Mitsubishi Electric je objavio kritičnu ranjivost u 27 različitih modela klima-uređaja, koja bi mogla omogućiti daljinskim napadačima neovlašteno preuzimanje kontrole nad HVAC sistemima zgrada. Ova ranjivost, evidentirana pod oznakom CVE-2025-3699, ima najviši CVSS skor od 9.8, što ukazuje na njenu izuzetnu opasnost.
Problem proizlazi iz slabosti koja podrazumijeva “nedostatak autentifikacije za kritične funkcije”, a koja napadačima omogućava potpuno zaobilaženje mehanizama provjere autentičnosti. Jednom kada se iskoristi, zlonamjerni akteri mogu nezakonito upravljati klima-uređajima, pristupati osjetljivim podacima, pa čak i manipulirati firmverom koristeći objelodanjene informacije. Napad ne zahtijeva nikakvu interakciju korisnika i može se izvesti daljinski putem mrežnih veza, što ga čini posebno opasnim. Ranljivost je otkrio i prijavio sigurnosni istraživač Mihály Csonka, ističući značaj saradnje između sigurnosne zajednice i proizvođača u identifikaciji i rješavanju ranjivosti kritične infrastrukture.
Ova ranjivost utječe na širok spektar Mitsubishi Electric klima-uređaja, uključujući serije G-50, GB-50, AE-200 i AE-50, EW-50, kao i razne druge modele. Svi pogođeni sistemi koji koriste firmver verzije 3.37 i ranije (za G-seriju), 9.12 i ranije (za GB-24A), 3.21 i ranije (za G-150AD i slične modele), 7.11 i ranije (za EB-50GU modele), 8.01 i ranije (za AE/EW/TE/TW serije) te 1.40 i ranije (za CMS-RMD-J) podložni su ovom napadu. Širok obuhvat pogođenih proizvoda naglašava potencijalni utjecaj na komercijalne zgrade, industrijske objekte i druga okruženja gdje se ovi sistemi koriste za kontrolu klime i automatizaciju zgrada.
Mitsubishi Electric je u svom savjetu naveo tri scenarija konfiguracije sistema. Ranljivost predstavlja najveći rizik u nepravilno konfiguriranim okruženjima, gdje su klima-uređaji direktno dostupni s interneta bez VPN zaštite. Nasuprot tome, sistemi koji su pravilno izolirani unutar internih mreža ili zaštićeni VPN usmjerivačima suočavaju se sa značajno smanjenim rizikom, jer vanjski napadači ne mogu direktno dosegnuti ranjive usluge. Kompanija je naglasila da su njihovi klima-uređaji namijenjeni korištenju unutar sigurnih intranet okruženja ili mreža zaštićenih VPN infrastrukturom, ističući važnost pravilnog segmentiranja mreže i kontrole pristupa.
Važno je napomenuti da Mitsubishi Electric nema planove za objavu ispravljenih verzija firmvera za većinu pogođenih proizvoda. Međutim, kompanija priprema poboljšane verzije za odabrane modele iz serija AE-200, AE-50, EW-50, TE-200, TE-50 i TW-50A kako bi se riješila ova ranjivost.
Za neposrednu zaštitu, Mitsubishi Electric preporučuje primjenu nekoliko strategija ublažavanja: ograničavanje mrežnog pristupa iz nepovjerljivih izvora, ograničavanje fizičkog pristupa sistemima i povezanim infrastrukturama, te održavanje ažuriranog antivirusnog softvera i web preglednika na računalima koja se koriste za upravljanje ovim sistemima. Ovo otkriće naglašava rastuće sigurnosne izazove s kojima se suočava automatizacija zgrada i IoT infrastruktura. Kako kritični sistemi postaju sve više povezani, raste i potencijal za daljinsko iskorištavanje, što podvlači potrebu za robusnim sigurnosnim praksama u industrijskim i komercijalnim okruženjima. Organizacije koje koriste pogođene Mitsubishi Electric klima-uređaje trebale bi odmah procijeniti konfiguracije svojih mreža i implementirati preporučene sigurnosne mjere kako bi spriječile potencijalno iskorištavanje ove kritične ranjivosti.
