Уязвимости в переключателях ATEN International устранены благодаря экспертам Positive Technologies

До устранения уязвимостей злоумышленникам могли быть доступны максимальные привилегии в системе¹

Производитель оборудования для связи и управления доступом к IT-инфраструктуре ATEN International устранил уязвимости в переключателях KVM over IP серии CL57xx. KVM-устройство² представляет собой компьютер со встроенной клавиатурой, монитором и тачпадом в специальном корпусе, который по размерам подходит для установки в серверные стойки. Проблемы безопасности нашла группа экспертов PT SWARM — Наталья Тляпова, Денис Горюшев и Дмитрий Скляров. Три недостатка имели максимальный уровень опасности, еще два — высокий.

ATEN International входит в пятерку мировых лидеров по производству KVM-переключателей, свидетельствуют данные исследования Mordor Intelligence. Офисы компании действуют в 18 странах, в России ATEN International представляет официальный партнер.

Переключатели KVM over IP используются на промышленных объектах и в дата-центрах для подключения к другим компьютерам и серверам. Операторы могут управлять подконтрольными серверами так, словно работают за монитором и клавиатурой любого из них, при этом на самих устройствах не требуется устанавливать дополнительное ПО. Управлять серверами при помощи переключателей можно не только находясь физически рядом с ними, но и удаленно — подключаясь к KVM-устройствам по сети.

Уязвимостям (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713, CVE-2025-3714) присвоено от 7,5 до 9,8 балла по шкале CVSS 3.1. В случае успешной эксплуатации трех самых опасных недостатков злоумышленник мог бы захватить управление подключенными к устройству серверами.

«ATEN CL57xx применяются для удаленного доступа к серверам, поэтому для эксплуатации уязвимостей злоумышленнику было бы достаточно отправить сообщение устройству в локальной сети или через интернет. Успешно воспользовавшись ошибками, нарушитель мог бы получить удаленный доступ к устройствам, подключенным к порту KVM, как при использовании удаленного рабочего стола. Дальнейшие пути развития атаки зависели бы от того, где расположено уязвимое устройство. Если бы к нему была подключена АСУ ТП³, ата...

Наталья ТляповаСтарший специалист отдела анализа приложений Positive Technologies

Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил версию прошивки с исправлением (2.0.196) для всей линейки устройств. Помимо ее установки, чтобы защититься от аналогичных уязвимых мест, исследователи Positive Technologies рекомендуют промышленным предприятиям уделять особое внимание грамотной настройке сети и прав доступа.

Критически опасные ошибки CVE-2025-3710 (BDU:2025-01795), CVE-2025-3711 (BDU:2025-01809) и CVE-2025-3714 (BDU:2025-05376) были связаны с переполнением стекового буфера и могли бы привести к отказу в обслуживании или позволить злоумышленнику удаленно исполнить вредоносный код. Однако, как отмечают эксперты Positive Technologies, успешно использовать последнюю уязвимость было бы сложнее: для этого атакующему потребовалось бы дополнительно воспользоваться ошибкой CVE-2025-3713 (BDU:2025-01811), которой присвоено 7,5 балла. Как и дефект безопасности CVE-2025-3712 (BDU:2025-01810) с аналогичной оценкой, она относилась к классу «переполнение кучи»⁴.

Чтобы защититься от подобных атак, необходимо полное представление о состоянии сетевой инфраструктуры. Получить его можно с помощью системы поведенческого анализа трафика PT Network Attack Discovery, которая позволяет выявлять в сети попытки эксплуатации уязвимостей и другие слабые места в защите, оперативно реагировать на инциденты безопасности, а также проводить ретроспективный анализ проникновений. Кроме того, обеспечить безопасность компании поможет межсетевой экран нового поколения PT NGFW. Попытки использования этих уязвимостей могут также быть обнаружены с помощью анализа технологического трафика в PT ISIM, в базе которого теперь содержатся правила и сигнатуры для их выявления. Помимо этого, продукт может выявить всю цепочку развития атаки, если злоумышленник все же использовал данные уязвимости на каком-то из этапов.

Широкий набор прав, который разрешает выбранному пользователю (например, администратору) выполнять операции, недоступные обычным пользователям, в частности изменять параметры системы, удалять ПО или иным способом влиять на ее работу.
KVM — keyboard, video, mouse — клавиатура, видео, мышь.
Автоматизированная система управления технологическим процессом.
Тип атаки на компьютерную программу, которая происходит, когда данные записываются за пределы выделенной памяти в куче программы. Куча — в информатике и программировании название структуры данных, с помощью которой реализована динамически распределяемая память приложения.