CISA je izdala kritično savjetodavno upozorenje o dvije ozbiljne sigurnosne ranjivosti koje utiču na sve verzije Consilium Safety CS5000 protivpožarne centrale, široko rasprostranjenog industrijskog kontrolnog sistema koji se koristi u okruženjima protivpožarne sigurnosti širom svijeta.
Ove mane, koje je otkrio istraživač sajber sigurnosti Andrew Tierney iz Pen Test Partnersa, mogle bi omogućiti udaljenim napadačima da dobiju pristup visokog nivoa i potencijalno onesposobe sisteme protivpožarne zaštite, što predstavlja značajan rizik za kritičnu infrastrukturu.
Ranjivosti Consilium Fire Panel
Prva ranjivost, označena kao CVE-2025-41438, uključuje inicijalizaciju resursa s nesigurnom zadanom konfiguracijom (CWE-1188).
Na svim CS5000 jedinicama postoji zadani račun s visokim privilegijama i uočeno je da ostaje nepromijenjen u produkcijskim okruženjima na više instalacija.
Iako ovaj račun nema root pristup , posjeduje dovoljne privilegije da kritično poremeti rad protivpožarne centrale.
Ranjivost je dobila osnovni rezultat od 9,8 na CVSS v3.1 testu i rezultat od 9,3 na CVSS v4 testu, sa vektorskim nizom (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Druga ranjivost, CVE-2025-46352, proizilazi iz čvrsto kodiranih akreditiva (CWE-798) ugrađenih unutar VNC serverske komponente.
Lozinka je vidljiva kao niz znakova u binarnoj datoteci odgovornoj za pokretanje VNC-a i korisnici je ne mogu mijenjati. Svako ko zna ovu fiksno kodiranu lozinku može dobiti potpuni udaljeni pristup sistemu protivpožarne centrale.
Ova ranjivost je također dobila kritične CVSS ocjene od 9,8 (v3.1) i 9,3 (v4).
Protivpožarna centrala CS5000 se koristi u više sektora kritične infrastrukture, uključujući komercijalne objekte, energetiku, vladine usluge i objekte, zdravstvo i javno zdravstvo, te transportne sisteme.
Sistem proizveden u Švedskoj se primjenjuje globalno, što ranjivost čini široko rasprostranjenom.
Uspješna eksploatacija mogla bi omogućiti napadačima daljinsko upravljanje protivpožarnim panelima i potencijalno ih onesposobiti, stvarajući ozbiljne sigurnosne probleme u kritičnim okruženjima gdje su sistemi za detekciju i suzbijanje požara neophodni.
Tierney, koji je prvi otkrio ove probleme 2020. godine, napomenuo je da je proces otkrivanja informacija trajao znatno dugo zbog početnih problema u komunikaciji s dobavljačima.
Ranjivosti su potvrđene na više instalacija na plovilima, što potvrđuje da su problemi konzistentni u svim CS5000 implementacijama.
| CVE-ovi | Pogođeni proizvodi | Utjecaj | Preduvjeti za iskorištavanje | CVSS 3.1 rezultat |
| CVE-2025-41438 | Consilium CS5000 Protivpožarna centrala (Sve verzije) | Neovlašteni pristup visokog nivoa koji omogućava operativne poremećaje | Zadani račun ostaje nepromijenjen | 9,8 (Kritično) |
| CVE-2025-46352 | Consilium CS5000 Protivpožarna centrala (Sve verzije) | Potpuno preuzimanje daljinskog upravljanja putem VNC servera | Poznavanje čvrsto kodirane binarne lozinke | 9,8 (Kritično) |
Sigurnosne mjere
Consilium Safety ne planira ažurirati postojeće sisteme protivpožarnih panela CS5000. Umjesto toga, dobavljač preporučuje korisnicima koji žele poboljšane sigurnosne funkcije da pređu na novije modele hardvera proizvedene nakon 1. jula 2024. godine, koji uključuju principe sigurnosti već u dizajnu.
CISA preporučuje hitnu implementaciju kompenzacijskih kontrola, uključujući mjere fizičke sigurnosti i ograničen administrativni pristup CS5000 uređajima.
Organizacije bi trebale minimizirati izloženost mreže kontrolnih sistema, osiguravajući da im se ne može pristupiti s interneta, te smjestiti mreže kontrolnih sistema iza zaštitnih zidova (firewall) izoliranih od poslovnih mreža.
Kada je potreban udaljeni pristup, CISA savjetuje korištenje sigurnih metoda kao što su ažurirane virtualne privatne mreže (VPN) . Trenutno CISA-i nije prijavljena nijedna poznata javna eksploatacija usmjerena na ove specifične ranjivosti.
Međutim, s obzirom na kritičnu prirodu sistema zaštite od požara i visoke CVSS ocjene, organizacijama se preporučuje da odmah implementiraju zaštitne mjere prilikom planiranja nadogradnje sistema.
Izvor: CyberSecurityNews
