Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) оприлюднило попередження про дві критичні уразливості у системах Veeder-Root TLS4B, які застосовуються для моніторингу паливних резервуарів. Експлуатація цих помилок може дозволити зловмисникам віддалено виконувати команди рівня системи, створюючи загрозу для енергетичної інфраструктури.
За даними CISA, уразливості стосуються версій TLS4B, що передують 11.A. Перша — CVE-2025-58428 (CVSS 9.4) — дає змогу атакувальникам із базовими обліковими даними здійснювати командну ін’єкцію через SOAP-інтерфейс, фактично отримуючи контроль над системою. Друга — CVE-2025-55067 (CVSS 7.1) — пов’язана з переповненням цілих чисел під час обробки часових значень Unix (проблема 2038 року), що може призвести до збоїв авторизації та відмови в обслуговуванні (DoS).
Ці помилки становлять особливу небезпеку для об’єктів паливного сектора, де зупинка роботи може спричинити перебої у постачанні палива та ризики безпеки.
Veeder-Root вже випустила оновлення версії 11.A, що усуває першу уразливість, тоді як виправлення другої ще розробляється. CISA рекомендує користувачам ізолювати пристрої в мережі, обмежити зовнішній доступ, використовувати VPN і встановити фаєрволи для мінімізації ризиків.
Veeder-Root — американська компанія, що виробляє автоматизовані системи для керування підземними паливними резервуарами. Її рішення активно використовуються на АЗС по всьому світу. Вразливості в таких промислових системах демонструють, наскільки індустріальні контролери (ICS) залишаються мішенню для кіберзлочинців і як важливо оновлювати навіть «залізні» пристрої. Дослідник Pedro Umbelino з Bitsight виявив недоліки під час аналізу Linux-консолей системи, показавши, що проста помилка у SOAP-командах може призвести до повного компрометування інфраструктури.
Уразливості Veeder-Root TLS4B — це нагадування про те, що навіть промислові системи здавалося б обмеженого доступу можуть бути атаковані через звичайні веб-інтерфейси. CISA закликає всі компанії, які використовують ці рішення, негайно провести аудит безпеки та встановити оновлення, щоб уникнути потенційних кібератак і перебоїв у роботі критичних об’єктів.
