ГлавнаяБаза уязвимостей БДУ → BDU:2025-06605
9критическая

BDU:2025-06605 (CVE-2025-33024)

Уязвимость инструмента ping веб-интерйфеса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX серий MX (MX5000, MX5000RE) и RX (RX1400, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 и RX5000), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-06-09
Описание

Уязвимость инструмента ping веб-интерйфеса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX серий MX (MX5000, MX5000RE) и RX (RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 и RX5000) связана с отсутствием механизма проверки входных данных на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями

Затрагиваемое ПО и версии
RUGGEDCOM ROX MX5000 (до 2.16.5)RUGGEDCOM ROX MX5000RE (до 2.16.5)RUGGEDCOM ROX RX1400 (до 2.16.5)RUGGEDCOM ROX RX1500 (до 2.16.5)RUGGEDCOM ROX RX1501 (до 2.16.5)RUGGEDCOM ROX RX1510 (до 2.16.5)RUGGEDCOM ROX RX1511 (до 2.16.5)RUGGEDCOM ROX RX1512 (до 2.16.5)RUGGEDCOM ROX RX1524 (до 2.16.5)RUGGEDCOM ROX RX1536 (до 2.16.5)RUGGEDCOM ROX RX5000 (до 2.16.5)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- сегментирование сети с целью ограничения доступа к веб-интерфейсу управления уязвимого устройства из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к устройству из внешних сетей (Интернет);
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/html/ssa-301229.html

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2025-33024https://cert-portal.siemens.com/productcert/html/ssa-301229.html
Проверьте безопасность своего сайта и почты → Полная проверка домена