Уязвимость Valmet DNA Engineering Web Tools: атака с обходом пути (CVE ожидается)

Уязвимость Valmet DNA Engineering Web Tools: возможность атаки с обходом пути

Мадрид, Испания – 20 февраля 2026 г. – INCIBE-CERT опубликовал предупреждение о уязвимости типа path traversal в Valmet DNA Engineering Web Tools — программном комплексе для автоматизации и управления промышленными процессами. Уязвимость, пока не имеющая идентификатора CVE, позволяет получить несанкционированный доступ к защищённым каталогам, что может привести к утечке конфиденциальных системных файлов.

Технические детали

Уязвимость связана с некорректным ограничением доступа к каталогам в веб-интерфейсе Valmet DNA Engineering Tools. Злоумышленники, имеющие сетевой доступ к уязвимой системе, могут эксплуатировать эту уязвимость для обхода ограничений и доступа к файлам за пределами разрешённого пути, включая конфигурационные файлы, учётные данные и другие критически важные данные.

• Уязвимое ПО: Valmet DNA Engineering Web Tools
• Тип уязвимости: Path Traversal (CWE-22)
• Воздействие: Несанкционированный доступ к каталогам, потенциальная утечка данных
• Оценка CVSS: Ожидается (предположительно высокая степень опасности)
• Статус исправления: Патч пока недоступен

Анализ воздействия

Системы промышленного управления (ICS), такие как Valmet DNA Engineering Tools, критически важны для работы предприятий в таких отраслях, как целлюлозно-бумажная промышленность и энергетика. Успешная эксплуатация данной уязвимости может привести к:

• Несанкционированному доступу к конфиденциальным оперативным данным
• Нарушению технологических процессов, если конфигурационные файлы будут изменены
• Распространению атаки в сети при утечке учётных данных

Учитывая использование ПО в средах OT (Operational Technology), риски выходят за рамки утечки данных и могут привести к физическим последствиям, включая повреждение оборудования или возникновение аварийных ситуаций.

Рекомендации для служб безопасности

INCIBE-CERT и Valmet пока не выпустили патч, однако организациям, использующим уязвимое ПО, следует:

1. Ограничить сетевой доступ

   • Разрешить доступ к веб-интерфейсу Valmet DNA Engineering Web Tools только доверенным сетям.
   • Настроить правила межсетевого экрана для блокировки несанкционированного доступа к порту веб-интерфейса.

2. Мониторинг подозрительной активности

   • Развернуть системы обнаружения/предотвращения вторжений (IDS/IPS) для выявления попыток эксплуатации path traversal.
   • Анализировать журналы на предмет необычных обращений к защищённым каталогам.

3. Применить многоуровневую защиту

   • Сегментировать сети OT от корпоративных IT-сетей для локализации возможных инцидентов.
   • Обеспечить принцип минимальных привилегий для пользователей, взаимодействующих с системой.

4. Подготовиться к установке патча

   • Следить за обновлениями на официальных каналах Valmet и установить патч сразу после его выхода.
   • Протестировать обновления в тестовой среде перед внедрением в промышленную эксплуатацию во избежание сбоев.

Дальнейшие шаги

INCIBE-CERT будет обновлять информацию по мере поступления новых данных, включая присвоение идентификатора CVE и детали патча. Организациям, использующим Valmet DNA Engineering Tools, рекомендуется рассматривать эту уязвимость как проблему высокого приоритета и внедрить меры защиты до выхода исправления.

Дополнительные сведения доступны в оригинальном бюллетене на сайте INCIBE-CERT.