Frostbyte10: уязвимости в контроллерах Copeland грозят удалённым взломом

05.09.2025

Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.

Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.

В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.

Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.