Le vulnerabilità informatiche riscontrate nei controller Copeland E2 ed E3 di Frostbyte10 evidenziano potenziali rischi per i sistemi digitali di refrigerazione, riscaldamento, ventilazione, condizionamento e illuminazione.
In un recente rapporto intitolato 'Frostbyte10: Come Mitigare Dieci Vulnerabilità Che Stanno Impattando L'Equipment Critico', Armis Labs ha rivelato dieci vulnerabilità hardware critiche nei controllori Copeland E2 e E3. Queste vulnerabilità potrebbero rappresentare rischi significativi per vari settori, estendendosi oltre l'IT e minacciando la sicurezza alimentare, la catena del freddo e le infrastrutture fisiche.
Una delle scoperte più preoccupanti è la presenza di operazioni di file non autenticate su qualsiasi file nel sistema di file per i sistemi di gestione delle facility E2 (CVE-2025-52551), valutato come critico con un punteggio CVSS di 9.3. Questa vulnerabilità potrebbe consentire a un attaccante di alterare i parametri del sistema o rubare i dati operativi.
Il controllo del sito supervisore E3 presenta anche diverse vulnerabilità critiche. Ad esempio, i CVE-2025-52544 e CVE-20226-52546 evidenziano problemi nella funzionalità del piano dei pavimenti, consentendo a un attaccante non autenticato di leggere file arbitrali dal sistema di file o di iniettare script di attacco tra i siti, rispettivamente.
Sono state scoperte anche falle di escalation dei privilegi. Il CVE-2025-52545 espone una falla di escalation dei privilegi nel servizio RCI del controllo del sito supervisore E3, restituendo tutti i nomi utente e le hash delle password per i servizi dell'applicazione. Nel frattempo, il CVE-2025-52543 mostra che il controllo del sito supervisore E3 utilizza l'hashing lato client per l'autenticazione, consentendo a un attaccante di accedere utilizzando solo la hash della password.
Altre vulnerabilità includono il CVE-2025-52547, una falla di negazione del servizio nel servizio MGW del controllo del sito supervisore E3, valutata come alta con un punteggio CVSS di 8.7. Inoltre, i pacchetti di aggiornamento del firmware per il controllo del sito supervisore E3 sono non firmati, consentendo potenzialmente l'installazione dannosa (CVE-2025-52550, valutato come alto con un punteggio CVSS di 8.6).
Forse ancora più allarmante, la password Linux root nel controllo del sito supervisore E3 viene generata in modo prevedibile ad ogni avvio (CVE-2025-52549), valutato come critico con un punteggio CVSS di 9.2. Inoltre, è stato trovato un utente admin predefinito con una password prevedibile (CVE-2025-6519).
Sono disponibili mitigazioni per queste vulnerabilità a partire dalla versione 2.31F01 del firmware Copeland, e si consiglia di applicare le patch sui dispositivi interessati. Le organizzazioni dovrebbero anche condurre una valutazione dei rischi completa, segmentare i sistemi OT, rivedere le capacità di accesso remoto, applicare controlli di accesso rigorosi e eseguire audit di sicurezza, scansioni di vulnerabilità e patching tempestivi regolarmente.
Si consiglia anche di preparare e testare le capacità di risposta agli incidenti, i programmi di formazione e consapevolezza del personale e di collaborare con i fornitori di sicurezza affidabili per rafforzare le difese. Copeland ha rilasciato il firmware aggiornato per affrontare i problemi e le organizzazioni sono incoraggiate a eseguire le patch il prima possibile.
Tuttavia, non ci sono fonti dettagliate disponibili pubblicamente che identificano organizzazioni specifiche in Germania che utilizzano i controllori Copeland E2 e E3 e non hanno ancora aggiornato il firmware per affrontare le vulnerabilità note. Le organizzazioni che utilizzano i dispositivi Copeland E2 e E3 dovrebbero valutare la loro esposizione a queste vulnerabilità e implementare le mitigazioni senza indugio.
I controllori Copeland E2E sono stati dichiarati fuori produzione dal ottobre 2024 e i clienti interessati sono incoraggiati a migrare dalla piattaforma E2 alla piattaforma E3. Questa migrazione può aiutare a mitigare i rischi e garantire la sicurezza continua per questi sistemi critici.
Leggi anche:
- Aumentare la fertilità del suolo con concime per piccoli rosicchi
- Sfruttare il potere industriale del silicio per opportunità mondiali!
- Il consulente politico discute le strategie di campagna con Bernie Sanders
- Interruzioni della catena di approvvigionamento causate da conflitti di prezzi, secondo il CEO della Cina continentale, Enno Tang.
