Эксперт Positive Technologies помог укрепить защиту системы учета энергоресурсов «ЛЭРС Учет»

Эксперт PT SWARM Василий Брит обнаружил критически опасную уязвимость в системе диспетчеризации энергоресурсов...

Эксперт PT SWARM Василий Брит обнаружил критически опасную уязвимость в системе диспетчеризации энергоресурсов «ЛЭРС Учет», разработанной одноименной компанией. Об этом CNews сообщили представители Positive Technologies.

Решение предназначено для учета воды, пара, газа, тепловой и электрической энергии. При успешной эксплуатации недостатка защиты атакующий мог бы похитить персональные и учетные данные, изменить показатели счетчиков и нарушить работу системы. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление, устраняющее недостатки.

По данным разработчика, «ЛЭРС Учет» ежедневно используют более чем в 150 городах России и других стран СНГ. В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies выявили около 2,3 тыс. потенциально уязвимых устройств с установленной системой диспетчеризации энергоресурсов.

Уязвимости PT-2026-210111 (BDU:2026-01693) было присвоено 9,9 балла из 10 по шкале CVSS 3.1, что соответствует критическому уровню угрозы. Дефект безопасности содержался во всех версиях системы «ЛЭРС Учет» ниже 3.64.4. Успешно проэксплуатировав брешь, атакующий получил бы возможность продолжить движение по ИT-инфраструктуре для атаки других устройств и сервисов, например серверов «1С», автоматизированных рабочих мест сотрудников и баз данных. Кроме того, злоумышленник мог бы удалить все зарегистрированные в системе учетные записи, обнулить показатели счетчиков, а также полностью заблокировать систему для пользователей. Все это могло бы грозить компании утечкой персональных данных, нарушением процессов, финансовыми и репутационными потерями.

«Чтобы проэксплуатировать уязвимость PT-2026-21011, злоумышленнику потребовалась бы похитить учетную запись любого пользователя. Для этого он мог использовать данные из утечек, угадать пароль методом перебора или запустить фишинговую кампанию, — сказал Василий Брит, старший программист отдела тестирования на проникновение, Positive Technologies. — Получив учетную запись, нарушитель смог бы направить запрос к устройству, на котором установлен «ЛЭРС Учет». Это позволило бы ему выполнять любые команды на сервере системы».

Для устранения недостатка защиты пользователям необходимо в кратчайшие сроки обновить систему до актуальной версии — 3.65.2.

Это не первый случай, когда эксперты Positive Technologies помогают усилить безопасность систем учета энергоресурсов. В 2023 г. Антон Бояркин выявил три уязвимости с высоким и критически высоким уровнем угрозы в УСПД2 СЕ805М производства компании «Энергомера». PT-2022-6830 позволяла менять параметры оборудования, PT-2022-6831 давала возможность нарушить целостность базы данных или вызвать отказ в обслуживании, а с помощью PT-2022-6832 атакующий мог модифицировать параметр устройства, чтобы вставить команды ОС, которые были бы выполнены при запуске автоматического обновления прикладного ПО.

Продвинутые системы классов NTA (NDR), детектируют попытки эксплуатации уязвимостей, в том числе и PT-2026-21011, а продукты класса NGFW блокируют их. Снизить риски эксплуатации дефектов безопасности помогут средства защиты конечных устройств класса EDR.

Адрес новости:
https://safe.cnews.ru/news/line/2026-04-17_ekspert_positive_technologies_pomog