Однако указанные выше уязвимости обнаружены в достаточно старых версиях продукта, от 6.0, поэтому существует вероятность, что в давно установленной и эксплуатирующейся системе уязвимость останется долгое время.

𝓲

Фото: Freepik

Популярные области применения веб-серверов Siemens OZW772/OZW672 — это автоматизация и управление инженерными системами в жилых, коммерческих и общественных зданиях, – прокомментировала ситуацию для TAdviser Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис». – Интеграторы систем автоматизации поставляют и внедряют OZW-серверы во многих проектах «умных» зданий и ТЦ для удобства управления инженерными сетями в единой панели. В крупных городах (Москва, Санкт-Петербург, Екатеринбург) вероятность встретить OZW-сервер с «дырявой» конфигурацией выше, чем в регионах: здесь сосредоточено значительное число коммерческих площадок с «умными» системами.

Как отмечает эксперт, многие пользователи систем не всегда понимают необходимость обновления программного обеспечения, особенно для укрепления информационной защиты, поэтому велика вероятность, что указанная «дыра» будет долго зиять в центре офиса и увеличивать вероятность проникновения внутрь корпоративной сети.

Уязвимости, связанные с SQL-инъекциями и выполнением команд ОС, входят в топ OWASP по критичности и позволяют получить полный контроль над системой, – напомнил читателям TAdviser Кирилл Лёвкин, менеджер по продуктам MD Audit. – При доступности сервера из интернета возможно несанкционированное управление оборудованием или включение узла в ботнет. Потенциально уязвимость может быть использована для массовых атак на сегменты автоматизации зданий или промышленные объекты, особенно при отсутствии сегментации сети.

Собственно, системы управления оборудованием не рекомендуется выставлять на всеобщее обозрение в интернет, даже если это необходимо для удобства. Лучше качественно сегментировать сети и выделять промышленные устройства в особый сегмент с повышенным контролем событий, недоступный напрямую для неограниченного количества пользователей. Современные экраны уровня веб приложений (Web Application Firewall – WAF) имеют функционал по выявлению SQL-инъекций в запросах пользователей – его стоит задействовать.

Защититься от эксплуатации уязвимостей класса SQL-инъекции или инъекции команд операционной системы можно попробовать несколькими способами: использовать классические инструменты защиты - настройки межсетевых экранов и WAF для защиты от SQL-инъекций либо установить максимально быстро исправления от производителя, – считает Даниил Чернов, автор продукта Solar appScreener.

Обнаружение уязвимости с рейтингом CVSS 10.0

В веб-серверах Siemens OZW672 и OZW772 обнаружены критические уязвимости с рейтингом CVSS 10.0. Злоумышленники могут удалённо выполнять код (RCE) и получать права администратора без аутентификации. OZW662 и OZW772 используются во многих промышленных контроллерах и системах автоматизации, включая управление отоплением и кондиционированием, что делает эти уязвимости особенно опасными. Об этом Siemens сообщил 15 мая 2025 года.

RCE, или удалённое выполнение команд, — буквально джекпот среди уязвимостей, потому что, как правило, это означает возможность получения полного доступа к атакуемой системе. Неудивительно, что таким уязвимостям выдают самые высокие рейтинги, а вендоры стремятся закрыть их как можно скорее или по крайней мере придумать компенсирующие меры, — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Киберэксперт отметил, что уязвимость в веб-серверах от Siemens — это проблема в квадрате, потому что OZW672 и OZW772 встраивают во всевозможные промышленные контроллеры и системы автоматизации для отопления и кондиционирования.

Вы можете себе представить, какие проблемы может доставить эксплуатация этих уязвимостей. И нельзя сказать, что в Siemens как-то плохо поставлена процедура безопасной разработки, но тем не менее имеем, что имеем. При этом на бумаге все лучшие практики уже придуманы и описаны, но проблемы, как правило, возникают с их применением на практике. И даже если выстроить полноценную процедуру DevSecOps не получается, то внедрение решений вроде Efros DefOps повышает качество конечного продукта. Я уже не говорю про выстраивание CI/CD и привлечение профильных специалистов и экспертов, что многим не по карману, — подытожил Полунин.